Windows-Server-2008
對等域未對使用者進行身份驗證
我有一個有兩個 DC 的森林,其中一個被添加為原始 DC 的對等點。
一個 DC 執行 Windows Server 2008,另一個執行 Windows Server 2008 R2。我可以在兩台伺服器上看到,工作站都被分配了來自兩個 DHCP 範圍的 IP 地址,並且所有記錄都在 DNS 中註冊。
為了在域上進行測試,我取下了原來的 DC,以檢查所有使用者是否仍將向新的對等 DC 進行身份驗證,但似乎他們沒有這樣做,並且機器正在登錄到他們的本地帳戶。
- 您可能希望第二台伺服器成為全域編錄,除非您希望 Exchange(以及依賴它的所有其他軟體)在每次您的第一個 DC 出現故障時都失敗。您將在 AD 站點和服務下的第二個 DC 的 NTDS 設置下找到該選項。
- 檢查兩台伺服器上的 DHCP 範圍是否在 DNS 選項 006(DNS 伺服器)中都有兩個域控制器。一個好的做法是
DC1, DC2
在 DC1DC2, DC1
上市,在 DC2 上市- (完成上一步之後),確保客戶端可以解析域查找。執行
ipconfig /all
以驗證它們是否將兩個域控制器都列為 DNS 伺服器,然後執行nslookup domain.name
. 結果應該是兩個域控制器 IP 地址的循環回复。- 檢查 DC2 的 LAN 介面上是否有 DC1 作為主 DNS 伺服器,以及 DC1 是否有 DC2 作為主 DNS 伺服器。放在
127.0.0.1
兩個 DNS 伺服器上作為輔助 DNS 伺服器dcdiag
在兩個域控制器上執行以發現任何問題- 檢查兩個域控制器上的事件日誌以發現 dcdiag 未發現的任何問題
- 不要長時間斷開其他域控制器。你應該只在短時間內故意這樣做