내가 겪고 있는 문제는 쓰기 가능한 도메인 컨트롤러 두 개 중 하나를 오프라인으로 전환하면 누구도 예상대로 다른 도메인 컨트롤러를 사용하여 "장애 조치"를 하지 않는 것 같다는 것입니다. 인증을 위해 AD를 사용하는 네트워크 내에서 실행하는 응용 프로그램입니다. 사용자 이름과 비밀번호를 계속 요청하고 실제로는 인증하지 않으며, 다른 네트워크 세그먼트의 읽기 전용 DC에 의존하는 외부 사용자도 원격 액세스 웹사이트에 인증할 수 없습니다.
현재 내 도메인에는 DC1, DC2, RO1이라는 세 개의 도메인 컨트롤러가 있습니다. DC1 및 RO1은 서버 2019이고, DC2는 서버 2012R2입니다. 쓰기 가능한 DC는 모두 AD 통합 DNS 서버이며, 네트워크 어댑터는 서로를 가리키도록 구성되어 있습니다.
DC1과 DC2는 동일한 서브넷에 있습니다. RO1은 나 위의 조직(내가 연결하는 일반 네트워크를 관리하는 조직)이 관리하는 원격 액세스 솔루션을 지원하기 위해 다른 네트워크 세그먼트에 있는 읽기 전용 컨트롤러입니다.
과거에는 하나 또는 다른 로컬 DC를 오프라인으로 전환하면 RODC가 인증을 위해 활성 DC를 가져올 때 원격 사용자도 마찬가지로 실제로 아직 실행 중인 DC로 장애 조치를 수행했습니다(예상대로).
현재 DC1은 DC라고 불리는 것을 대체하는 비교적 새로운 추가 항목입니다. DC1이 온라인으로 전환되어 DC 및 DC2와 결합되었으며 모든 것이 괜찮아 보였습니다. DC가 맡은 모든 FSMO 역할을 대체 DC1로 이전했습니다. netdom 쿼리 fsmo는 모든 역할이 새 DC1에 있는 것으로 표시합니다. Server 2012 시스템이었기 때문에 DC를 강등하고 오프라인으로 전환하여 폐기했습니다. 이전 DC가 여전히 존재한다고 주장하는 몇 가지 잘못된 DNS 레코드를 정리했지만 그 외에는 모든 것이 그대로 진행되었습니다. 지난 패치 주기에서는 DC1과 RO1이 활성 상태인 동안 DC2가 오프라인 상태였지만 위의 인증 관련 문제를 발견했습니다. 외부 사용자는 전혀 인증할 수 없었고, 이미 로그인한 사용자는 AD 인증 애플리케이션이 갑자기 다시 로그인을 요청하는 것을 발견했습니다(소용 없음).
불행히도 이것이 왜 그런지 잘 모르겠습니다. 새로운 컨트롤러인 DC1은 도메인에서 확실히 인식됩니다. 복제가 잘 이루어집니다. Repadmin /showrepl이 성공하고 /replsum에 보고된 오류가 없습니다. 관련된 모든 내부 시스템은 호스트 이름을 확인하고 서로 핑할 수 있습니다. 도메인을 ping하면 도메인을 추적하는 것과 마찬가지로 쓰기 가능한 DC를 얻을 수 있습니다. DC1에서 편집하고 DC2에서 볼 수 있으며 그 반대의 경우도 마찬가지입니다. 특히 DC1에서 적용된 그룹 정책과 같은 변경 사항은 더 큰 네트워크에도 분명히 존재합니다. RODC를 사용하여 문제 없이 DC1 및 DC2에서 레코드를 로드하도록 지시할 수 있습니다.
그러나 DC2를 오프라인으로 전환하면 상황이 옆으로 흘러가게 됩니다. 도메인에 대한 Ping 또는 Tracert가 실패하고, 외부 사용자의 액세스가 거부되며, 내부 사용자는 AD 인증 애플리케이션이 실패하는 것을 확인하고 지속적으로 사용자 이름과 비밀번호를 요청합니다. 그 반대는 그렇지~ 아니다그러나 새 DC1을 오프라인으로 전환하면 로컬 사용자가 DC2로 장애 조치하고 성공적으로 인증하기 전에 컴퓨터가 DC1에 연결을 시도하는 것처럼 약간의 지연이 발생하고 외부 사용자는 정상적으로 들어오는 경우가 있습니다.
이벤트 로그에는 아주 명확한 내용이 없으며 제가 생각할 수 있는 모든 것은 올바르게 구성된 것으로 보입니다. 여기서부터 어떻게 진행해야 할지 잘 모르겠습니다. 유사한 증상을 겪고 교정할 수 있었던 사람이 있습니까?
답변1
문제는 결국 우리가 연결하는 네트워크를 관리하는 조직에서 독점적으로 관리하는 방화벽 설정과 관련이 있었습니다. 일부 인바운드/아웃바운드 규칙이 올바르게 적용되지 않아 이전 도메인 컨트롤러가 오프라인이 된 경우 호스트가 새 도메인 컨트롤러로 올바르게 장애 조치할 수 없게 되었습니다.