如何回退到站外登錄伺服器 - ActiveDirectory
我幾乎把所有時間都花在了 Linux\Networking 上,但是我正在嘗試設置多站點 AD 配置。沒有根站點或類似的東西,我只是在 SiteA 中有兩個 DC,在 SiteB 中有一個 DC。它們都相互複製。
我實際在 SiteB。在我實際在 Active Directory 站點和服務中設置站點之前,我的測試機器會在
SiteB-DC01
、SiteA-DC01
和SiteA-DC02
. 設置好之後(站點和子網),我的 SiteA 機器正在使用 SiteA DC,而我的 SiteB 機器正在使用我的 SiteB DC。我通過發出echo %LOGONSERVER%
.這一切都很好,但是……
當 SiteB 的 DC 出現故障時會發生什麼?為了模擬這一點,我關閉了 SiteB 的 DC,SiteB 中的客戶抱怨說
No logon server could be found
.我嘗試創建一個額外的
_ldap SRV
記錄Forward Lookup Zones->DOMAIN->_sites->SiteB->_tcp
無濟於事。我將 SiteB DC 的優先級設置為 0,將 SiteA DC 的優先級設置為 1。這是正確的方法嗎?此外,所有不同的 SRV 記錄位置之間有什麼區別?我找不到太多文件:
- 域->站點->SITE_HERE->_tcp
- 域->_tcp
- _msdcs.DOMAIN->dc->_sites->SITE_HERE->_tcp
- _msdcs.DOMAIN->dc->_tcp
常識會告訴我客戶端(它知道它在哪個站點,因為它在系統資料庫中)會執行特定於站點的 DNS 查詢以定位所有 DC,然後根據優先級和權重選擇一個進行身份驗證。
您的客戶…除了您離線的域控制器之外,他們是否使用其他 DNS 解析器?如果您的客戶端沒有用於定位備用域控制器的故障轉移 DNS 伺服器,那麼 Active Directory 中的冗餘就沒有用了…
就個人而言,我建議將所有域成員配置為首先在他們自己的站點中使用兩個域控制器,然後將來自相鄰站點的域控制器用作第三 DNS 解析器。(在我看來,在第三個之後使用額外的 DNS 解析器的好處急劇下降。)在生產中,我建議每個站點使用兩個域控制器,但當然在實驗室或開發環境中,每個位置只看到一個 DC 是可以理解的.
一般來說,我建議不要為 Active Directory 中的域控制器手動創建 SRV 記錄。健康環境中的 DC 應註冊和維護自己的 SRV 記錄。
Active Directory 確實存在“自動站點覆蓋”功能,當 AD 看到一個不包含域控制器的站點時,來自相鄰站點的 DC 將“有幫助地”在該其他站點中註冊自己的 SRV 記錄,以嘗試提供覆蓋對於可能在該站點中的客戶…我將“有幫助”放在引號中,因為如果您想知道記錄是如何到達那裡的,該功能可能會引起混淆。
此外,所有不同的 SRV 記錄位置之間有什麼區別?
_msdcs.forestname.com 區域在整個林範圍內複製,並包含客戶端可用於在整個林中定位域服務的 SRV 記錄,例如 LDAP、全域目錄、KDC 等。
domainname.forestname.com 區域下方的 _msdcs 子區域(帶有“灰色”圖示的區域)是一個委託子區域。它專門委託給該域。如果您有一個單域林,您可能不會看到太大的差異,但是在具有復雜 DNS 結構的多域林中更容易看到差異。