这是一个关于 Active Directory 域服务 (AD DS)的规范问题。
Active Directory 的组织方式:林、子域、树、站点或 OU
我发现自己几乎每天都在解释一些我认为是常识的知识。希望这个问题可以作为大多数基本 Active Directory 问题的规范问答。如果你觉得你可以改进这个问题的答案,请编辑掉。
我有一个运行 Windows 2008 R2 的小环境,其中域控制器上的 DHCP 服务每两周失败一次。

最明显的错误是Event ID 1059,事件查看器消息是:
"The DHCP service failed to see a directory server for authorization."

该设置具有两个域控制器以及常用的服务和角色(文件、打印、交换)。由于各种原因,重新启动服务失败。我在不同时间收到以下消息:
重新启动域控制器可以解决大约 2 周的问题。这些系统是虚拟化的,不存在网络连接问题。
关于这里发生了什么的任何想法?
编辑 - 解决方案似乎是修复行为不端的域控制器。
我的设置只有一个 Active Directory(不是多余的)。应该在客户端 PC 上配置什么以确保最佳 DNS 解析?目前有人将 AD 的 IP 地址配置为主 DNS,将公共 DNS 配置为辅助(不是谷歌的,而是提供商的 DNS)。
尽管在大多数用例中它似乎运行良好,但我认为这不是一个好的做法,而且我已经看到了 2 个问题:
1) 有一次在 PC 上未应用 GPO。可能 pc 试图解析 SRV 记录,无论出于何种原因,DNS 请求可能已发送到辅助 DNS 服务器。辅助 DNS 服务器当然无法回答。我没有证据证明这是问题,但我怀疑它。客户端是 Windows 7,服务器是 Windows Server 2012。
2) 还有一次,用户创建了一张票,导致他无法登录 LAN 应用程序(终端服务器)。该错误消息与 DNS 解析错误有关。nslookup 或 ping 提供了很好的 DNS 解析。在 ipconfig/flushdns 之后,用户能够连接到终端服务器。结论:问题的原因可能是一个否定的 DNS 答案,该答案已被缓存在 PC 上。
只填写一个主DNS有一个很大的缺点,如果AD有问题,用户完全被阻止无法上网,访问电子邮件,..
已为另一组用户实施的解决方案是部署一个小型 DNS 服务器 (dnsmasq),其中包含一些规则,将所有 AD 域仅转发到 AD 服务器,其余(公共 DNS)转发到 AD + 其他作为辅助。通过这种设置,用户可以在 AD 出现问题的情况下继续冲浪,并且所有 AD(本地查询)仅发送到 AD DNS 服务器。
在 AD 服务器本身上,最佳实践是什么?默认情况下,Windows Server 将其主 DNS 配置为 …
domain-name-system active-directory best-practices windows-server-2012