Я почти все свое время трачу на Linux \ Networking, но пытаюсь настроить многосайтовую конфигурацию AD. Нет корневого сайта или чего-то подобного, у меня просто два DC в SiteA и один DC в SiteB. Все они копируются друг в друга.
Я физически нахожусь в SiteB. Прежде чем я действительно настроил сайты в Active Directory Sites and Services, моя тестовая машина перебегала между SiteB-DC01, SiteA-DC01, и SiteA-DC02. После настройки (как сайтов, так и подсетей) мои машины SiteA используют контроллеры домена SiteA, а мои машины SiteB используют мои контроллеры домена SiteB. Я подтверждаю это, выдавая echo %LOGONSERVER%.
Это все хорошо, но ....
Что происходит, когда DC SiteB выходит из строя? Чтобы смоделировать это, я отключил DC SiteB, и клиенты SiteB пожаловались, что No logon server could be found.
Я пробовал создать дополнительный _ldap SRV запись в Forward Lookup Zones->DOMAIN->_sites->SiteB->_tcp но безрезультатно. Я установил приоритет DC SiteB равным 0, а SiteA DC равным 1. Это правильный способ сделать это?
Кроме того, в чем разница между всеми различными местоположениями записей SRV? Я не смог найти много имеющейся у меня документации:
Здравый смысл сказал бы мне, что клиент (он знает, на каком сайте он находится, поскольку он находится в реестре) будет выполнять DNS-запрос для конкретного сайта, чтобы найти все контроллеры домена, а затем выбрать один для аутентификации на основе приоритетов и весов.
Ваши клиенты ... используют ли они другие преобразователи DNS, кроме контроллера домена, который вы отключили? Избыточность в Active Directory бесполезна, если у ваших клиентов нет отказоустойчивого DNS-сервера, с помощью которого можно было бы найти альтернативный контроллер домена ...
Лично я бы рекомендовал настроить всех членов вашего домена на использование сначала двух контроллеров домена на своем собственном сайте, а затем контроллера домена с соседнего сайта в качестве третичного преобразователя DNS. (На мой взгляд, преимущества использования дополнительных DNS-преобразователей после третьего резко упадут). В производственной среде я бы рекомендовал два контроллера домена на сайт, но, конечно, в лабораторных условиях или в среде разработки можно увидеть только один DC для каждого местоположения. .
Вообще говоря, я бы не советовал вручную создавать записи SRV для контроллеров домена в Active Directory. DC в здоровой среде должны регистрировать и поддерживать свои собственные записи SRV.
В Active Directory действительно существует функция «автоматического покрытия сайта», при которой, когда AD видит сайт, который не содержит контроллеров домена, контроллеры домена со смежных сайтов «услужливо» регистрируют свои собственные записи SRV на этом другом сайте, также пытаясь обеспечить покрытие для клиентов, которые могут быть на этом сайте ... Я заключил слово «услужливо» в кавычки, потому что эта функция может вызвать путаницу, если вам интересно, как туда попали записи.
Кроме того, в чем разница между всеми различными местоположениями записей SRV?
Зона _msdcs.forestname.com реплицируется на весь лес и содержит записи SRV, которые клиенты могут использовать для поиска служб домена в лесу, таких как LDAP, глобальные каталоги, центры распространения ключей и т. Д.
Подзона _msdcs, которая находится под зоной domainname.forestname.com, отмеченная «серым» значком, является делегированной подзоной. Он специально делегирован этому домену. Если у вас есть однодоменный лес, вы, вероятно, не увидите большой разницы, но гораздо легче увидеть разницу в многодоменном лесу со сложной структурой DNS.