域服务器问题

一、
4 p9 u  K- T! ~问题：
% d5 e0 q; E# @' r' {淡水公司客户端电脑不能加入域，把DNS指向域控192.168.113.235连外网都上不了。
9 Y: M+ l" i/ N0 K总部主域服务器(192.168.0.1)的日志提示以下两条错误信息：( X+ e  r  {) h7 i( {1 \) E1 t

知识一致性检查器(KCC)无法组成完全的跨越树网络拓扑。因此无法从本地站点到达如下列表的站点。: O  J1 [0 J! H! L: v6 t

站点: CN=danshui,CN=Sites,CN=Configuration,DC=xinghe168,DC=com

知识一致性检查器(KCC)检测到下列目录分区的问题。

目录分区:

CN=Configuration,DC=xinghe168,DC=com

Active Directory 站点和服务中没有足够的站点连接信息用于 KCC 创建跨越树复制拓扑。或者具有此目录分区的一个或多个控制器无法复制目录分区信息。这可能缘于域控制器无法访问。

用户操作

使用 Active Directory 站点和服务以执行下列操作之一:

- 发行足够的站点连接信息以做便 KCC 可以确定此目录能够到达此站点的路由。这是首选项。

- 添加从包含另一站点内的同一目录分区的域控制器到包含此目录分区的域控制器的连接对象。

如果 Active Directory 站点和服务任务不能更正此问题，请参阅 KCC 的上一事件日志以识别无法访问的域控制器。

* G! E7 b* i8 ~0 X
分析：可能是DNS配置出错造成此原因。

二、网络及相关域配置：

1.淡水网段为：192.168.113.0/24& v$ u: p- B0 i$ ~/ y4 j' |
2.深圳总部网段为：192.168.0.0/18
! ^/ H5 \9 |' ]* Y& g( o3.深圳和淡水通过VPN连接，且互连不存在问题！2 o7 r0 i" U  u7 C) S) G3 w
4.已在深圳主域服务器192.168.0.1上的”AD站点和服务”上配置了深圳和淡水的站点和网段。DNS安装在192.168.0.1主域服务器上。深圳另有一台额外控制域，IP为：192.168.0.3。6 o* }! D( w$ F& l
5.淡水增加一台本地的额外控制域服务器，IP为192.168.113.235，并安装DNS。
& H, Q$ d* h: j* p6 P5 ?) e  S6.在淡水服务器DNS区域复制设置没有问题，在服务器上能上网。

192.168.113.235是一台额外DC是吗？现在的问题是淡水公司客户端无法加入域，而且无法上网是吗？

对。192.168.113.235是一台额外DC。淡水公司客户端无法加入域。$ o9 T5 B9 F. O0 v# L% A
如果客户端的DNS指向额处DC的IP的话，就不能上网。指向当时的ISP的DNS就可以上网。但是，额外DC指向自己127.0.0.1是可以上网的。

客户端的DNS是要指向192.168.113.235的，然后在192.168.113.235上面做DNS的转发，转发到公网DNS！网关上要允许192.168.113.235访问公网的DNS！这样客户端内部解析、验证、加域等靠192.168.113.235，而外部地址的解靠转发到的公网DNS来完成！额外DC的的首选指向自己，备用指向总部的DNS即可！