簡單說明一下環境
台灣二台dc,分別為dc05、dc06,二台dc的dns互指
中國大陸一台dc,為dc02,dns指回dc05
台灣與中國走專線
gc部份只有台灣二台dc有
有在dc上下dcdiag /a,全部pass
問題附圖如下
前二張是事件圖
第三張是dc上的dns事件,只有重開dc時,才會產生
(不知道此點有沒有關系,也列出)
每天早上user端開機之後(主機板ga-b75m hd3,giga網卡)
該事件是不會產生的,都要用電腦一陣子之後,才會跑出來該事件(圖中事件有時間點)
請問我應該往哪裡找方向呢??
補充簡易架構圖
DC 複寫斷了, 造成各台 DC 之間不同步. 您的 dcdiag 是否只在一台 DC 上面跑過?
每一台都要跑跑看, 因為各台的狀況不一樣. 應該是 DNS 複寫出問題, 但不保證是否還有其他的問題.
另每一台 DC 也請加跑 repadmin /showrepl /all 看錯誤訊息...
這個狀況很像是有某台 DC 與其他台的 RPC 連線中斷造成的.
感謝回應
在每台dc上下dcdiag發現
dc05正常
dc06==>發現中國大陸那台dc02的Advertising錯誤
登入dc02發現,事件檢事器中,出現W32Time警告
(疑問,與dc05時間比較發現,二台時間誤差沒有超過3分鐘,這不是在合理範圍內嗎??)
所以是時間的問題??
還是沒有方向.....
額外的疑問
DC不是掛掉一台,網域還是能正常使用嗎??(所以文章常說DC要有二台以上)
但5719事件來說,好像不是這樣子.....
補充
五大在DC05上
ghost234提到:
DC不是掛掉一台,網域還是能正常使用嗎??(所以文章常說DC要有二台以上)
所有的 AD 文章在這件事情上, 只說了對一半, 但卻沒把更重要的另外一半有告訴讀者.
兩台 DC 確實可以備援, 但他不是「自動」備援, 而是要靠人工手動切換 FSMO 之後才會備援.
因為從 AD 開始, 以前 NT 的 PDC/BDC 角色, 只剩下 PDC 而已, 沒有 BDC, 而且 PDC 只能有一台, 不能有很多台. 所以, 除非您在唯一那台 PDC 掛掉之後, 手動將 PDC 角色移到別台去, 否則他是不會自動移轉的.
(續....)
好, 既然 PDC 掛了不會自動移轉, 那為何很多網友說: 我的 FSMO 掛了, 但是 Client 依然正常可以登入, 難道不是備援發生作用了嗎?
當然不是! PDC 掛了, Client 端可以繼續登入, 那是 AD 的保護機制開始發生作用, 不是 PDC 的備援發生作用. AD 的設計是: 當 Client 端找不到 PDC 的時候, 他可以用先前已經登入過的 Cache token, 繼續進行認證, 允許登入, 這樣才能確保 NB 拿到外面去, User 依然可以繼續登入; 否則 NB 一拿出去, 沒有 PDC, User 不就只能望著 NB 嘆氣?
(續.....)
那我們怎麼證明, Client 登入的帳號, 並沒有去跟 PDC 驗證, 而是用先前的 Cache?
很簡單, 你只要在 PDC 當掉之後, 做兩種測試:
在第一種狀況, 因為 PDC 不存在, 而 Cache 又沒有改密碼的功能, 所以改密碼動作不會成功
第二種狀況, 因為帳號因為沒登入過, Cache 沒有資料, 他勢必要去找 PDC 驗證, 但會找不到.
所以, 結論是: FSMO 掛了, 一定要手動從另外一台 DC 奪取 FSMO 之後, 整個系統才會正常.
以您的狀況來看, DC 剛掛的時候, 所有用戶端應該都還正常, 所以您沒有發現.
但是 Cache 有期限, 我忘了是 30 天還是 60 天? 總之當期限過了之後, 這個 Cache 就失效了, 此時他必須要找到 PDC 才行. 雖然您的 PDC 也許是活著的, 但是因為 Client 電腦與 DC 之間的連結超過 30 天以上, 這會連電腦驗證都失敗, 如此一來, 即使帳號密碼對, 也會發生完全無法驗證的問題.
我還是認為您三台 DC 之間可能有失聯的狀況, 請試著把 DNS 全部指到 DC05 去 (因為他是現任 FSMO, 照理說 NTDS 資料庫應該是最正確的), 重開三台 DC, 重開之後再檢查 dcdiag 和 repadmin 的結果...
感謝回應
剛重開後
依指示測試了一下
dcdiag部份,三台都有failed test systemlog
repadmin /showrepl /all部份,則沒有錯誤