Active-Directory

電腦指向錯誤站點的 DC

  • December 16, 2015

我需要你的幫助。我已經為此苦苦掙扎了幾個月,我在網上找到的任何東西都沒有幫助我。問題是,域電腦有時會指向不同站點中的錯誤域控制器。我有兩個通過 VPN 連接的站點:站點 A有兩個域控制器,站點 B有一個。這是我目前的配置:

網路配置

Site-A 中的電腦通常連接到 SRV-1 或 SRV-2(應該如此),但 Site-B 中的電腦很少連接到 SRV-3。站點之間的 ADSL 連接非常慢,因此連接到錯誤的站點會使客戶端幾乎無法使用。

所有 DC 也是 DFS 伺服器。最大的缺點是,當客戶端連接到錯誤的 DC 時,它們也會連接到錯誤的 DFS 伺服器,並且只會將錯誤站點中的伺服器列為可用的 DFS 伺服器。

SRV-1 上有一個 WINS 伺服器,所有機器都將它們的 WINS 客戶端指向 192.168.0.70。WINS 記錄似乎還可以:

SRV-1 上的 WINS 記錄

我還檢查了所有伺服器上的 DNS 記錄,它們似乎是正確的。伺服器位於 AD 站點和服務中的正確站點中,並且已為它們分配了正確的子網。在 NTDS 設置中,所有伺服器都相互連接(雙向)。

我做了一些觀察:

Site-A 中的 SRV-1 (192.168.0.0/24):

C:\Users\Administrator>nltest /DCLIST:DOMAIN
Get list of DCs in domain 'DOMAIN' from '\\SRV-1'.
   SRV-1.domain.example.local [PDC]  [DS] Site: Site-A
   SRV-2.domain.example.local        [DS] Site: Site-A
   SRV-3.domain.example.local        [DS] Site: Site-B
The command completed successfully

C:\Users\Administrator>nltest /DSGETSITE
Site-A
The command completed successfully

C:\Users\Administrator>nltest /DSGETDC:DOMAIN
          DC: \\SRV-1
     Address: \\192.168.0.70
    Dom Guid: d8a18714-3272-4075-a5de-b1af522ec649
    Dom Name: DOMAIN
 Forest Name: domain.example.local
Dc Site Name: Site-A
Our Site Name: Site-A
       Flags: PDC GC DS LDAP KDC TIMESERV WRITABLE DNS_FOREST CLOSE_SITE FULL_SECRET WS
The command completed successfully

C:\Users\Administrator>nltest /dsgetsitecov
Site-A
The command completed successfully

Site-A 中的 SRV-2 (192.168.0.0/24):

C:\Users\Administrator>nltest /DCLIST:DOMAIN
Get list of DCs in domain 'DOMAIN' from '\\SRV-1'.
   SRV-1.domain.example.local [PDC]  [DS] Site: Site-A
   SRV-2.domain.example.local        [DS] Site: Site-A
   SRV-3.domain.example.local        [DS] Site: Site-B
The command completed successfully

C:\Users\Administrator.DOMAIN>nltest /DSGETSITE
Site-A
The command completed successfully

C:\Users\Administrator.DOMAIN>nltest /DSGETDC:DOMAIN
          DC: \\SRV-2
     Address: \\192.168.0.71
    Dom Guid: d8a18714-3272-4075-a5de-b1af522ec649
    Dom Name: DOMAIN
 Forest Name: domain.example.local
Dc Site Name: Site-A
Our Site Name: Site-A
       Flags: GC DS LDAP KDC TIMESERV WRITABLE DNS_FOREST CLOSE_SITE FULL_SECRET WS
The command completed successfully

C:\Users\Administrator.DOMAIN>nltest /dsgetsitecov
Site-A
The command completed successfully

Site-B 中的 SRV-3 (192.168.2.0/24):

C:\Users\Administrator>nltest /DCLIST:DOMAIN
Get list of DCs in domain 'DOMAIN' from '\\SRV-1'.
   SRV-1.domain.example.local [PDC]  [DS] Site: Site-A
   SRV-2.domain.example.local        [DS] Site: Site-A
   SRV-3.domain.example.local        [DS] Site: Site-B
The command completed successfully

C:\Users\Administrator.DOMAIN>nltest /DSGETSITE
Site-B
The command completed successfully

C:\Users\Administrator.DOMAIN>nltest /DSGETDC:DOMAIN
          DC: \\SRV-3
     Address: \\192.168.2.70
    Dom Guid: d8a18714-3272-4075-a5de-b1af522ec649
    Dom Name: DOMAIN
 Forest Name: domain.example.local
Dc Site Name: Site-B
Our Site Name: Site-B
       Flags: GC DS LDAP KDC WRITABLE DNS_FOREST CLOSE_SITE FULL_SECRET WS
The command completed successfully

C:\Users\Administrator.DOMAIN>nltest /dsgetsitecov
Site-B
The command completed successfully

Site-B 中的客戶端 PC (192.168.2.0/24):

C:\WINDOWS\system32>nltest /DCLIST:DOMAIN
Get list of DCs in domain 'DOMAIN' from '\\SRV-2'.
   SRV-2.domain.example.local        [DS] Site: Site-A
   SRV-1.domain.example.local [PDC]  [DS] Site: Site-A
   SRV-3.domain.example.local        [DS] Site: Site-B
The command completed successfully

C:\WINDOWS\system32>nltest /DSGETSITE
Site-A
The command completed successfully

C:\WINDOWS\system32>nltest /DSGETDC:DOMAIN
          DC: \\SRV-2
     Address: \\192.168.0.71
    Dom Guid: d8a18714-3272-4075-a5de-b1af522ec649
    Dom Name: DOMAIN
 Forest Name: domain.example.local
Dc Site Name: Site-A
Our Site Name: Site-A
       Flags: GC DS LDAP KDC TIMESERV WRITABLE DNS_FOREST CLOSE_SITE FULL_SECRET WS
The command completed successfully

請注意,DSGETSITE 和 DSGETDC 在客戶端 PC 上返回錯誤值。

有趣的是,客戶決定指向的地方每天都在變化。我試過重新啟動客戶端,它沒有幫助。我試過一個一個重新啟動伺服器,沒有區別。沒有一個伺服器是多宿主的。

伺服器是 Windows Server 2008 R2 和客戶端 Win7 Pro / Win10 Pro。

任何幫助都感激不盡!

好吧,我想通了。最後是網路問題;無需對域控制器進行任何更改。我已經為 VPN 配置了策略路由,但我忘記指定如何優先處理數據包。我為 LAN 內流量添加了一個額外的策略路由,並為其分配了 cs4 的 DSCP 值。對於隧道路由,我給出了 cs5。我對DSCP不熟悉,但我知道數字越小,路線越重要(4和5只是隨機數)。下面是我在 ZyXEL ZyWall 路由器上的最終配置截圖(希望您喜歡 Paint art):

在此處輸入圖像描述

我有點理解為什麼這解決了我的問題:現在主要的優先級是將數據包發送到本地網路,然後才通過 VPN。我仍然覺得它有點混亂。是否有可能如果伺服器和客戶端在不同的網路中,伺服器看不到客戶端的 IP,而是看到其中一個路由器的 IP,因此無法決定 IP 地址屬於哪個站點?我很想知道進一步的解釋。

感謝所有幫助過我的人,我很感激:)

引用自:https://serverfault.com/questions/742488