在 Azure 中使用 DSC 提升域控制器時調查 Sysvol 複製問題
我們正在使用 PowerShell DSC 來自動部署一些小型自包含環境,在這些環境中,我們正在部署 2 個域控制器並使用 DSC 來設置域等。這一切都很好,除了一旦部署和執行,在某些時候兩個 DC 之間的 sysvol 複製停止工作(或者它從未開始工作)。我們在日誌中看到了這個錯誤:
DFS 複製服務在本地路徑 F:\SYSVOL\domain 處初始化 SYSVOL,並正在等待執行初始複製。複製的文件夾將保持初始同步狀態,直到它與其夥伴複製。如果伺服器正處於升級為域控制器的過程中,則在解決此問題之前,域控制器將不會通告並充當域控制器。如果指定的伙伴也處於初始同步狀態,或者在此伺服器或同步夥伴上遇到共享衝突,則可能會發生這種情況。如果在將 SYSVOL 從文件複製服務 (FRS) 遷移到 DFS 複製期間發生此事件,則在解決此問題之前不會複製出更改。
現在我知道如何使用 ADSIEdit 解決此問題,這不是問題所在。我們正在自動部署這些環境,因為我們需要部署大量它們並以相同的方式配置它們,所以我真的不想在部署後進入每個環境來解決這個問題。我們在以這種方式部署的每個環境中都看到了這個問題,因此很明顯它的配置方式有問題。所以我真正要問的是,是否有人有任何想法可能導致這種情況,或者從哪裡開始尋找根本原因。
AD 部署非常簡單,我們首先配置 DC1,添加一些 DNS 條目、一些組策略項、一些使用者、組和 OU,然後添加第二個 DC。第二個 DC 確實獲取了所有這些對象,因此域的初始副本確實有效,但之後 SYSVOL 中的任何內容都沒有複製。
編輯
我們還在部署時看到了以下錯誤的單個實例 ID 1202,這很奇怪,因為 DC 舞會成功並且能夠獲取域的初始副本;
DFS 複製服務未能聯繫域控制器以訪問配置資訊。複製停止。該服務將在下一個配置輪詢週期內再次嘗試,該週期將在 60 分鐘後發生。此事件可能由 TCP/IP 連接、防火牆、Active Directory 域服務或 DNS 問題引起。
附加資訊:錯誤:1355(指定的域不存在或無法聯繫。)
我認為這是一個 DNS 問題。您不應該
127.0.0.1在這些機器上用作主 DNS,而應使用真實 IP 地址並將副本 DC 的 IP 設置為輔助 DNS 伺服器。這似乎是人們最少遇到問題的解決方案。這是多年來一直在討論的問題,眾說紛紜,甚至微軟也沒有給出明確的答案,請參見:連結問題
對於存在的 DNS 伺服器的位置和數量,Microsoft 的最佳做法是什麼?如何在 DC 和成員上配置 DNS 客戶端設置?
回答
這取決於你問誰。11 年來,我們在 MS 內部一直在爭論這個問題。