Недавно я добавил в локальную сеть второй контроллер домена. Активный каталог и DNS-сервер синхронизируются / реплицируются без ошибок, но когда исходный контроллер домена отключен или не работает, проверка подлинности домена больше не работает, как и DNS. Что мне не хватает в конфигурации?
Все, что я знаю, это то, что если новый пользователь пытается войти на компьютер, когда второй DC не работает, он получает сообщение, в котором говорится, что с доменом невозможно связаться. На DC2 размещаются все те же зоны DNS, что и на DC1.
* Команда powerhell get-addomaincontroller, выполняемая на втором контроллере постоянного тока, говорит, что верно для dc1, но не упоминает dc2 вообще.
Глобальный каталог проверяется в настройках NTDS для обоих контроллеров домена в AD для сайтов и служб.
DCDIAG / test: dns возвращает, что все прошло.
Команда Power Shell возвращает. PS C: \ Windows \ system32> Get-ADDomainController -Filter * | ft -prop name, site, IsGlobalCatalog, IsReadOnly Возвращает, что ReadOnly имеет значение False для обоих серверов.
Nslookup возвращает:
C: \ Windows \ system32> nslookup -type = SRV _kerberos._tcp.oicl.local 192.168.1.2
Сервер: OiclDc02.oicl.local Адрес: 192.168.1.2
_kerberos._tcp.oicl.local Расположение службы SRV: приоритет = 0 вес = 100 порт = 88 svr hostname = oicldc01.oicl.local _kerberos._tcp.oicl.local расположение службы SRV: priority = 0 weight = 100 port = 88 svr hostname = OiclDc02.oicl.local _kerberos._tcp.oicl.local Местоположение службы SRV: приоритет = 0 вес = 100 порт = 88 svr имя хоста = OiclDc01.oicl.local _kerberos._tcp.oicl.local Местоположение службы SRV: приоритет = 0 вес = 100 порт = 88 svr hostname = oicldc02.oicl.local oicldc01.oicl.local Интернет-адрес = 192.168.1.7 Интернет-адрес OiclDc02.oicl.local = 192.168.1.2 Интернет-адрес OiclDc01.oicl.local = 192.168.1.7 oicldc02.oicl.local интернет-адрес = 192.168.1.2
C: \ Windows \ system32>
Обновлены ли настройки DNS на всех машинах для использования второго контроллера домена для DNS? Если вы не уверены, что сможете бежать ipconfig /all на клиента, чтобы увидеть. Если в списке указан только один «DNS-сервер», это проблема. Для DHCP-клиентов обновите свои области, чтобы включить 2-й DC в качестве вторичных DNS-серверов. При следующем обновлении DHCP клиенты получат 2-й DNS-сервер. Для статических клиентов вам нужно будет добавить второй DNS-сервер вручную.
C:\> ipconfig /all
Ethernet adapter Ethernet:
<rows of other stuff>
DNS Servers . . . . . . . . . . . : 10.2.3.4
10.2.3.5
NetBIOS over Tcpip. . . . . . . . : Enabled
Редактировать 10/3
Сбой аутентификации влияет на ВСЕ приложения или только на одно? Некоторые старые устаревшие приложения могут зависеть от держателя PDC FSMO.
Размещает ли DC2 все те же зоны DNS, что и DC1?
Еще нужно проверить, является ли 2-й DC также сервером глобального каталога? Вызвать get-addomaincontroller который вернет около 20 строк, одна из которых будет читать IsGlobalCatalog: True. Если это не GC, запустите AD Sites & Services MMC, перейдите к объекту NTDS Settings для этого DC, установите флажок для is global catalog.
В противном случае я бы заподозрил проблему в сети между клиентами и вторым контроллером домена, или ваше заявление об успешной репликации AD и DNS может быть неверным. Делает DCDIAG /test:dns сообщать об ошибках при запуске со 2-го DC?
Вы можете добавить новую информацию, которую найдете, отредактировав исходное сообщение.
Редактировать 10/4
Что вы получите, если запустите следующую команду с одной из рабочих станций, на которой возникла проблема? Выполните команду дважды, каждый раз заменяя 10.2.3.4 с IP каждого DC, и yourdom.com с именем вашего домена.
nslookup -type=SRV _kerberos._tcp.yourdom.com 10.2.3.4
DC2 - это полный DC или DC только для чтения? Запустите это с любого DC:
Get-ADDomainController -Filter * | ft -prop name, site, IsGlobalCatalog, IsReadOnly