對等域未對使用者進行身份驗證

我有一個有兩個 DC 的森林，其中一個被添加為原始 DC 的對等點。

一個 DC 執行 Windows Server 2008，另一個執行 Windows Server 2008 R2。我可以在兩台伺服器上看到，工作站都被分配了來自兩個 DHCP 範圍的 IP 地址，並且所有記錄都在 DNS 中註冊。

為了在域上進行測試，我取下了原來的 DC，以檢查所有使用者是否仍將向新的對等 DC 進行身份驗證，但似乎他們沒有這樣做，並且機器正在登錄到他們的本地帳戶。

• 您可能希望第二台伺服器成為全域編錄，除非您希望 Exchange（以及依賴它的所有其他軟體）在每次您的第一個 DC 出現故障時都失敗。您將在 AD 站點和服務下的第二個 DC 的 NTDS 設置下找到該選項。
• 檢查兩台伺服器上的 DHCP 範圍是否在 DNS 選項 006（DNS 伺服器）中都有兩個域控制器。一個好的做法是DC1, DC2在 DC1DC2, DC1上市，在 DC2 上市
• （完成上一步之後），確保客戶端可以解析域查找。執行ipconfig /all以驗證它們是否將兩個域控制器都列為 DNS 伺服器，然後執行nslookup domain.name. 結果應該是兩個域控制器 IP 地址的循環回复。
• 檢查 DC2 的 LAN 介面上是否有 DC1 作為主 DNS 伺服器，以及 DC1 是否有 DC2 作為主 DNS 伺服器。放在127.0.0.1兩個 DNS 伺服器上作為輔助 DNS 伺服器
• dcdiag在兩個域控制器上執行以發現任何問題
• 檢查兩個域控制器上的事件日誌以發現 dcdiag 未發現的任何問題
• 不要長時間斷開其他域控制器。你應該只在短時間內故意這樣做

引用自：https://serverfault.com/questions/526536