Выполняя gpresult / r из командной строки, я заметил, что компьютерные лаборатории домена считывают политики с 2 контроллеров домена.
Конфигурация компьютера считывается из DC1, который является копией для DC2, и конфигурация пользователя считывается из DC2, зная, что DC1 размещен на сайте A, а DC2 размещен на сайте B.
Это странно, потому что этого не происходит с другими отделами или другими лабораториями, и я не уверен, что вызывает это, любая помощь будет оценена, хотя, когда я повторяю сервер входа в систему, он возвращается с DC1.
Похоже, вы не настроили свои сайты и службы Active Directory для определения подсетей и указания, какие подсети находятся на каком сайте.
Вам нужно будет сделать это, поэтому что клиенты знают, что нужно связаться с ближайшим к ним DC.
Похоже, что возникла проблема репликации между DC1 и DC2, вызванная тем временем, когда был создан GPO, как сказал Джим Б. выполнение gpupdate / force и перезапуск. Возможно, контроллеру домена требуется больше времени для репликации с сайта A на сайт B, потому что у нас нет сайта и служб, настроенных, как предложил Марк Хендерсон.
Microsoft представила новую настройку в Windows 8/2012, чтобы повлиять на это поведение.
Компьютер> Политики> Административные шаблоны> Система> Групповая политика:
«Включить синхронизацию контроллера домена AD / DFS во время обновления политики»
«Включение этого параметра приведет к тому, что клиент групповой политики будет подключаться к тому же контроллеру домена для общих папок DFS, как это используется для Active Directory ".
Кроме того, переменная среды LOGONSERVER показывает контроллер домена, который аутентифицировал учетную запись пользователя. Компьютер мог пройти проверку подлинности на другом контроллере домена. Вы можете использовать nltest / sc_query: domainfqdn, чтобы показать контроллер домена, используемый для аутентификации учетной записи компьютера.