Назад | Перейти на главную страницу

Веб-сайты (IIS 7.0) недоступны из Интернета после перезагрузки 1 из 4 контроллеров домена

Что произошло:

Нам пришлось перезагрузить один из наших контроллеров домена (DC), расположенный в VLAN 1, в целях обслуживания.

У нас в общей сложности 4 DC в 3 VLAN, поэтому мы думали, что это не повлияет на наши рабочие серверы, поскольку произойдет аварийное переключение.

Но во время перезагрузки веб-сайты, требующие аутентификации на нашем DC и размещенные на серверах, которые находятся в той же VLAN, что и перезагружающийся DC, не были доступны извне (через Интернет) в течение 20 минут.

Я склонен думать, что IIS на производственных серверах в VLAN 1 потерял свое соединение с доменом и не мог использовать какие-либо другие DC, расположенные в VLAN 2 или 3, в то время как их DC в VLAN 1 перезагружался.

Конфигурация:

1-й DC, под управлением Win Svr 2K8 SP2, расположенный в VLAN 1 2-й и 3-й DC, оба работают под Win Svr 2003 R2, расположены во VLAN 2 4-й DC, под управлением Win Svr 2K8 SP2, расположены на затронутых серверах VLAN 3, все работают под Win Svr 2K8 SP2, с IIS 7.0 и .Net 4.0, часть VLAN 1

Служба DNS работает на всех 4 контроллерах домена. Функциональный уровень домена: включена собственная балансировка сетевой нагрузки Windows 2000.

Предпринятые шаги:

Запустите REPADMIN / SHOWREPS в командной строке с повышенными привилегиями с 1-го DC

Вывод команды:

DC = ForestDnsZones, DC = WXYZ, DC = com

Site-Name2 \ DC2 через RPC

    DSA object GUID: 

    Last attempt @ 2013-06-19 14:50:45 was successful.

Site-Name2\DC3 via RPC

    DSA object GUID: 

    Last attempt @ 2013-06-19 14:50:45 was successful.

Site-Name2\DC2 via RPC

    DSA object GUID:

    Last attempt @ 2013-06-19 14:52:19 was successful.

Так что репликация происходит нормально.

Я проверил и подтвердил, что все серверы в VLAN 1 имеют статический IP-адрес, основной DNS и 2 альтернативных DNS, настроенных в их NIC. Все серверы могут пинговать все 3 DNS-сервера.

Я следил за базой данных KBase «Как проверить создание записей SRV для контроллера домена» (http://support.microsoft.com/kb/241515) Я использовал Nslookup и выполнил 3 шага. Результат показал, что все 4 сервера DC / DNS были зарегистрированы, и для всех я получил:

_ldap._tcp.dc._msdcs.mydomainname Расположение службы SRV:

      priority       = 0
      weight         = 100
      port           = 389
      svr hostname   =

Вопросы:

Может ли это быть проблемой Kerberos? Или проблема переключения при отказе?

Я был бы признателен, если бы кто-нибудь мог предоставить некоторые шаги по устранению неполадок или инструменты, которые я мог бы использовать, чтобы найти проблему и решить ее.

Следовать за:

Я выполнил следующую командную строку для каждого DC:

dcdiag / s: dcname / u: домен \ adminusername / p: / a / v / c * и вернул следующий результат:

Запуск теста: Intersite

     Doing intersite inbound replication test on site VLAN1:
        Locating & Contacting Intersite Topology Generator (ISTG) ...
           The ISTG for site VLAN1 is: DC1.
        Checking for down bridgeheads ...
           Bridghead VLAN1\DC1 is up and replicating fine.
           Bridghead VLAN2\DC2 is up and replicating fine.
           Bridghead VLAN2\DC3 is up and replicating fine.
           Bridghead VLAN3\DC4 is up and replicating fine.
        Doing in depth site analysis ...
           All expected sites and bridgeheads are replicating into site VLAN1

Запуск теста: Intersite

    Doing intersite inbound replication test on site
    VLAN2:
       Locating & Contacting Intersite Topology Generator (ISTG) ...
          The ISTG for site VLAN2 is: DC2.
       Checking for down bridgeheads ...
          Bridghead VLAN1\DC1 is up and replicating fine.
          Bridghead VLAN2\DC2 is up and replicating fine.
          Bridghead VLAN2\DC3 is up and replicating fine.
          Bridghead VLAN3\DC4 is up and replicating fine.
       Doing in depth site analysis ...
          All expected sites and bridgeheads are replicating into site VLAN2

Запуск теста: Intersite

     Doing intersite inbound replication test on site VLAN2:
        Locating & Contacting Intersite Topology Generator (ISTG) ...
           The ISTG for site VLAN2 is: DC2.
        Checking for down bridgeheads ...
           Bridghead VLAN1\DC1 is up and replicating fine.
           Bridghead VLAN2\DC2 is up and replicating fine.
           Bridghead VLAN2\DC3 is up and replicating fine.
           Bridghead VLAN3\DC4 is up and replicating fine.
        Doing in depth site analysis ...
           All expected sites and bridgeheads are replicating into site VLAN2.

Запуск теста: Intersite

    Doing intersite inbound replication test on site VLAN3:
        Locating & Contacting Intersite Topology Generator (ISTG) ...
           The ISTG for site VLAN3 is: DC4.
        Checking for down bridgeheads ...
           Bridghead VLAN1\DC1 is up and replicating fine.
           Bridghead VLAN2\DC2 is up and replicating fine.
           Bridghead VLAN2\DC3 is up and replicating fine.
           Bridghead VLAN3\DC4 is up and replicating fine.
           Doing in depth site analysis ...
           All expected sites and bridgeheads are replicating into site VLAN3.

Подтверждение предыдущей командной строки REPADMIN / SHOWREPS.

Это 4 DC в производстве, и я не могу допустить простоя, поэтому перезагрузка DC1, чтобы снова вызвать такое же поведение, будет моим последним выбором.

Есть ли у кого-нибудь советы по устранению неполадок? Может быть полезно использовать Wireshark?

Спасибо за вашу помощь.