私が抱えている問題は、書き込み可能な 2 つのドメイン コントローラーのうち 1 つをオフラインにすると、誰も本来のように他のドメイン コントローラーに「フェールオーバー」しないということです。認証に AD を使用するネットワーク内で実行するアプリケーションは、ユーザー名とパスワードを要求し続けるだけで、実際には認証しません。また、別のネットワーク セグメントの読み取り専用 DC に依存している外部ユーザーも、リモート アクセス Web サイトに認証できません。
現在、私のドメインには DC1、DC2、RO1 の 3 つのドメイン コントローラーがあります。DC1 と RO1 は Server 2019、DC2 は Server 2012R2 です。書き込み可能な DC は両方とも AD 統合 DNS サーバーであり、ネットワーク アダプターは互いを指すように構成されています。
DC1 と DC2 は同じサブネット上にあります。RO1 は、上位組織 (私が接続する一般的なネットワークを管理している組織) によって管理されるリモート アクセス ソリューションをサポートするために、別のネットワーク セグメントにある読み取り専用コントローラーです。
以前は、いずれかのローカル DC をオフラインにすると、ローカル ユーザーは実際にまだ実行中の DC にフェールオーバーし (予想どおり)、RODC が認証のためにアクティブな DC を取得すると、リモート ユーザーも同様にフェールオーバーしました。
現在の DC1 は比較的新しい追加で、DC と呼ばれるものを置き換えたものです。DC1 はオンラインになり、DC および DC2 と結合され、すべて正常に見えました。DC が持っていたすべての FSMO ロールを、その置き換えである DC1 に転送しました。netdom query fsmo は、すべてのロールが新しい DC1 にあることを表示します。DC は Server 2012 マシンであり、そこから移行しているため、降格してオフラインにして廃止しました。古い DC がまだ存在していると主張する誤った DNS レコードをいくつかクリーンアップしましたが、それ以外はすべて以前と同じように動作しました。ただし、最後のパッチ サイクルでは、DC1 と RO1 をアクティブのままにして DC2 をオフラインにしましたが、上記の認証関連の問題が見つかりました。外部ユーザーはまったく認証できず、すでにログインしていたユーザーは、AD 認証アプリケーションが突然再度ログインするように要求していることに気づきました (役に立ちませんでした)。
残念ながら、なぜそうなるのかはわかりません。新しいコントローラーである DC1 は、ドメインによって確実に認識されています。レプリケーションは問題なく行われ、Repadmin /showrepl は成功し、/replsum にはエラーは報告されていません。関係するすべての内部マシンはホスト名を解決し、互いに ping を実行できます。ドメインに ping を実行すると、ドメインに tracert を実行した場合と同じように、書き込み可能な DC を取得できます。DC1 で編集を行い、それを DC2 で表示できます。その逆も可能です (特に DC1 で行われたグループ ポリシーなどの変更は、より大規模なネットワークに確実に存在します)。RODC を取得して、DC1 と DC2 からレコードを問題なくロードするように指示できます。
しかし、DC2をオフラインにすると、状況は悪化します。ドメインへのPingやTracertが失敗し、外部ユーザーはアクセスを拒否され、内部ユーザーはAD認証アプリケーションが失敗し、ユーザー名とパスワードを頻繁に要求されるのを目にします。その逆はないただし、新しい DC1 をオフラインにすると、ローカル ユーザーのマシンが DC2 にフェールオーバーして正常に認証される前に DC1 に接続しようとしているかのように、わずかな遅延が発生することがあります。一方、外部ユーザーは問題なく接続できます。
イベント ログには特に明らかな点はなく、考えられる限りすべて正しく構成されているようです。ここから先はどうなるかわかりません。同様の症状があり、修正できた方はいらっしゃいますか?
答え1
結局、問題は、接続先のネットワークを管理する組織によってのみ管理されているファイアウォール設定に関連していることが判明しました。一部の受信/送信ルールが正しく適用されていなかったため、古いドメイン コントローラーがオフラインになった場合に、ホストが新しいドメイン コントローラーに正しくフェールオーバーできませんでした。