В этот вопрос SF, Я спросил, как определить, с каким контроллером домена разговаривает сервер. Мы проводим некоторое тестирование устойчивости и должны продемонстрировать клиенту, что в случае выхода из строя контроллера домена есть дополнительные контроллеры домена, которые могут выдержать нагрузку.
С участием nltest, Я могу определить, с каким DC я разговариваю в любой момент времени. Но если мы откажем текущий DC, как мы заставим сервер повторно оценить, с какими другими DC он может разговаривать, а затем подключиться к одному ... так, чтобы 'nltest' отразил новый DC?
В идеале мне нравится какая-то операция, которую я могу запустить в одном и том же сеансе Windows, но пока мы вышли из системы и снова вошли в систему. Меня беспокоит то, что кэшированные учетные данные могут усложнить картину.
Короче говоря, каков самый простой / быстрый / безопасный способ подключения сервера к вторичному DC в случае отказа контроллера домена?
Короче говоря, каков самый простой / быстрый / безопасный способ подключения сервера к вторичному DC в случае отказа контроллера домена?
Тип set log на клиенте, чтобы узнать, с каким контроллером домена вы вошли. Убейте этого DC. Запустите Wireshark / Netmon во время работы klist purge а потом C:\> net stop netlogon & net start netlogon на клиенте.
Или просто подождите, пока клиенту что-нибудь понадобится из AD. Достаточно умен, чтобы попробовать другие DC на своем сайте, если он не может связаться с первым.
Помимо самоуверенности, со стороны вашего клиента довольно глупо просить вас продемонстрировать им рекламируемые возможности службы каталогов №1 в мире, которую используют буквально миллионы людей по всему миру ... но опять же, я понимаю, что клиенты иногда просят глупостей.
Авторизуйтесь с 2-3 аккаунтами на свежей машине. Вход 1, отключение текущего постоянного тока, выход из системы, вход во вторую учетную запись. Поскольку у этих учетных записей нет профиля на машине, будет продемонстрировано аварийное переключение.
На самом деле этот механизм «переключения при отказе» должен происходить автоматически. DNS-клиент (всякий раз, когда мы говорим о сервере или рабочей станции) будет запрашивать у своего основного DNS-сервера DC, поэтому механизм запрашивает у DNS-сервера дополнительный DC. Вы можете использовать nltest / sc_reset для сброса безопасного канала входа в сеть, а затем восстановить его снова.
Я думаю, что лучший способ доказать, что «аварийное переключение» - смоделировать сбой в контроллере домена (например, отключить Ethernet, если это возможно), а затем снова проверить безопасный канал входа в сеть с помощью nltest (вы должны использовать модификатор / force в чтобы обойти любую кешированную информацию)