Os servidores mudam inesperadamente para o BDC no AD? [fechadas]

Navegue suas respostas
1

Eu tenho duas máquinas virtuais AD em execução no HyperV. AD1 (PDC) sincroniza seu tempo com pool.ntp.org e AD2 (BDC) sincroniza com AD1 para obter a hora correta. Ambos são servidores do Windows Server 2008.

Isso funcionou bem por um tempo, mas ultimamente os servidores parecem abandonar o AD1 e autenticar com o AD2, mesmo que o AD1 esteja ativo e em execução.

Eu tentei desligar o AD2 e reiniciar todos os servidores no domínio para forçá-los a autenticar no AD1, o que funciona bem. Mas sempre que eu coloco o AD2 na rede novamente, os servidores continuarão a autenticação do AD2 na reinicialização.

Esse comportamento é desconhecido para mim e estou tendo dificuldades para solucionar o problema.

    
por OHMR 19.02.2016 / 16:08

2 respostas

6

  1. Isso não tem nada a ver com sincronização de horário. Sua configuração de sincronização de horário parece estar correta em relação ao que você declarou na sua pergunta. O controlador de domínio que detém a função PDCe deve sincronizar com uma fonte de tempo externa confiável. Todos os outros membros do domínio devem sincronizar com a hierarquia do domínio. Isso inclui todos os outros controladores de domínio.

  2. Pare de chamá-los de PDC e BDC. Essa terminologia não é mais válida e é uma sugestão de que você não está propenso a entender sua AD. O AD usa um modelo de Múltiplos Mestres (conhecido como FSMO (Flexible Single Master Operations), sobre o qual você pode ler neste link. - link

  3. Seus clientes de domínio estão se comportando exatamente como esperado. Um cliente de domínio do AD pode se autenticar em qualquer controlador de domínio disponível. Você não deve tentar controlar esse comportamento nem desencorajá-lo. O fato de você ver isso como um problema que precisa ser resolvido é outro indício de que você realmente não tem uma boa compreensão do AD. Pode servir para você fazer uma leitura profunda sobre o assunto.

por 19.02.2016 / 17:19
0

Se o AD2 é adequado como uma boa fonte de tempo, não acho que seja necessário alterar a topologia.

se o AD2 tiver um tempo incorreto e, portanto, não for uma boa escolha, recomendo que o AD2 tenha o horário correto (que na replicação resolve os horários incorretos nos clientes).

nós vimos algo relacionado em um de nossos clientes (onde um CD tinha, na verdade, um tempo incorreto). parece que o serviço de horário em ad2 ainda está anunciando como autoritário.

você pode definir o servidor de horário no ad2 para que ele não seja mais considerado um servidor de horário confiável. link

caso contrário, você pode usar os GPOs para atribuir o servidor de horário explicitamente - como eu, pessoalmente, ainda preferiria a primeira escolha

    
por 19.02.2016 / 16:42

Tags

Como enviar com segurança os logs do seu aplicativo? Aumenta o número máximo de consumidores no RabbitMQ