感謝回應

在每台dc上下dcdiag發現
dc05正常
dc06==>發現中國大陸那台dc02的Advertising錯誤

登入dc02發現，事件檢事器中，出現W32Time警告
(疑問，與dc05時間比較發現，二台時間誤差沒有超過3分鐘，這不是在合理範圍內嗎??)

修正dc02時間後(我下NET TIME去對DC05時間)
三台dc的dcdiag 都正常PASS

repadmin /showrepl /all部份
是看有沒有MISS或Failures警示嗎??
如果是的話，三台都沒有

所以是時間的問題??
還是沒有方向.....

額外的疑問

DC不是掛掉一台，網域還是能正常使用嗎??(所以文章常說DC要有二台以上)

但5719事件來說，好像不是這樣子.....

補充
五大在DC05上

ghost234提到：
DC不是掛掉一台，網域還是能正常使用嗎??(所以文章常說DC要有二台以上)

所有的 AD 文章在這件事情上, 只說了對一半, 但卻沒把更重要的另外一半有告訴讀者.
兩台 DC 確實可以備援, 但他不是「自動」備援, 而是要靠人工手動切換 FSMO 之後才會備援.

因為從 AD 開始, 以前 NT 的 PDC/BDC 角色, 只剩下 PDC 而已, 沒有 BDC, 而且 PDC 只能有一台, 不能有很多台. 所以, 除非您在唯一那台 PDC 掛掉之後, 手動將 PDC 角色移到別台去, 否則他是不會自動移轉的.

(續....)

好, 既然 PDC 掛了不會自動移轉, 那為何很多網友說: 我的 FSMO 掛了, 但是 Client 依然正常可以登入, 難道不是備援發生作用了嗎?

當然不是! PDC 掛了, Client 端可以繼續登入, 那是 AD 的保護機制開始發生作用, 不是 PDC 的備援發生作用. AD 的設計是: 當 Client 端找不到 PDC 的時候, 他可以用先前已經登入過的 Cache token, 繼續進行認證, 允許登入, 這樣才能確保 NB 拿到外面去, User 依然可以繼續登入; 否則 NB 一拿出去, 沒有 PDC, User 不就只能望著 NB 嘆氣?

(續.....)

那我們怎麼證明, Client 登入的帳號, 並沒有去跟 PDC 驗證, 而是用先前的 Cache?

很簡單, 你只要在 PDC 當掉之後, 做兩種測試:

1. 在這台登入之後, 改 AD 密碼
2. 在這台電腦, 用一個以前從來沒有登入過的帳號登入

在第一種狀況, 因為 PDC 不存在, 而 Cache 又沒有改密碼的功能, 所以改密碼動作不會成功
第二種狀況, 因為帳號因為沒登入過, Cache 沒有資料, 他勢必要去找 PDC 驗證, 但會找不到.

所以, 結論是: FSMO 掛了, 一定要手動從另外一台 DC 奪取 FSMO 之後, 整個系統才會正常.

以您的狀況來看, DC 剛掛的時候, 所有用戶端應該都還正常, 所以您沒有發現.

但是 Cache 有期限, 我忘了是 30 天還是 60 天? 總之當期限過了之後, 這個 Cache 就失效了, 此時他必須要找到 PDC 才行. 雖然您的 PDC 也許是活著的, 但是因為 Client 電腦與 DC 之間的連結超過 30 天以上, 這會連電腦驗證都失敗, 如此一來, 即使帳號密碼對, 也會發生完全無法驗證的問題.

我還是認為您三台 DC 之間可能有失聯的狀況, 請試著把 DNS 全部指到 DC05 去 (因為他是現任 FSMO, 照理說 NTDS 資料庫應該是最正確的), 重開三台 DC, 重開之後再檢查 dcdiag 和 repadmin 的結果...

感謝回應

剛重開後
依指示測試了一下
dcdiag部份，三台都有failed test systemlog
repadmin /showrepl /all部份，則沒有錯誤