Назад | Перейти на главную страницу

Репликация AD на RODC; Отказоустойчивый контроллер домена только для чтения, когда контроллер домена недоступен

Я успешно настроил Маршрутизатор на палке и иметь две подсети:

  1. 10,0 / 16
  2. 10,1 / 16

Для дополнительных интерфейсов моего маршрутизатора установлено значение 10.0.0.1 и 10.1.0.1 соответственно.

Мой основной контроллер домена, работающий под управлением Windows Server 2008, расположен по адресу 10.0.0.3. Мой контроллер домена только для чтения, также работающий под управлением Win 2008, расположен по адресу 10.1.0.3.

Кроме того, в этой лабораторной сети у меня есть 3 рабочие станции (Windows XP). 1 рабочая станция находится в сети 10.0 / 16, а две из них - в сети 10.1 / 16.

У меня также есть два сайта в этом лесу Active Directory, и этот сайт связан с подсетью и контроллером домена. У меня есть группа для каждого сайта, и разные пользователи добавлены в разные группы, и я убедился, что группа, назначенная для сетевых паролей 10.1 / 16, «разрешена» для кэширования контроллером домена только для чтения.

Моя цель: Для репликации пользователей сайта 10.1 / 16 (и, в конечном итоге, папок, файлов и т. Д.) На DC с доступом только для чтения в версии 10.1.0.3, чтобы контроллер домена только для чтения выполнял аутентификацию пользователя, если основной DC становится недоступным.

В настоящее время я могу без проблем аутентифицировать все рабочие станции на основном контроллере домена. Я также подтвердил, что мои учетные записи пользователей 10.1 / 16 были кэшированы на контроллере домена только для чтения (10.1.0.3).

Однако, когда я отключаю основной контроллер домена от сети, а затем пытаюсь войти на рабочую станцию ​​в сети 10.1 как пользователь, который никогда не аутентифицировался на этом конкретном ПК (но чьи учетные записи Кэшируются на контроллере домена только для чтения), вход в систему не выполняется. потому что домен недоступен.

Очевидно, я не достиг своей цели и пытаюсь понять, почему. Есть зацепки или предложения?

В дополнение к тому, что @joeqwerty говорит о DNS, вам также необходимо кэшировать учетные записи компьютеров на RODC в дополнение к учетным записям пользователей.

Компьютеры также входят в систему и будут недоступны, если только они не будут явно разрешены на контроллере домена только для чтения.

Чтобы найти RODC, клиенты должны использовать DNS-сервер, к которому они могут подключиться и который может разрешать записи SRV для домена. Если клиенты используют неработающий сервер для DNS, они не смогут связаться с DNS-сервером и найти эти записи SRV. Вы должны установить RODC как первичный DNS, а DC главного офиса как вторичный DNS на офисных клиентах RODC.