Назад | Перейти на главную страницу

Как мне настроить серверы Active Directory, чтобы в случае отказа одного из них пользователи не запускали SQL?

Сегодня мы отключили один из наших серверов Active Directory в рабочее время, чтобы проверить нагрузку на ИБП. Поскольку все, что сервер делал, это предоставлял Active Directory в отдельном здании на случай возгорания главного здания или чего-то еще, мы не думали, что это каким-либо образом повлияет на наших пользователей.

Через несколько секунд после выключения сервера у нас была дюжина телефонных звонков от пользователей, столкнувшихся с этой проблемой: - [Вход в Microsoft SQL Server] SQLState: '28000' [Microsoft] [Драйвер ODBC SQL Server] [SQL Server] Ошибка входа. Логин из ненадежного домена и не может использоваться с аутентификацией.

Как только мы поняли, что произошло, мы быстро перезагрузили неработающий сервер Active Directory. Задача решена.

Но почему это произошло. А что, если однажды сервер выйдет из строя и отключится на несколько часов или дней? Разве другие серверы Active Directory в доменной службе не должны запрашивать аутентификацию без нарушения работы пользователей?

У нас есть 3 сервера Windows Server 2003 Standard, на которых запущена Active Directory в качестве контроллеров домена с глобальными каталогами, и все они физически расположены в одной сети на гигабитных скоростях.

Я считаю, что изначально это был Windows Server 2000 или даже NT 4.0. Может быть проблема в старых групповых политиках, унаследованных от этих старых серверных ОС, или в некоторых настройках по умолчанию в Active Directory, которые необходимо изменить?

Похоже, у вас неправильно настроен DNS. Вы должны убедиться, что клиенты могут отправлять DNS-запросы другим DC. Другими словами, настройки DHCP вашего клиента должны предоставлять записи DNS для всех ваших контроллеров домена (если они запускают службу DNS). В любом случае вам также необходимо убедиться, что все ваши контроллеры домена также зарегистрированы в DNS.

Клиенты должны автоматически переключаться при проверке подлинности, но если ваше приложение по какой-то причине кэширует учетные данные, оно могло попытаться вернуться только к исходному DC для аутентификации.