У меня есть домен с двумя сайтами (назовите их локальным и удаленным). Site Local имеет нашу основную ИТ-инфраструктуру, включая два контроллера домена Active Directory (2008R2). Мы пытаемся настроить RODC на сайте Remote, который по большей части работает нормально. Все реплицируется, репликация паролей следует политике, удаленный DC отвечает на запросы - так что все в порядке. За исключением того, что машины на локальном сайте при запросе AD называются удаленным сайтом. Если я выполняю tcpdump, я вижу, что запрос LDAP попадает в оба локальных контроллера домена, а затем перехожу к удаленному RODC.
Я убедился, что все подсети на обоих концах настроены в оснастке «Сайт и службы», и что оба контроллера домена находятся на своих соответствующих сайтах. Согласно моему исследованию, это должно быть все, что требуется клиентам для запроса ближайшего DC. Я пропустил шаг?
Из техники:
"Когда клиент, который ищет контроллер домена, получает список IP-адресов контроллеров домена от DNS, клиент начинает, в свою очередь, опрашивать контроллеры домена, чтобы выяснить, какой контроллер домена доступен и подходит. Active Directory перехватывает запрос, который содержит IP-адрес клиента и передает его в Net Logon на контроллере домена. Net Logon ищет IP-адрес клиента в своей таблице сопоставления подсети-сайта, находя объект подсети, который наиболее точно соответствует IP-адресу клиента, а затем возвращает следующую информацию:
Имя сайта, на котором находится клиент, или сайта, наиболее точно соответствующего IP-адресу клиента.
Имя сайта, на котором расположен текущий контроллер домена.
Бит, указывающий, находится ли найденный контроллер домена (установлен бит) или нет (бит не установлен) на ближайшем к клиенту сайте.
Контроллер домена возвращает информацию клиенту. Ответ также содержит различные другие части информации, описывающие контроллер домена. Клиент проверяет информацию, чтобы определить, стоит ли пытаться найти лучший контроллер домена. Решение принято:
Если возвращаемый контроллер домена находится на ближайшем сайте (возвращаемый бит установлен), клиент использует этот контроллер домена.
Если клиент уже пытался найти контроллер домена на сайте, на котором контроллер домена утверждает, что он находится, клиент использует этот контроллер домена.
Если контроллер домена не находится на ближайшем сайте, клиент обновляет информацию о своем сайте и отправляет новый DNS-запрос, чтобы найти новый контроллер домена на сайте. Если второй запрос выполнен успешно, используется новый контроллер домена. Если второй запрос не удается, используется исходный контроллер домена ".
"запрос LDAP попал в оба локальных ..." Как вы используете для запроса AD? Какой сервер появится, если вы введете print% logonserver% в командной строке?