我遇到的問題是,如果我將兩個可寫入網域控制器之一離線,似乎沒有人會像他們應該的那樣「故障轉移」到使用另一個網域控制器- 我們在網路中運行的使用AD 進行身份驗證的應用程式只是不斷要求使用者名稱和密碼,但從未真正對您進行身份驗證,依賴另一個網段上的唯讀 DC 的外部用戶也無法對我們的遠端存取網站進行身份驗證。
目前,我的網域中有三個網域控制站:DC1、DC2 和 RO1。 DC1和RO1是Server 2019,DC2是Server 2012R2。兩個可寫 DC 都是 AD 整合的 DNS 伺服器,其網路適配器配置為彼此指向。
DC1 和 DC2 位於同一子網路中。 RO1 是位於不同網段的唯讀控制器,以支援由我上面的組織(管理我連接到的通用網路)管理的遠端存取解決方案。
在過去,如果我要讓一個或其他本地 DC 離線,本地用戶將故障轉移到實際仍在運行的 DC(如預期),遠端用戶也會如此,因為 RODC 會取得活動 DC 進行身份驗證。
目前的 DC1 是一個相對較新的產品,取代了 DC。 DC1上線並與DC和DC2連接,一切看起來都很好。我將 DC 擁有的所有 FSMO 角色轉移到其替代品 DC1 - netdom 查詢 fsmo 顯示所有角色都在新的 DC1 上。我們降級並讓 DC 離線以停用它,因為它是 Server 2012 計算機,而我們正在遷移這些計算機。清理了一些錯誤的 DNS 記錄,這些記錄聲稱舊 DC 仍然存在,但除此之外一切都像以前一樣順利進行。不過,在上一個補丁週期中,我們讓 DC2 離線,而 DC1 和 RO1 保持活動狀態,但發現了上述與身分驗證相關的問題。外部用戶根本無法進行身份驗證,並且已經登入的用戶發現我們的 AD 身份驗證應用程式突然要求他們再次登入(無濟於事)。
不幸的是我不確定這是為什麼。 DC1,新的控制器,絕對得到了Domain的認可。複製順利 - Repadmin /showrepl 成功,且 /replsum 沒有報告錯誤。所有涉及的內部機器都可以解析其主機名稱並互相 ping 通。如果我 ping 網域,我可以獲得可寫 DC,就像我追蹤到網域一樣。我可以在 DC1 上進行編輯並在 DC2 上查看它們,反之亦然(並且在 DC1 上進行的群組策略等變更明確存在於更大的網路中)。我可以使用 RODC 並告訴它從 DC1 和 DC2 加載記錄,不會出現任何問題。
然而,如果我讓 DC2 離線,事情就會出問題。對我們網域的 Ping 或 Tracert 失敗,外部使用者存取被拒絕,內部使用者看到我們的 AD 驗證應用程式失敗並不斷要求輸入使用者名稱和密碼。相反的情況則相反不是但是,如果我將新的 DC1 離線,本地用戶有時會出現輕微的延遲,就好像他們的電腦在故障轉移到 DC2 並成功進行身份驗證之前嘗試聯繫 DC1,而外部用戶則正常。
事件日誌中沒有什麼非常明顯的內容,我能想到的所有內容都顯示正確配置。我不知道從這裡開始哪裡進展 - 有沒有人有類似的症狀並且他們已經能夠糾正?
答案1
這個問題最終與由管理我們連接的網路的組織專門管理的防火牆設定有關。某些入站/出站規則未正確套用,導致主機在舊網域控制站離線時無法正確故障轉移到新網域控制站。