Como eu faço um segundo controlador de domínio autenticar e resolver pesquisas de DNS?

Navegue suas respostas
2

Eu adicionei recentemente um segundo controlador de domínio a uma LAN. O Active Directory e o servidor DNS estão sincronizando / replicando sem erros, mas quando o controlador de domínio original está offline ou desativado, a autenticação de domínio não funciona mais nem o dns. O que estou perdendo na configuração?

Tudo o que sei é que, se um novo usuário tentar fazer login em um computador quando o segundo dc estiver inativo, ele receberá uma mensagem dizendo que algo como um domínio não pode ser contatado. O DC2 hospeda todas as mesmas zonas DNS que o DC1 hospeda.

* O comando powershell get-addomaincontroller executado no segundo dc diz true para dc1, mas não faz nenhuma menção ao dc2.

O Catálogo global é verificado nas configurações de NTDS para os dois DCs no AD para sites e serviços.

DCDIAG / test: o dns retorna que tudo passou.

Retorna o Comando Power Shell. PS C: \ Windows \ system32 > Get-ADDomainController -Filter * | ft -prop name, site, IsGlobalCatalog, IsReadOnly Retorna que ReadOnly é False para ambos os servidores.

Nslookup retorna:

C: \ Windows \ system32 > nslookup -type = SRV _kerberos._tcp.oicl.local 192.168.1.2

Servidor: OiclDc02.oicl.local Endereço: 192.168.1.2

_kerberos._tcp.oicl.local Localização do serviço SRV:           prioridade = 0           peso = 100           porta = 88           svr hostname = oicldc01.oicl.local _kerberos._tcp.oicl.local Localização do serviço SRV:           prioridade = 0           peso = 100           porta = 88           svr hostname = OiclDc02.oicl.local _kerberos._tcp.oicl.local Localização do serviço SRV:           prioridade = 0           peso = 100           porta = 88           svr hostname = OiclDc01.oicl.local _kerberos._tcp.oicl.local Localização do serviço SRV:           prioridade = 0           peso = 100           porta = 88           svr hostname = oicldc02.oicl.local oicldc01.oicl.local endereço na internet = 192.168.1.7 OiclDc02.oicl.local endereço na internet = 192.168.1.2 OiclDc01.oicl.local endereço na internet = 192.168.1.7 oicldc02.oicl.local endereço na internet = 192.168.1.2

C: \ Windows \ system32 >

    
por Mark 02.10.2017 / 20:35

1 resposta

3

As configurações de DNS em todas as máquinas foram atualizadas para usar o segundo controlador de domínio para DNS? Se você não tiver certeza de que pode executar ipconfig /all em um cliente para ver. Se apenas um "DNS Sever" estiver listado, isso é um problema. Para clientes DHCP, atualize seus escopos para incluir o segundo DC como servidores DNS secundários. Nos próximos clientes de atualização DHCP, você obterá o segundo servidor DNS. Para clientes estáticos, você precisará adicionar o segundo servidor DNS manualmente. 

C:\> ipconfig /all
Ethernet adapter Ethernet:
<rows of other stuff>
   DNS Servers . . . . . . . . . . . : 10.2.3.4
                                       10.2.3.5
   NetBIOS over Tcpip. . . . . . . . : Enabled

Editar 10/3

A falha de autenticação afeta TODOS os aplicativos ou apenas um? Alguns aplicativos legados mais antigos podem ter uma dependência do detentor de PDMO do PDC.

O DC2 hospeda as mesmas zonas DNS que o DC1 hospeda?

Outra coisa a verificar, o segundo DC também é um servidor de catálogo global? Invoque get-addomaincontroller , que retornará cerca de 20 linhas, uma das quais lerá IsGlobalCatalog: True . Se não for um GC, inicie o AD Sites & Serviços MMC, navegue até o objeto Configurações NTDS para esse DC, marque a caixa de is global catalog .

Caso contrário, suspeitaria de um problema de rede entre os clientes e este segundo DC, ou sua declaração sobre isso replicando com êxito o AD & DNS pode não estar correto. O DCDIAG /test:dns reporta algum erro quando executado a partir do 2º DC?

Você pode adicionar novas informações que encontrar editando sua postagem original.

Editar 10/4

O que você obtém ao executar o seguinte comando em uma das estações de trabalho com o problema? Execute o comando duas vezes, cada vez substitua 10.2.3.4 pelo IP de cada DC e yourdom.com pelo nome do seu domínio. 

nslookup -type=SRV _kerberos._tcp.yourdom.com 10.2.3.4

O DC2 é um DC completo ou readOnly DC? Execute isso a partir de qualquer CD: 

Get-ADDomainController -Filter * | ft -prop name, site, IsGlobalCatalog, IsReadOnly
    
por 02.10.2017 / 20:46

Tags

showmount -e nfs_server_hostname não mostra todas as montagens disponíveis para um cliente, mas por quê? Com que precisão os relógios aws são sincronizados entre diferentes regiões aws?