В настоящее время я работаю в среде, где работают 2 контроллера домена и еще один контроллер домена, который является резервным, но в настоящее время также работает, поэтому в случае сбоя двух других резервных копий есть все необходимое для успешного выполнения.
Проблема, с которой я сейчас сталкиваюсь (на самом деле это не такая уж большая проблема, просто клиент хотел бы, чтобы она работала определенным образом), заключается в том, что, когда некоторые пользователи входят в систему, они получают свои групповые политики из контроллера аварийного восстановления. Причина этого в том, что все они находятся в одной сети с одинаковой маской подсети и т. Д.
Мой вопрос: есть ли способ, чтобы при входе пользователя в систему компьютер был более склонен перейти к 2 основным DC, а не к DC аварийного восстановления?
Будет ли это с метриками маршрутизации, или есть определенная часть сервера, которую я могу включить и сделать ее более «доминирующим» сервером.
Серверы - это серверы Windows 2k8, работающие как виртуальные машины. Я могу получить любую дополнительную информацию.
Спасибо!
Если вы действительно используете второй DC в качестве DC для «аварийного восстановления», вам следует переместить его на второй сайт в AD Sites and Services. Это заставит клиентов аутентифицироваться на «ближайшем» DC. Обычно я устанавливаю два контроллера домена для аварийного восстановления, но я разрешаю клиентам использовать их оба.
Если вы извлекаете разные объекты групповой политики с сервера аварийного восстановления, то с вашей настройкой что-то не так. GPO следует синхронизировать на всех серверах в течение нескольких минут после изменения.
Ваш клиент делает это неправильно. Не существует такого понятия, как контроллер домена «аварийного восстановления». для всех намерений и целей все DC равны. Вы позволяете непониманию вашего клиента вести этот сценарий, тогда как вместо этого вам следует обучать его. Не вдаваясь в капризы держателей ролей FSMO, глобальные каталоги, аутентификацию и авторизацию AD, покрытие сайта, репликацию и т. Д. И т. Д. И все прочие мелкие детали функции и работы AD, я просто скажу, что вы этого не делаете. нужен DC "аварийного восстановления"; что термин «контроллер домена аварийного восстановления» является анафемой для людей, которые действительно понимают работу AD; и что вам следует немедленно остановиться и изучить тонкости Active Directory, прежде чем приступать к внесению каких-либо изменений.
Вы можете изменить веса записей в _msdcs.yourdomain.com, чтобы сделать DC Disaster Recovery менее предпочтительным. По умолчанию они будут иметь одинаковый вес, и клиенты будут переключаться между ними.
Однако я не рекомендую вручную возиться с записями DNS вашего контроллера домена. Было бы чище переместить DR DC на отдельный сайт в ADSS.