Como devo configurar meus servidores do Active Directory para que, caso um deles seja desativado, os usuários não sejam iniciados no SQL?

2

Hoje, encerramos um dos nossos servidores do Active Directory durante o horário comercial para verificar o carregamento em um no-break. Como tudo o que o servidor fez foi fornecer o Active Directory em um prédio separado, caso o prédio principal pegasse fogo, ou o que quer que seja, não achamos que isso afetaria nossos usuários.

Segundos após o encerramento do servidor, recebemos uma dúzia de telefonemas de usuários com esse problema: [Login do Microsoft SQL Server] SQLState: '28000' [Microsoft] [Driver do ODBC SQL Server] [SQL Server] Falha no logon. O login é de um domínio não confiável e não pode ser usado com autenticação.

Quando percebemos o que aconteceu, reiniciamos rapidamente o servidor do Active Directory. Problema resolvido.

Mas por que isso aconteceu? E se um dia um servidor tiver uma falha e ficar off-line por horas ou dias? Os outros servidores do Active Directory nas solicitações de autenticação do serviço de domínio não devem ser interrompidos para os usuários?

Temos três servidores Windows Server 2003 Standard executando o Active Directory como controladores de domínio com catálogos globais, todos localizados fisicamente na mesma rede em velocidades Gigabit.

Eu acredito que o domínio era originalmente o Windows Server 2000, ou talvez até mesmo o NT 4.0. O problema poderia estar nas antigas políticas de grupo herdadas desses sistemas operacionais antigos do servidor ou em alguma configuração padrão no Active Directory que precisa ser alterada?

    
por Matty Brown 05.07.2012 / 22:20

1 resposta

2

Parece que você pode não ter seu DNS configurado corretamente. Você precisa garantir que os clientes possam emitir solicitações DNS para os outros DCs. Em outras palavras, as configurações de DHCP do cliente devem fornecer os registros DNS para todos os seus DCs (se eles executarem o serviço DNS). De qualquer forma, você também precisa se certificar de que todos os seus CDs estejam registrados no DNS também.

Os clientes devem fazer failover automaticamente para autenticação, mas se seu aplicativo armazenar em cache as credenciais por algum motivo, ele pode ter tentado apenas voltar ao DC original para autenticação.

    
por 05.07.2012 / 22:33