У меня именно эта проблема Идентификатор события 4013: «DNS-сервер ожидает, пока доменные службы Active Directory (AD DS) сигнализируют ...»
Два DC и два DNS-сервера, за исключением моих проблем, немного более сложны. Поэтому, если я перезагружаю свой домен, я не могу войти в свой домен или получить доступ к ресурсам, пока ОБА DC не будут полностью загружены и AD не сможет выполнить начальную синхронизацию.
Это раздражает, но моя проблема расширяется, потому что на Server 2008 мой сетевой профиль меняется на «неопознанный», поскольку DNS не загружается, и этот «неопознанный» профиль включает межсетевой экран, который блокирует трафик DC / DNS. Моя сеть полностью недоступна, пока я снова не перезагружу один из серверов DC / DNS или не отключу брандмауэр в профилях.
Конечно, я мог бы исправить это, отключив брандмауэр в этом профиле, но разве нет другого способа обойти эту проблему? Это похоже на огромный упущенный дизайн.
Вам необходимо настроить контроллеры домена так, чтобы первичный преобразователь DNS на DC1 был DC2, а первичный преобразователь DNS на DC2 был DC1, затем установите 127.0.0.1 в качестве вторичного преобразователя DNS на DC1 и DC2, и, наконец, не перезагружать их одновременно. Поочерёдно перезагружается.
Вот отрывок из Статья Microsoft Best Practices Analyzer по этому поводу:
IP-адрес обратной петли должен быть настроен как один из DNS-серверов на каждом активном сетевом адаптере, но не как первый DNS-сервер.
Если петлевой IP-адрес является первой записью в списке DNS-серверов, Active Directory может быть не в состоянии найти своих партнеров по репликации.
Включение собственного IP-адреса в список DNS-серверов улучшает производительность и увеличивает доступность DNS-серверов. Однако, если DNS-сервер также является контроллером домена и указывает только на себя или сначала указывает на себя для разрешения имен, это может вызвать задержку во время запуска. По этой причине будьте осторожны при настройке адреса обратной связи на адаптере, если сервер также является контроллером домена. Адрес обратной связи должен быть настроен только как вторичный или третичный DNS-сервер на контроллере домена.
Да, я знаю, что Microsoft проделала некоторую работу, чтобы облегчить проблему «острова» репликации, но это остается рекомендацией Microsoft по сей день.
Меня до сих пор удивляет, что у людей есть проблемы с AD. Он существует уже более тринадцати лет, и его фундаментальная механика не изменилась. Конечно, здесь и там есть несколько настроек, но под капотом по-прежнему требуются некоторые основы.
Да, Microsoft предположительно разработала проблему изолирования DNS, но для успешного запуска службы доменных служб Active Directory она должна сначала определить, какие серверы поддерживают домен и родительский лес. Неудивительно, что местоположение обнаруживается с помощью записей о местоположении службы (SRV) ... в DNS.
Таким образом, если вы не можете получить реплику DNS, вы не сможете запустить AD, поэтому вы не сможете запустить Active Directory Integrated DNS. Как говорит Райан, направьте ваш первый DNS-преобразователь на другой DC, а второй - на третий DC или локально. Лично я бы выбрал два удаленных контроллера домена, прежде чем указывать на себя, поскольку последующие записи DNS-сервера используются только после отсутствия ответа.
Что касается FSMO эмулятора PDC, я не совсем понимаю, что там происходит. Помимо сервисов нижнего уровня, PDCe имеет специальное назначение, когда дело касается синхронизации времени. Контроллеры домена, не относящиеся к PDCe, в домене получают свое время от PDCe, и этот контроллер домена может быть настроен на использование RTS или на получение времени от PDCe корневого домена.
Один из способов по-настоящему разобраться в подобных вещах - выполнить упражнение по аварийному восстановлению с использованием AD. Я рекомендую попробовать это, поскольку это заставляет вас понимать такие вещи, как зона _msdcs в DNS, репликация SYSVOL, мониторинг репликации AD (с использованием REPADMIN) и т. Д.
</rant>