O problema que estou tendo é que, se eu colocar um dos meus dois controladores de domínio graváveis off-line, ninguém parece "fazer failover" para usar o outro controlador de domínio como deveria - aplicativos que executamos em nossa rede que usam AD para autenticação apenas continue solicitando um nome de usuário e uma senha e nunca o autentique, e os usuários externos que dependem de um controlador de domínio somente leitura em outro segmento de rede também não podem se autenticar em nosso site de acesso remoto.
Atualmente tenho três controladores de domínio em meu domínio: DC1, DC2 e RO1. DC1 e RO1 são o Servidor 2019, DC2 é o Servidor 2012R2. Ambos os controladores de domínio graváveis são servidores DNS integrados ao AD, com seus adaptadores de rede configurados para apontar um para o outro.
DC1 e DC2 estão na mesma sub-rede. RO1 é um controlador somente leitura em um segmento de rede diferente para oferecer suporte a uma solução de acesso remoto gerenciada pela organização acima de mim (que gerencia a rede geral à qual me conecto).
No passado, se eu colocasse um ou outro DC local off-line, os usuários locais fariam failover para o que ainda estivesse em execução (conforme esperado), assim como os usuários remotos, à medida que o RODC buscasse o ativo para autenticação.
O atual DC1 é uma adição relativamente nova, substituindo um chamado DC. DC1 foi colocado online e unido a DC e DC2, e tudo parecia bem. Transferi todas as funções FSMO que o DC tinha para seu substituto, DC1 - netdom query fsmo mostra todas as funções como estando no novo DC1. Rebaixamos e colocamos o DC offline para retirá-lo, já que era uma máquina Server 2012 e estamos migrando dela. Limpei alguns registros DNS errôneos que alegavam que o antigo DC ainda existia, mas fora isso tudo funcionou como estava. No entanto, no último ciclo de patch, tivemos o DC2 offline enquanto o DC1 e o RO1 permaneceram ativos, mas descobrimos os problemas relacionados à autenticação acima. Os usuários externos não conseguiram se autenticar e os usuários que já estavam logados encontraram nossos aplicativos de autenticação AD solicitando repentinamente que fizessem login novamente (sem sucesso).
Infelizmente não sei por que isso acontece. DC1, o novo controlador, é definitivamente reconhecido pelo Domínio. A replicação ocorre bem - Repadmin /showrepl foi bem-sucedido e /replsum não tem erros relatados. Todas as máquinas internas envolvidas podem resolver seus nomes de host e executar ping entre si. Se eu fizer ping no domínio, posso obter um DC gravável, da mesma forma que se eu rastrear para o domínio. Posso fazer edições no DC1 e vê-las no DC2 e vice-versa (e alterações como política de grupo feitas especificamente no DC1 definitivamente existem na rede maior). Posso pegar o RODC e pedir para carregar registros de DC1 e DC2 sem problemas.
Se eu colocar o DC2 off-line, no entanto, as coisas vão mal. O ping ou o Tracert em nosso domínio falham, os usuários externos têm acesso negado e os usuários internos veem nossos aplicativos autenticados pelo AD falharem e solicitam constantemente um nome de usuário e uma senha. O oposto faznãoacontecer, no entanto - se eu colocar o novo DC1 off-line, os usuários locais às vezes terão um leve atraso, como se sua máquina estivesse tentando entrar em contato com o DC1 antes de fazer failover para o DC2 e autenticar com sucesso, e os usuários externos entram bem.
Não há nada muito óbvio nos logs de eventos e tudo que consigo pensar parece configurado corretamente. Não tenho certeza de onde progredir a partir daqui - alguém teve sintomas semelhantes que conseguiu corrigir?
Responder1
O problema acabou por estar relacionado com configurações de firewall geridas exclusivamente pela organização que gere a rede à qual nos ligamos. Algumas regras de entrada/saída não foram aplicadas corretamente, fazendo com que os hosts não conseguissem fazer failover corretamente para o novo controlador de domínio caso o antigo ficasse off-line.