這是一件: 在新版系統上引用 20 年前舊知識所造成的誤解....

登入一個舊帳號, 需要甚麼角色來驗證? Ans:

狀況一: 本機 Cache 已存有驗證 Token, 用本機 Token 驗證
狀況二: 本機沒有 Token, 需要向 PDC 取得新的 Token 驗證

VPN 斷線時, 您的舊帳號仍可以符合狀況一, 所以跟你的 DC 無關
(想想看: 萬一 NB 帶到外面去用, 沒辦法連 DC, 開機能不能登入?)

我們再問,
登入一個新帳號, 需要甚麼角色來驗證? Ans:

因本機未曾登入過, Cache 內沒有 Token, 所以必須向 PDC 驗證

這裡是問題癥結點:
當 VPN 斷線時, 他要如何向 PDC 驗證?

很多人會說:
「啊我有很多台 DC 啊, 本地也有 DC, 不是可以驗證嗎?」

上面這個被誤傳很久的說法, 在 NT3.5~4.0 的 Pre-AD 時代是成立的, 因為當時的驗證設計只有: PDC 和 BDC 兩種角色, 當 PDC 不存在的時候, BDC 會自動出來接手驗證. 只要你的本地有 BDC 備援, 即使 VPN 斷線連不到 PDC 還是可以驗證....不過....(就是這個 But..)

這個 NT 架構, 早在進入 Windows 2000 的時候, 就已經被拋棄了: 2000 開始導入 Active Directory (AD) 架構, 在 AD 架構下, 已經沒有原本 NT 架構內的 PDC/BDC 這兩個東西, 但以前的驗證方法還無法馬上被拋棄, 當時該怎麼辦?

所以 2000 AD 另外創了一個角色叫: PDC Emulator, 後來被併入 FSMO 五大角色內, 成為五大角色的一員, 這五大角色分別是:
1. Schema Master
2. Domain Naming Master
3. Infrastructure Master
4. RID Master
5. PDC Emulator 

五大角色是各自獨立的, 可以分散在多台 DC, 但並不是每個角色都可以有多套並存..其中 Schema 和 Domain Naming 在整個 Forest level 內只會有一套, 剩下的 Infrastructure/RID/PDC Emulator 則是每一個 Domain level 裡面會有一套....

一個 AD 組織下只能有一個 Forest level, 一個 Forest 下, 可以有多個 Domain level, 一個 Domain level 底下可以有多個 Site.... 但是一個 domain level 裡面, 只會有一台 PDC Emulator. (不論你有幾個 Site) 而且, 你看到 E-m-u-l-a-t-o-r 這幾個字了嗎? 代表他只是用來模擬充場面, 還不是真正的 PDC/BDC 架構...

(各位 AD 管理員, 你知道自己的五大角色分散在哪幾台 DC 內嗎?)

所以 AD 有 PDC Emulator, 但是有沒有 BDC? ...沒有...
所以 VPN 斷線了, 非 PDC 能不能驗證用戶端? ...不能...

(Server 2000 發表到現在, 你說, 是不是快要 20 年了?)
(其實還有個東西叫 Global Catalog 也要注意, 但他不是 FSMO)

這點跟 20 年前的 NT 架構設計大不相同, AD 管理員在設計和維運網路的時候, 請務必要小心謹記以下重點:

Windows AD 的設計是假設, 在整個 domain level DC 相連網路都不會斷的前提下, 才能正常操作, 雖然單一個 domain level 可以跟 Root forest 或是其他 domain level 短暫失聯沒關係, 但是在自己的 domain level 網路裡面, 各台 DC 之間是不能斷線. 一旦斷了, 運作就會不正常....

換句話說: AD 並沒有自動備援的設計, FSMO 一旦故障或斷線, 只能由人工進行奪取作業, 奪取成功之後才能恢復正常運作....

DC 之間不能斷線! AD 沒有自動備援能力!!
DC 之間不能斷線! AD 沒有自動備援能力!!
DC 之間不能斷線! AD 沒有自動備援能力!!

請各位 AD 管理員, 每天上班都默念以上口訣....
(也請大家別再用 20 年前的知識去教其他新手了)

------------ 我是分隔線

第二個問題:

不對呀, 你說斷線不能驗證, 但是為何我可以把電腦加入網域?!

沒錯, 但我上面只說不能驗證新用戶, 可沒說不能加電腦啊!!

加電腦進網域有哪些必要條件?

1. 必須通過 Domain Admins 身分驗證
2. 必須配發給該電腦專屬的新 SID 編號

第一個要求: 如果你在當地的 DC 上面操作過 Domain Admin 帳號, DC 裡面肯定有你的 Token Cache, 所以 Admin 身分驗證沒問題.

接下來第二個要求: 新的 SID 跟誰拿?

SID 的組成 = Domain SID + RID

五大角色內, RID 是由 RID Master 負責發放的, 但是 RID 又將這個工作, 委派給每一台 DC 去執行, 所以每一台 DC 都會分配到核發 RID 的編號空間.

當 VPN 斷線時, 如果本地的 DC 還活著, 雖然他不一定可以聯繫到 Domain level 內唯一的一台 RID Master 角色, 但因為編號空間早已委派給所有 DC 主機了, 所以即使連絡不到 RID, DC 自己也可以先行委派, 待連線恢復之後, 才將委派結果複寫出去...

以上才是你可以將電腦加入網域的關鍵, 跟 PDC Emulator 無關..

但是這裡有個前提:
發放 SID 必須是本機被委派的 RID 號碼還有剩餘空間時, 才可以完成. 如果本機預存的 RID 已經被用完了, 本地 DC 仍然要去跟 RID 申請一塊新的 RID 空間, 此時若聯絡不上 RID, 一樣會失敗....

------- 我又是分隔線

以上皆是 MCITP/MCSA 認證考試需要研讀的內容, 雖然認證對你的薪水可能沒有幫助, 不過顯然上過認證的課程, 你才會知道上述知識...

很多由 PC 玩家投入到 MIS 管理職的朋友, 往往只依賴朋友同好之間, 口耳相傳的說法, 但卻缺乏完整的正規訓練或是自習, 聽到人家說甚麼, 自己就跟著相信或跟著做, 導致 20 年前的舊知識, 被使用在不同架構新系統上的這種謬誤, 每年都不斷重複發生......

(我不知道為何一個 20 年前已廢掉的技術, 可以被誤傳這麼久?....)
(如果您身邊還有朋友在誤傳的話, 請將此篇用力傳出去打他臉)

強制複寫試試
repadmin /syncall
可以找到有沒有複寫錯誤
也要確認五大腳色都活得好好的..