電腦指向錯誤站點的 DC
我需要你的幫助。我已經為此苦苦掙扎了幾個月,我在網上找到的任何東西都沒有幫助我。問題是,域電腦有時會指向不同站點中的錯誤域控制器。我有兩個通過 VPN 連接的站點:站點 A有兩個域控制器,站點 B有一個。這是我目前的配置:
Site-A 中的電腦通常連接到 SRV-1 或 SRV-2(應該如此),但 Site-B 中的電腦很少連接到 SRV-3。站點之間的 ADSL 連接非常慢,因此連接到錯誤的站點會使客戶端幾乎無法使用。
所有 DC 也是 DFS 伺服器。最大的缺點是,當客戶端連接到錯誤的 DC 時,它們也會連接到錯誤的 DFS 伺服器,並且只會將錯誤站點中的伺服器列為可用的 DFS 伺服器。
SRV-1 上有一個 WINS 伺服器,所有機器都將它們的 WINS 客戶端指向 192.168.0.70。WINS 記錄似乎還可以:
我還檢查了所有伺服器上的 DNS 記錄,它們似乎是正確的。伺服器位於 AD 站點和服務中的正確站點中,並且已為它們分配了正確的子網。在 NTDS 設置中,所有伺服器都相互連接(雙向)。
我做了一些觀察:
Site-A 中的 SRV-1 (192.168.0.0/24):
C:\Users\Administrator>nltest /DCLIST:DOMAIN Get list of DCs in domain 'DOMAIN' from '\\SRV-1'. SRV-1.domain.example.local [PDC] [DS] Site: Site-A SRV-2.domain.example.local [DS] Site: Site-A SRV-3.domain.example.local [DS] Site: Site-B The command completed successfully C:\Users\Administrator>nltest /DSGETSITE Site-A The command completed successfully C:\Users\Administrator>nltest /DSGETDC:DOMAIN DC: \\SRV-1 Address: \\192.168.0.70 Dom Guid: d8a18714-3272-4075-a5de-b1af522ec649 Dom Name: DOMAIN Forest Name: domain.example.local Dc Site Name: Site-A Our Site Name: Site-A Flags: PDC GC DS LDAP KDC TIMESERV WRITABLE DNS_FOREST CLOSE_SITE FULL_SECRET WS The command completed successfully C:\Users\Administrator>nltest /dsgetsitecov Site-A The command completed successfully
Site-A 中的 SRV-2 (192.168.0.0/24):
C:\Users\Administrator>nltest /DCLIST:DOMAIN Get list of DCs in domain 'DOMAIN' from '\\SRV-1'. SRV-1.domain.example.local [PDC] [DS] Site: Site-A SRV-2.domain.example.local [DS] Site: Site-A SRV-3.domain.example.local [DS] Site: Site-B The command completed successfully C:\Users\Administrator.DOMAIN>nltest /DSGETSITE Site-A The command completed successfully C:\Users\Administrator.DOMAIN>nltest /DSGETDC:DOMAIN DC: \\SRV-2 Address: \\192.168.0.71 Dom Guid: d8a18714-3272-4075-a5de-b1af522ec649 Dom Name: DOMAIN Forest Name: domain.example.local Dc Site Name: Site-A Our Site Name: Site-A Flags: GC DS LDAP KDC TIMESERV WRITABLE DNS_FOREST CLOSE_SITE FULL_SECRET WS The command completed successfully C:\Users\Administrator.DOMAIN>nltest /dsgetsitecov Site-A The command completed successfully
Site-B 中的 SRV-3 (192.168.2.0/24):
C:\Users\Administrator>nltest /DCLIST:DOMAIN Get list of DCs in domain 'DOMAIN' from '\\SRV-1'. SRV-1.domain.example.local [PDC] [DS] Site: Site-A SRV-2.domain.example.local [DS] Site: Site-A SRV-3.domain.example.local [DS] Site: Site-B The command completed successfully C:\Users\Administrator.DOMAIN>nltest /DSGETSITE Site-B The command completed successfully C:\Users\Administrator.DOMAIN>nltest /DSGETDC:DOMAIN DC: \\SRV-3 Address: \\192.168.2.70 Dom Guid: d8a18714-3272-4075-a5de-b1af522ec649 Dom Name: DOMAIN Forest Name: domain.example.local Dc Site Name: Site-B Our Site Name: Site-B Flags: GC DS LDAP KDC WRITABLE DNS_FOREST CLOSE_SITE FULL_SECRET WS The command completed successfully C:\Users\Administrator.DOMAIN>nltest /dsgetsitecov Site-B The command completed successfully
Site-B 中的客戶端 PC (192.168.2.0/24):
C:\WINDOWS\system32>nltest /DCLIST:DOMAIN Get list of DCs in domain 'DOMAIN' from '\\SRV-2'. SRV-2.domain.example.local [DS] Site: Site-A SRV-1.domain.example.local [PDC] [DS] Site: Site-A SRV-3.domain.example.local [DS] Site: Site-B The command completed successfully C:\WINDOWS\system32>nltest /DSGETSITE Site-A The command completed successfully C:\WINDOWS\system32>nltest /DSGETDC:DOMAIN DC: \\SRV-2 Address: \\192.168.0.71 Dom Guid: d8a18714-3272-4075-a5de-b1af522ec649 Dom Name: DOMAIN Forest Name: domain.example.local Dc Site Name: Site-A Our Site Name: Site-A Flags: GC DS LDAP KDC TIMESERV WRITABLE DNS_FOREST CLOSE_SITE FULL_SECRET WS The command completed successfully
請注意,DSGETSITE 和 DSGETDC 在客戶端 PC 上返回錯誤值。
有趣的是,客戶決定指向的地方每天都在變化。我試過重新啟動客戶端,它沒有幫助。我試過一個一個重新啟動伺服器,沒有區別。沒有一個伺服器是多宿主的。
伺服器是 Windows Server 2008 R2 和客戶端 Win7 Pro / Win10 Pro。
任何幫助都感激不盡!
好吧,我想通了。最後是網路問題;無需對域控制器進行任何更改。我已經為 VPN 配置了策略路由,但我忘記指定如何優先處理數據包。我為 LAN 內流量添加了一個額外的策略路由,並為其分配了 cs4 的 DSCP 值。對於隧道路由,我給出了 cs5。我對DSCP不熟悉,但我知道數字越小,路線越重要(4和5只是隨機數)。下面是我在 ZyXEL ZyWall 路由器上的最終配置截圖(希望您喜歡 Paint art):
我有點理解為什麼這解決了我的問題:現在主要的優先級是將數據包發送到本地網路,然後才通過 VPN。我仍然覺得它有點混亂。是否有可能如果伺服器和客戶端在不同的網路中,伺服器看不到客戶端的 IP,而是看到其中一個路由器的 IP,因此無法決定 IP 地址屬於哪個站點?我很想知道進一步的解釋。
感謝所有幫助過我的人,我很感激:)