Сегодня мы отключили один из наших серверов Active Directory в рабочее время, чтобы проверить нагрузку на ИБП. Поскольку все, что сервер делал, это предоставлял Active Directory в отдельном здании на случай возгорания главного здания или чего-то еще, мы не думали, что это каким-либо образом повлияет на наших пользователей.
Через несколько секунд после выключения сервера у нас была дюжина телефонных звонков от пользователей, столкнувшихся с этой проблемой: - [Вход в Microsoft SQL Server] SQLState: '28000' [Microsoft] [Драйвер ODBC SQL Server] [SQL Server] Ошибка входа. Логин из ненадежного домена и не может использоваться с аутентификацией.
Как только мы поняли, что произошло, мы быстро перезагрузили неработающий сервер Active Directory. Задача решена.
Но почему это произошло. А что, если однажды сервер выйдет из строя и отключится на несколько часов или дней? Разве другие серверы Active Directory в доменной службе не должны запрашивать аутентификацию без нарушения работы пользователей?
У нас есть 3 сервера Windows Server 2003 Standard, на которых запущена Active Directory в качестве контроллеров домена с глобальными каталогами, и все они физически расположены в одной сети на гигабитных скоростях.
Я считаю, что изначально это был Windows Server 2000 или даже NT 4.0. Может быть проблема в старых групповых политиках, унаследованных от этих старых серверных ОС, или в некоторых настройках по умолчанию в Active Directory, которые необходимо изменить?
Похоже, у вас неправильно настроен DNS. Вы должны убедиться, что клиенты могут отправлять DNS-запросы другим DC. Другими словами, настройки DHCP вашего клиента должны предоставлять записи DNS для всех ваших контроллеров домена (если они запускают службу DNS). В любом случае вам также необходимо убедиться, что все ваши контроллеры домена также зарегистрированы в DNS.
Клиенты должны автоматически переключаться при проверке подлинности, но если ваше приложение по какой-то причине кэширует учетные данные, оно могло попытаться вернуться только к исходному DC для аутентификации.