域控制器故障轉移單向失敗
我遇到的問題是,如果我將兩個可寫域控制器中的一個離線,似乎沒有人會像他們應該的那樣“故障轉移”來使用另一個域控制器 - 我們在網路中執行的應用程序使用 AD 進行身份驗證只是不斷詢問使用者名和密碼,而從未真正對您進行身份驗證,並且依賴於另一個網段上的只讀 DC 的外部使用者也無法對我們的遠端訪問網站進行身份驗證。
我的域中目前有三個域控制器:DC1、DC2 和 RO1。DC1 和 RO1 是 Server 2019,DC2 是 Server 2012R2。兩個可寫 DC 都是集成了 AD 的 DNS 伺服器,它們的網路適配器配置為相互指向。
DC1 和 DC2 位於同一子網上。RO1 是位於不同網段的只讀控制器,以支持由我上方的組織(管理我連接到的通用網路)管理的遠端訪問解決方案。
過去,如果我讓一個或其他本地 DC 離線,本地使用者將故障轉移到實際仍在執行的任何一個(如預期的那樣),遠端使用者也會如此,因為 RODC 會獲取活動的 DC 進行身份驗證。
目前的 DC1 是一個相對較新的添加,取代了一個稱為 DC 的。DC1 上線並與 DC 和 DC2 一起加入,一切似乎都很好。我將 DC 擁有的所有 FSMO 角色轉移到其替代品 DC1 - netdom 查詢 fsmo 顯示所有角色都在新的 DC1 上。我們將 DC 降級並使其下線以使其退役,因為它是一台 Server 2012 機器,我們正在從這些機器遷移。清理了一些錯誤的 DNS 記錄,這些記錄聲稱舊的 DC 仍然存在,但除此之外,一切都照常進行。雖然上個更新檔週期,我們讓 DC2 離線,而 DC1 和 RO1 仍然處於活動狀態,但發現了上述與身份驗證相關的問題。外部使用者根本無法進行身份驗證,
不幸的是,我不確定這是為什麼。DC1,新的控制器,肯定被域所辨識。複製正常 - Repadmin /showrepl 成功,並且 /replsum 沒有報告錯誤。所有涉及的內部機器都可以解析它們的主機名並相互ping通。如果我 ping 域,我可以獲得任何一個可寫 DC,就像我跟踪域一樣。我可以在 DC1 上進行編輯並在 DC2 上查看它們,反之亦然(在 DC1 上進行的組策略等更改肯定存在於更大的網路中)。我可以使用 RODC 並告訴它從 DC1 和 DC2 載入記錄而不會出現問題。
但是,如果我讓 DC2 離線,那就是事情橫向發展的時候。對我們域的 Ping 或 Tracert 失敗,外部使用者被拒絕訪問,內部使用者看到我們的 AD 身份驗證應用程序失敗,並不斷要求輸入使用者名和密碼。然而,相反的情況不會發生——如果我讓新的 DC1 離線,本地使用者有時會有輕微的延遲,就好像他們的機器在故障轉移到 DC2 並成功驗證之前嘗試聯繫 DC1,而外部使用者進來就好了。
事件日誌中沒有什麼特別明顯的,而且我能想到的所有內容都顯示正確配置。我不知道從哪裡開始 - 有沒有人有類似的症狀,他們已經能夠糾正?
該問題最終與管理我們連接的網路的組織專門管理的防火牆設置有關。一些入站/出站規則未正確應用,導致主機在舊域控制器離線的情況下無法正確故障轉移到新域控制器。