Мы небольшая аналитическая компания, у нас есть головной офис и филиал. У меня есть активный каталог, работающий на Windows 2012 R2 в головном офисе, и еще один активный каталог, работающий на Windows 2012 в офисе brnach. Оба офиса подключены через сеть VPN.
Когда возникают проблемы с подключением между двумя офисами или PDC не работает, второй сервер AD также отключается. Он не настроен как RODC. когда я пытаюсь проверить настройки домена в доменах и трастах, я получаю сообщение об ошибке
Вы не можете изменить информацию о домене или доверии, потому что с эмулятором основного контроллера домена (PDC) нельзя связаться. Убедитесь, что эмулятор PDC для текущего домена и сети подключен к сети и работает правильно.
Пользователи не могут пройти аутентификацию, и когда я пытаюсь получить доступ к пользователям и компьютерам, я получаю следующую ошибку ниже.
Информация об именовании не может быть обнаружена, потому что: Указанный доамин либо не существует, либо с ним невозможно связаться. Обратитесь к системному администратору, чтобы убедиться, что ваш doamin правильно настроен и в настоящее время находится в сети.
Я вижу, что оба контроллера домена установлены как серверы GC. Я не специалист по активному каталогу. Я надеюсь, что это незначительная проблема, и кто-то сможет помочь мне ее исправить.
Мне кажется, что у вас проблемы с конфигурацией, а не с AD.
Если контроллер домена, содержащий роли FSMO (включая роль эмулятора PDC), выйдет из строя, тогда все будет немного сложно, но если у вас есть второй контроллер домена, пользователи должны иметь возможность аутентифицироваться, вы должны иметь возможность создавать новых пользователей, а функции, такие как GPO, все еще должны обработать.
Предполагая, что 2-й DC действительно является сервером глобального каталога, я бы проверил следующее:
1) Есть ли у 2-го контроллера домена копия зоны DNS, которая содержит записи SRV для вашего домена. 2) Настроены ли клиенты и сервер на вашем удаленном сайте на использование 2-го контроллера домена в качестве своего DNS-сервера? 3) У вас настроены сайты и служба? Похоже, вам понадобятся 2 сайта AD, один для HQ и один для Branch. Убедитесь, что вы связываете с ними соответствующие подсети и что контроллеры домена находятся на соответствующих сайтах.
Потеря DC с ролями FSMO - это боль, вы не сможете добавлять новые DC, управлять доверительными отношениями и т. Д., Но вы все равно сможете управлять разделом домена. Вы получаете сообщение об ошибке при открытии AD Users and Computers, это нормально. Все, что вам нужно сделать после открытия ADUC, - это щелкнуть правой кнопкой мыши Active Directory Users and Computers, затем выбрать изменить домен (чтобы убедиться, что вы подключаетесь к правильному домену), а затем щелкните правой кнопкой мыши Active Directory Users and Computers, а затем выберите изменить контроллер домена и выберите рабочий DC, который вы хотите использовать для администрирования ваших объектов.
Потеря хозяина именования доменов или любой другой роли FSMO не должна повлиять на вашу сеть в краткосрочной перспективе. Однако больше всего следует остерегаться потери эмулятора PDC, поскольку (помимо прочего) он действует как источник времени в вашей сети. Если это проблема в вашем филиале, вы можете подумать о настройке альтернативного источника времени.