Windows-Server-2008

對等域未對使用者進行身份驗證

  • July 26, 2013

我有一個有兩個 DC 的森林,其中一個被添加為原始 DC 的對等點。

一個 DC 執行 Windows Server 2008,另一個執行 Windows Server 2008 R2。我可以在兩台伺服器上看到,工作站都被分配了來自兩個 DHCP 範圍的 IP 地址,並且所有記錄都在 DNS 中註冊。

為了在域上進行測試,我取下了原來的 DC,以檢查所有使用者是否仍將向新的對等 DC 進行身份驗證,但似乎他們沒有這樣做,並且機器正在登錄到他們的本地帳戶。

  • 您可能希望第二台伺服器成為全域編錄,除非您希望 Exchange(以及依賴它的所有其他軟體)在每次您的第一個 DC 出現故障時都失敗。您將在 AD 站點和服務下的第二個 DC 的 NTDS 設置下找到該選項。
  • 檢查兩台伺服器上的 DHCP 範圍是否在 DNS 選項 006(DNS 伺服器)中都有兩個域控制器。一個好的做法是DC1, DC2在 DC1DC2, DC1上市,在 DC2 上市
  • (完成上一步之後),確保客戶端可以解析域查找。執行ipconfig /all以驗證它們是否將兩個域控制器都列為 DNS 伺服器,然後執行nslookup domain.name. 結果應該是兩個域控制器 IP 地址的循環回复。
  • 檢查 DC2 的 LAN 介面上是否有 DC1 作為主 DNS 伺服器,以及 DC1 是否有 DC2 作為主 DNS 伺服器。放在127.0.0.1兩個 DNS 伺服器上作為輔助 DNS 伺服器
  • dcdiag在兩個域控制器上執行以發現任何問題
  • 檢查兩個域控制器上的事件日誌以發現 dcdiag 未發現的任何問題
  • 不要長時間斷開其他域控制器。你應該只在短時間內故意這樣做

引用自:https://serverfault.com/questions/526536