问客户端在我的个人电脑上寻找GPO登录脚本，而不是在DC上做？

EN

检查DNS。现在看来，这一切都搞砸了。

作为域("@")资源记录应该始终指向最近的域控制器，而不应该指向其他任何地方。也就是说，在AD域中，"example.com“应为每个域控制器的DNS记录"example.com. dc.ad.dre.ss”，而不应该是任何其他“example.com”。A条目。

添加域控制器时，应自动添加这些记录。

这就是实现SYSVOL的冗余和分布式文件系统的方式。客户端通过"\example.com\SYSVOL“连接到域的sysvol，即使用域FQDN来访问它，如果一切都配置正确，它们最终将与某个域控制器对话。

Windows使不同域控制器上的sysvol文件保持同步，这样您就可以在任何控制器上更新GPO，并且它们最终会自动分发给其他DC。但是，这不是实时完成的，这也是GPO在更新后不能立即工作的原因之一。

我想在这里提到一些Samba4 AD控制器的行为。Samba4在SYSVOL中没有集成的同步文件，您必须在外部进行同步(通常是通过rsync，可能是lsycnd完成的)。从Samba4 DC到Windows的同步也有问题。例如，Zentyal (基于Samba4和Debian)只支持SYSVOL从Windows到Zentyal或从Zentyar到Zentyar的同步。

在任何情况下，如果您拥有注册域名"example.com"，请不要使用相同的名称创建Active Directory，否则您将无法使用裸露的"example.com“名称作为网站。这是众所周知的女士AD的缺点。Microsoft也不建议这样做；他们建议创建一些子域并从那里启动AD树。