為何多DC 不建議這樣做呢?? 之前都至少會有第二台DC，所以問題出在這嗎??以前工作至少都會有兩台以上的DC，第二台等於當備援這樣

請改掉「第二台DC等於當備援」這樣的觀念...

這個觀念源自於當初 NT 3.5 時代 PDC/BDC 架構; 但事實上, 這個架構已經在 Windows 2000 就被改成 Active Directory (也就是 AD)....這個已經被改了 20 年的架構, 竟然還有講師和書本在說: PDC/BDC 互相備援, 然後套用到現在的 AD 上去, 真是誤人不淺....

NT 時代的 PDC, 到了 AD 時代, 為了相容性的理由, 被納入 AD 的 FSMO 五大角色內, 成為其中一員, 但是 BDC 卻被捨棄掉沒納進來, 所以到了 AD 時代之後, PDC 並沒有備援能力...事實上:

AD 的 FSMO 五大角色都沒有備援能力!!
AD 的 FSMO 五大角色都沒有備援能力!!
AD 的 FSMO 五大角色都沒有備援能力!!
(很重要所以要講三次)

AD 雖然可以讓你架設多台 DC, 也會複寫資料, 但是複寫的目的不是備援, 是為了負載平衡, 在這個架構下, 他原始設計是預期你:「所有加入的 DC 都必須健康的活著」, 並不是說: 有一台死掉, 另外一台就會接手的概念....

翻以前的舊文章出來複習:
ITHelp: AD DC PDC BDC

這樣講好了:
我們有兩隻手, 這兩隻手是互相備援嗎?

右手斷掉, 左手馬上可以跟右手同樣速度寫字?
右手斷掉, 左手馬上可以右手一樣拿筷子吃飯?
若不能立即無縫接管相同功能, 就不能稱為備援.

你可以試試看: 把 AD 裡面的 FSMO 那台 DC 關掉, 不做任何調整, 其他 DC 可否正常接手? (例如: 加網域/退網域, 改GPO, 改密碼...)

誠然, 右手斷了, 左手確實可以執行少部分右手的工作, 但是他一來做不好, 二來幾乎大部分的工作都沒辦法做, 這樣你還能正常生活嗎? 其餘的 DC 能繼續維持 AD 所有工作的正常嗎?

兩台 DC 架好後, 先關掉一台, 然後等活著的那台掛掉時, 再開第二台「你以為可以備用的」 DC 起來接手? 這樣接得起來嗎?....實情是: 你的 AD 會全部毀掉...

所以, 不要再把多台 DC 當備援!! AD 的設計是沒有備援的, 你一但加入了新的 DC, 就必須確保它們跟第一台 DC 一樣的健康, 一樣每天開機, 一樣不能讓他掛掉; 如果你的多台 DC 每天開開關關, 走走停停的話, 你的 AD 遲早有一定會全部都掛掉...

加入他就要保護他, 每台 DC 都是平等的, 不可以厚此薄彼, 忽略任何一台; 至於, 他們之間有甚麼高低階級關係, 那是它們自己的事情 , 不需要你去操心; 除非它們自己搞不定, 你才需要介入. 你的任務只有: 維持每一台 DC 都正常活著, 有哪一台掛了, 就要把他修到好恢復上線, 其他的事情讓 AD 架構去處理.

回到您的問題, 為何多台 DC 不能指向自已?

還記得上面的概念嗎? 多台 DC 時, 大家是生命共同體, 所以每一台 DC 都必須相信其他 DC 是正常的, 在這個前提下, 多台 DC 啟動的時候, DNS 指向其他台 DC, 才能驗證這個概念, 因為 DNS Zone 裡面會帶出重要的 AD NTDS 資訊來查詢; 如果每一台都指向自己的話, 萬一自己的 NTDS 資料庫有問題, 他只查了自己的 DNS, 並不知道自己已經跟別人不一樣了. (你應該知道 AD 的 DNS 跟 Internet DNS 功能不一樣吧? 例如: _ldap, _gc, _kerbros...這些用途, 還有 _msdcs partition 的功能...這些資訊都來自 NTDS 資料庫)

唯一能指向自己, 而不會有問題的, 就是 FSMO 那台 DC. 所以這也是為何: 只有一台 DC 的時候可以指向自己, 因為那個情境下, 他自己一定是 FSMO...

以後還有人在講 AD 自己會備援的, 叫他回去重考 MCSA 證照..

謝謝你花這麼長的篇幅回復，感恩