Problema pe care o întâmpin este că, dacă iau offline unul dintre cele două controlere de domeniu care pot fi scrise, nimeni nu pare să „fail over” să folosească celălalt controler de domeniu așa cum ar trebui să facă - aplicații pe care le rulăm în rețeaua noastră care folosesc AD pentru autentificare Continuați să cereți un nume de utilizator și o parolă și nu vă autentifică niciodată, iar utilizatorii externi care se bazează pe un DC numai pentru citire pe alt segment de rețea nu se pot autentifica nici pe site-ul nostru de acces la distanță.
În prezent, am trei controlere de domeniu în domeniul meu: DC1, DC2 și RO1. DC1 și RO1 este Server 2019, DC2 este Server 2012R2. Ambele DC-uri care pot fi scrise sunt servere DNS integrate în AD, cu adaptoarele lor de rețea configurate să se orienteze unul către celălalt.
DC1 și DC2 sunt pe aceeași subrețea. RO1 este un controler numai pentru citire dintr-un segment de rețea diferit pentru a suporta o soluție de acces la distanță gestionată de organizația de deasupra mea (care gestionează rețeaua generală la care mă conectez).
În trecut, dacă ar fi să scot unul sau alți DC-uri locale offline, utilizatorii locali ar fi transferat la oricare dintre acestea care mai rulează de fapt (cum era de așteptat), la fel și utilizatorii de la distanță, pe măsură ce RODC-ul îl preia pe cel activ pentru a se autentifica.
Actualul DC1 este o adăugare relativ nouă, înlocuind-o pe cea numită DC. DC1 a fost adus online și a fost alăturat cu DC și DC2 și totul părea în regulă. Am transferat toate rolurile FSMO pe care le avea DC în înlocuirea sa, DC1 - netdom query fsmo arată toate rolurile ca fiind pe noul DC1. Am retrogradat și am luat DC offline pentru a-l retrage, deoarece era o mașină Server 2012 și migram departe de acestea. Am curățat câteva înregistrări DNS rătăcitoare care susțineau că vechiul DC mai exista, dar în afară de asta, totul a mers așa cum a fost. Ultimul ciclu de corecție, însă, am avut DC2 offline, în timp ce DC1 și RO1 au rămas active, dar am descoperit problemele legate de autentificare de mai sus. Utilizatorii externi nu s-au putut autentifica deloc, iar utilizatorii care erau deja conectați au găsit aplicațiile noastre de autentificare AD solicitându-le brusc să se conecteze din nou (fără niciun rezultat).
Din păcate, nu sunt sigur de ce este asta. DC1, noul controler, este cu siguranță recunoscut de Domeniu. Replicarea are loc bine - Repadmin /showrepl are succes, iar /replsum nu are erori raportate. Toate mașinile interne implicate își pot rezolva numele de gazdă și își pot trimite ping reciproc. Dacă dau un ping la domeniu, pot obține fie DC care poate fi scris, la fel ca și cum aș fi urmărit domeniul. Pot să fac modificări pe DC1 și să le văd pe DC2 și invers (și modificări precum politica de grup făcute pe DC1 în mod specific există cu siguranță în rețeaua mai mare). Pot să iau RODC și să-i spun să încarce înregistrările de la DC1 și DC2 fără probleme.
Dacă iau DC2 offline, totuși, atunci lucrurile merg pe latură. Ping-ul sau Tracert la domeniul nostru eșuează, utilizatorilor externi li se refuză accesul, iar utilizatorii interni văd că aplicațiile noastre autentificate prin AD eșuează și solicită în mod constant un nume de utilizator și o parolă. Opusul face nu se întâmplă, totuși - dacă scot noul DC1 offline, utilizatorii locali au uneori o ușoară întârziere ca și cum mașina lor ar fi încercat să contacteze DC1 înainte de a trece la DC2 și de a se autentifica cu succes, iar utilizatorii externi vin foarte bine.
Nu este nimic foarte evident în jurnalele de evenimente și tot ce îmi vine în minte apare configurat corect. Nu sunt sigur de unde să progresez de aici - a avut cineva simptome similare pe care le-a putut corecta?
