故障现象

单位部署了Windows Server 2016域环境，安装了主域控制器和辅助域控制器。但是，在使用过程中，有部分客户反映在登录域的时候，会出现等待3到5分钟甚至更长的时间才可以进入到域环境，这对正常的工作造成了不利的影响。因此，需要查找出问题的原因加以解决。

故障排查

对于这种问题，产生的原因可能是多方面的。例如最常见的情况是客户机在联系域时出现故障，主要是因为DNS解析失败造成的。如果客户机错误的的配置了DNS服务器的地址（一般为DC的IP），也会造成上述情况的发生。因为存在两台预控，如果其中一台出现故障，就很容易造成部分用户登录时间过缓的问题。

在存在问题的客户机上执行“ipconfig /all”命令，查看其详细网络配置信息，检测DNS服务器指向DC，说明DNS的配置没有问题。执行“ping xxx.yyy.com” 命令，可以探测到域控，这里的“xxx.yyy.com”为域控的名称。经过以上检测，可以看到客户机的IP和DNS解析配置都没有问题。

在客户登录域时，如果没有办法解析域名或者DC不可用的话，那么客户机就可以通过本地的缓存来登录到域中的。但是，利用本地缓存登录域时，是存在次数限制的。在默认情况下，只允许10次登录。

注意，这里的10次指的是允许10个客户进行登录，即允许每个客户登录一次。因此，在出现问题的客户机上执行“gpedit.msc”程序，在组策略编辑器左侧选择“计算机配置→Windows设置→安全设置→本地策略→安全选项”分支，在右侧双击“交互式登录:之前登录到缓存的次数(域控制器不可用时)”项，在其属性窗口中的“缓存”栏中修改其数值，例如设置为“50”。

之后执行“gpupdate /force”命令，强制刷新组策 略。 执 行“ipconfg /flushdns”命令，清除本地缓存。这样就解决了客户机DNS解析失败的问题。

之后再次登录域环境，但是依然存在登录过缓的情况。以管理员身份登录预控，在DNS管理器窗口左侧选择DNS服务器名，在右键菜单上点击“清除缓存”项，清除DNS缓存信息。执行“services.msc”程序，在服务管理器中双击“Netlogon”项，在属性窗口中点击“停止”按钮停止其运行，之后重新启动该服务。双击“DNS Server”服务项，在属性窗口中看到其处于正常运行状态。

既然是特定的域账户无法顺利登录域控，所以在Active Directory用户和计算机窗口中双击“目标账户”，在属性窗口中的“账户”面板中检测是否在限制在特定时间段登录，是否限制登录到某主机，账户是否禁用或者锁定，账户是否过期等，经过检测并没有存在明显的问题。在问题客户机上登录域环境，发现依然存在以上故障。

打开Active Directory站点和服务窗口，在左侧选择“Sites→Default-First-Site-Name→Servers→DNS服务器名称→NTDS Settings”分支，在其右键菜单上点击新建Active Directory域服务连接”项，在“打开”窗口中点击“开始查找”按钮，找到上述两台预控设备，并分别输入新的链接对象名称，重新对其进行连接。在客户机上进行登录域测试，发现登录缓慢的问题并没有得到任何改善。

故障排除

为了彻底解决该问题，只能重新DNS区域。在DNS管理器左侧选择“正向查找区域”项，在右侧选择所有区域，在右键菜单上点击“删除”按钮，将其全部删除。

按照上述方法，清除DNS服务器缓存，在Active Directory用户和计算机窗口中点击菜单“查看→高级功能”项，在左侧选择“System→ MicrosoftDNS”项，在右侧窗口中如果存在“domain.com” 或 者“_msdcs.domain.com”项，则将其删除。在服务管理器中停止“Netlogon”服务，打开资源管理器，进入“%windir%system32config”目录，将其中的“netlogon.dnb”和“netlogon.dns”文件删除，进 入“%windir%system32dns”目录，如果发现存在“domain.com.dns”、“_msdcs.domain.com.dns”等文件则将其删除。在网络连接属性窗口中双击“Internet协议版本4”项，在属性窗口中选择“使用下面的DDNS服务器地址”项，在首选DNS服务器栏中输入域控自己的IP，清除备用DNS服务器设置信息。

在DNS管理器左侧选择“正向搜索区域”项，在右键菜单上选择“新建区域”项，在向导界面中点击“下一步”按钮，在区域类型窗口中选择“主要区域”和“在Active Directory中存储区域”项，在下一步窗口中选择“至此域中域控制器上运行的所有DNS 服务器”项，点击“下一步”按钮，输入区域名后名称（例如“xxx.com”），在下一步窗口中选择“创建新文件，文件名为”项，输入域名文件名称，例如“xxx.com.dns”。选择“只允许安全的动态更新”项，点击“完成”按钮，创建该区域的创建。

之后按照同样的方法，创建名为“msdcs.contoso.com”的区域。在CMD窗口中执行“net stop netlogon &start netlogon”命令，重启“NetLogon”服务。执行“net stop dns & net start dns”命令，重启DNS服务。执行“ipconfig /flushdns” 和“ipconfig /registerdns”命令，重新刷新所有DHCP租期并重新注册DNS名字。经过以上操作后，完成了在域控上重建AD集成DNS区域操作。之后在存在问题的客户机上重新登录域环境，发现登录缓慢的问题消失，可以正常的进行登录。