Em caso de falha do DC, force o servidor a localizar o DC Secundário

Navegue suas respostas
1

Em esta pergunta do SF , Perguntei como determinar em qual CD um servidor estava conversando. Estamos fazendo alguns testes de resiliência e precisamos demonstrar ao cliente que, se um DC falhar, haverá DCs adicionais disponíveis para suportar a tensão.

Com nltest , posso determinar com qual CD estou falando a qualquer momento. Mas se falharmos o controlador de domínio atual, como forçamos o servidor a reavaliar com quais outros DCs ele pode conversar e então se conectar a um ... tal que 'nltest' refletirá o novo DC?

O ideal é que eu goste de algum tipo de operação que eu possa executar dentro da mesma sessão do Windows, mas até agora nós entramos e voltamos novamente. Minha preocupação com o login / logout é que as credenciais armazenadas em cache podem complicar a imagem.

Em suma, no caso de uma falha de CC, qual é a maneira mais simples / rápida / segura de conectar o servidor a um DC secundário?

    
por CJM 13.11.2013 / 17:23

3 respostas

1

Na verdade, esse mecanismo de "failover" deve acontecer automaticamente. O cliente DNS (sempre que falamos de um servidor ou estação de trabalho) perguntará ao seu servidor DNS primário por um controlador de domínio, de modo que o mecanismo solicite ao servidor DNS um CD adicional. Você pode usar nltest / sc_reset para redefinir o canal seguro de logon de rede e, em seguida, restabelá-lo novamente.

Acho que a melhor maneira de provar que o "failover" é simular uma falha no DC (por exemplo, desconecte a Ethernet se isso for possível) e, em seguida, verifique novamente o canal seguro de logon de rede com nltest (você deve usar o modificador de força, a fim de ignorar qualquer informação em cache)

    
por 14.11.2013 / 12:35
5

In short, in the event of a DC failure, what is the simplest/quickest/safest way of making the server connection to a secondary DC?

Digite set log no cliente para ver com qual DC você se conectou. Mate aquele DC. Execute o Wireshark / Netmon enquanto você executa klist purge e depois C:\> net stop netlogon & net start netlogon no cliente.

Ou espere até que o cliente precise de algo do AD. É inteligente o suficiente tentar outros DCs em seu site, se ele não puder contatar o primeiro.

Paralelamente, é muito estúpido do seu cliente pedir que você demonstre para eles a capacidade anunciada do serviço de diretório número 1 no mundo, usado por milhões de pessoas em todo o mundo ... mas, novamente, Eu entendo que os clientes às vezes pedem coisas estúpidas.

    
por 13.11.2013 / 19:21
4

Faça login com 2 a 3 contas em uma máquina nova. Entre 1, desativar dc atual, logout, login da segunda conta. Como essas contas não têm perfil na máquina, ele demonstrará o failover.

    
por 13.11.2013 / 19:36

Tags

Obtendo um IP externo estático [fechado] Como descartar pacotes em um sistema de detecção de intrusão personalizado