相关疑难解决方法(0)

这是一个关于 Active Directory 域服务 (AD DS)的规范问题。

什么是活动目录？它有什么作用以及它是如何工作的？

Active Directory 的组织方式：林、子域、树、站点或 OU

我发现自己几乎每天都在解释一些我认为是常识的知识。希望这个问题可以作为大多数基本 Active Directory 问题的规范问答。如果你觉得你可以改进这个问题的答案，请编辑掉。

我有一个运行 Windows 2008 R2 的小环境，其中域控制器上的 DHCP 服务每两周失败一次。

最明显的错误是Event ID 1059，事件查看器消息是：

"The DHCP service failed to see a directory server for authorization."

该设置具有两个域控制器以及常用的服务和角色（文件、打印、交换）。由于各种原因，重新启动服务失败。我在不同时间收到以下消息：

• “没有足够的存储空间来完成此操作”。
• “无法确定服务器 192.168.xx 的 DHCP 服务器版本”
• “DHCP 服务检测到它正在 DC 上运行，并且没有配置凭据以用于由 DHCP 服务启动的动态 DNS 注册。”

重新启动域控制器可以解决大约 2 周的问题。这些系统是虚拟化的，不存在网络连接问题。

关于这里发生了什么的任何想法？

编辑 - 解决方案似乎是修复行为不端的域控制器。

我的设置只有一个 Active Directory（不是多余的）。应该在客户端 PC 上配置什么以确保最佳 DNS 解析？目前有人将 AD 的 IP 地址配置为主 DNS，将公共 DNS 配置为辅助（不是谷歌的，而是提供商的 DNS）。

尽管在大多数用例中它似乎运行良好，但我认为这不是一个好的做法，而且我已经看到了 2 个问题：

1) 有一次在 PC 上未应用 GPO。可能 pc 试图解析 SRV 记录，无论出于何种原因，DNS 请求可能已发送到辅助 DNS 服务器。辅助 DNS 服务器当然无法回答。我没有证据证明这是问题，但我怀疑它。客户端是 Windows 7，服务器是 Windows Server 2012。

2) 还有一次，用户创建了一张票，导致他无法登录 LAN 应用程序（终端服务器）。该错误消息与 DNS 解析错误有关。nslookup 或 ping 提供了很好的 DNS 解析。在 ipconfig/flushdns 之后，用户能够连接到终端服务器。结论：问题的原因可能是一个否定的 DNS 答案，该答案已被缓存在 PC 上。

只填写一个主DNS有一个很大的缺点，如果AD有问题，用户完全被阻止无法上网，访问电子邮件，..

已为另一组用户实施的解决方案是部署一个小型 DNS 服务器 (dnsmasq)，其中包含一些规则，将所有 AD 域仅转发到 AD 服务器，其余（公共 DNS）转发到 AD + 其他作为辅助。通过这种设置，用户可以在 AD 出现问题的情况下继续冲浪，并且所有 AD（本地查询）仅发送到 AD DNS 服务器。

在 AD 服务器本身上，最佳实践是什么？默认情况下，Windows Server 将其主 DNS 配置为 …