Я переношу серверы из мест расположения colo на инстансы Amazon VPC EC2. Если кто-то раньше не работал с Amazon VPC, то VPN - заноза в заднице!
В любом случае, я настраиваю новый сервер, который действует как контроллер домена для нашего Amazon VPC. Чтобы перенести все учетные записи пользователей с наших существующих контроллеров домена, я вручную подключился к нашему colo VPN, используя свою учетную запись на новой машине Amazon EC2.
Я смог присоединиться к домену, и новый сервер Amazon стал еще одним контроллером домена в нашей сети. Все идет нормально.
Проблема, с которой я столкнулся, заключается в том, что при загрузке контроллера домена EC2 (который больше не подключен к VPN, поэтому он не может взаимодействовать с существующими контроллерами), требуется 6-8 минут, прежде чем я смогу удаленно подключиться к серверу. (вместо 1-2 минут). Кроме того, в это время большинство служб, которые мы также запускаем (например, IIS), также выдают ошибку 404, пока не пройдут 6-8 минут.
Это похоже на то, что контроллер домена сначала пытается связаться с другими контроллерами домена, а через 6-8 минут он возвращается к тому, который находится на локальном компьютере? Я не думаю, что это происходит, потому что в Server 2008 R2 нет основного и резервного контроллеров домена. Что касается Windows, они все равны.
Для моего сетевого адаптера у меня есть только один DNS-адрес 127.0.0.1, поэтому он должен искать локальный контроллер домена, а не другие контроллеры домена, к которым он подключался через VPN, когда VPN был включен.
В журналах сервера я вижу эти предупреждения во время перезагрузки:
Подписчику уведомления winlogon требуется много времени, чтобы обработать событие уведомления (CreateSession).
Подписчику уведомления winlogon потребовалось 409 секунд для обработки события уведомления (CreateSession).
Есть идеи о том, что здесь происходит? Я бы попытался удалить существующие контроллеры домена с нового компьютера Amazon EC2, но мне все равно нужно несколько раз подключиться через VPN, чтобы перенести некоторые данные между серверами, и я не хочу, чтобы это изменение отражалось обратно на другие контроллеры домена. в наших местах коло.
Есть ли у вас сайты и службы AD, настроенные как для сайтов, так и для подсетей, и есть ли у вас соответствующие DC на каждом сайте? Сервер VPC может использовать себя для DNS, но он может быть отнесен к другому DC в зависимости от того, какие записи SRV возвращаются. Это то, для чего предназначены сайты и службы, чтобы гарантировать, что клиенты домена (из которых контроллер домена является клиентом домена) обращаются к контроллерам домена на их собственном сайте. Я не могу сказать, что у меня есть какие-либо сведения из первых рук о том, аутентифицируется ли DC для себя в домене с несколькими DC, но я бы посмотрел на ADS & S и убедился, что он настроен правильно.
После завершения входа в систему запустите «echo% logonserver%» из командной строки на контроллере домена VPC и посмотрите, какой контроллер домена проверил его последним.