В настоящее время у нас работают 2 контроллера домена Active Directory Server 2008 R2 и на них работает отказоустойчивый кластер для обеспечения отказоустойчивого обслуживания файлов, печати и DHCP. Server1 выполняет все роли FSMO и является GC, а Server2 - просто GC ....
Мы заметили, что запуск Server1 занимает очень много времени (что, я считаю, является результатом того, что DNS недоступен из-за ожидания ADDS, а ADDS не может ничего найти, потому что не видит DNS). Обычно мы включаем Server1, ждем 30 секунд или около того и включаем Server2. Server1 будет сидеть и ждать в «Применении настроек компьютера», пока Server2 не завершит свой запуск. DNS на Server2 не начинает работать, пока я не смогу войти в Server1 и инициировать перезагрузку. Как только Server1 завершит перезапуск, все в порядке, и мы сможем продолжить запуск.
Результатом всего этого является то, что для запуска отказоустойчивого кластера требуется ручное вмешательство, поскольку он выходит из строя, поскольку AD / DNS не готовы. Я провел небольшое исследование, чтобы понять, что эта длительная задержка запуска вызвана отсутствием DNS для server1 (сценарий типа курица и яйцо). Я бы очень хотел решить эту проблему, так как это упрощает документирование (и, таким образом, это делает кто-то другой :)), когда есть определенный процесс, поэтому мне кажется, что решение состоит в том, чтобы добавить еще один DNS-сервер ( Я думаю, что это не DNS-сервер AD, возможно, даже DNS-сервер Linux) и запустите это до Server1 и 2. Я на правильном пути, или DNS-серверу нужно интегрировать AD? Или было бы лучше добавить RODC и запустить его первым?
Решите проблему: создайте отдельную небольшую машину с Active Directory, которая находится на собственном ИБП и действует как последнее средство AD. Другие AD используют его как DNS. Задача решена. Это то, что я делаю в своей среде, и это серьезно сокращает время загрузки.
DNS обычно интегрирован в AD, если вы не уничтожите его вручную, что имеет другие последствия.
Ответ TomTom тут же. Я просто отправляю отдельный ответ, чтобы прояснить некоторые вещи.
Для правильной работы кластеризации Windows (где служба кластеров запускается на каждом узле) узел, который формирует кластер, должен иметь возможность проверять учетную запись домена службы кластеров, которая является учетной записью, которую вы настраиваете во время установки кластера Windows. Для этого каждый узел должен иметь возможность установить безопасный канал с контроллером домена для проверки этой учетной записи. Если узел не может проверить учетную запись, служба кластеров не запускается. Это также верно для других кластерных программ, которые должны иметь проверку учетных записей для запуска служб, таких как Microsoft SQL Server и Microsoft Exchange.
Итак, имея всего два контроллера домена в одном кластере, службе кластера некуда проходить аутентификацию во время загрузки, что затем приводит к сбою других служб или их запуску требуется огромное количество времени.
Я мог бы добавить: кластеризация контроллеров домена - не обычная практика.