Итак, сайты разделены WAN
Domain : production.contoso.local
SITE A
Site network: 192.168.0.0/16
Site DCs : DC1-SiteA, DC2-SiteA
Client : serverA
SITE B
Site network: 172.16.0.0/16
Site DCS : DC1-SiteB, DC2-SiteB
Client : serverB
Случайным образом серверы, кажется, разрешают доменное имя в DC на другом сайте.
Я войду на serverA (192. *) и пропингую наш домен "production", и он будет преобразован в ip DC на другом сайте (DC1-SiteB, 172.16.0.0/16), а с другой стороны, если Я проверяю домен, используя полный fqdn "production.contoso.com", затем я перейду на правильный DC (DC1-SiteA, 192.168.0.0/16)
Если я сброшу dns, то ситуация изменится на обратную: «production» преобразуется в DC1-SiteA (192 *), а «production.contoso.com» преобразуется в DC1-SiteB (172. *).
Все клиенты и серверы сообщают, что находятся на правильном сайте через http://www.powershellmagazine.com/2013/04/23/pstip-get-the-ad-site-name-of-a-computer/
Проверка DCDiags на всех контроллерах домена
Все записи DNS и _msdcs выглядят правильно.
Это нормально?..?
Если домен преобразуется в DC на другом сайте, запрашивает ли он политики и аутентифицирует их, тем самым замедляя время входа / перезагрузки?
Мне нужно проверить какой-нибудь другой проспект?
Ваша проблема в том, что команда ping не поддерживает сайт Active Directory. Когда вы вводите команду ping для полного доменного имени вашего домена, он выдает простой DNS-запрос для имени, который возвращает IP-адреса всех контроллеров домена. Затем он выбирает один круговой алгоритм из результатов для фактического использования для проверки связи.
Что вы пытаетесь проверить / выполнить с помощью эхо-запроса домена? Если просто проверить, использует ли сервер правильный контроллер домена для аутентификации, самый быстрый способ, который я знаю, - это использовать set команда из командной строки. Ищите LOGONSERVER переменная окружения. Если набрать немного больше, вы можете получить его напрямую, набрав echo %LOGONSERVER%.
Если вам нужно учитывать службы или приложения, подключающиеся к домену, которые не поддерживают сайт, вам нужно проделать еще немного работы. В некоторых компаниях, в которых я работаю, это очень дешевый способ - создать вручную псевдонимы сайтов в DNS. В вашем случае вы должны создать 4 дополнительные записи A на своем DNS-сервере:
Мы сделали это в некоторых компаниях, в которых я работаю, для учета таких вещей, как веб-сайты, которые имеют интеграцию с AD через LDAP. Сам по себе протокол LDAP не поддерживает сайт *. Таким образом, если сервер, на котором размещен сайт, находится на сайте A и вы настроили конфигурацию LDAP для использования полного доменного имени домена, он может выбрать использование одного из контроллеров домена на сайте B. С помощью дополнительных записей DNS вы можете установить конфигурацию LDAP. вместо этого использовать sitea.production.contoso.local. Затем, пока вы обновляете эти записи при добавлении / удалении контроллеров домена, вам никогда не придется перенастраивать приложение.
Аутентификация и трафик активного каталога будут зависеть от того, что вы настроили в AD Sites and Services, это не зависит от DNS. Настроив различные подсети в своей сети и назначив их соответствующим сайтам, вы можете управлять трафиком AD и топологией репликации домена.