我目前正在一个环境中工作,其中有 2 个 DC 正在运行,另一个 DC 是备份,但当前也在运行,因此,如果其他 2 个 DC 出现故障,备份 DC 具有成功运行所需的一切。
我目前遇到的问题(其实不是太大的问题,只是客户希望它以某种方式运行)是,当某些用户登录时,他们会从灾难恢复 DC 获取组策略。发生这种情况的原因是它们都在同一个网络上,具有相同的子网掩码等。
我的问题是,有没有一种方法,当用户登录时,计算机更倾向于转到 2 个主 DC 而不是灾难恢复 DC?
这是否与路由指标有关,或者服务器的某个部分是否可以打开并使其成为更“主导”的服务器。
服务器是作为 VM 运行的 Windows 2k8 服务器。如需更多信息,我可以提供。
谢谢!
答案1
您的客户做错了。根本没有所谓的“灾难恢复”DC。就所有意图和目的而言,所有 DC 都是平等的。您让客户缺乏理解来驱动这种情况,而您本应该教育他们。不去讨论 FSMO 角色持有者、全局目录、AD 身份验证和授权、站点覆盖、复制等的变化,以及 AD 功能和操作的所有其他细节,我只想说,您不需要“灾难恢复”DC;“灾难恢复 DC”这个术语对于了解 AD 工作原理的人来说是诅咒;您应该立即停止并了解 Active Directory 的细节,然后再继续进行任何修改。
答案2
如果您确实将第二个 DC 用作“灾难恢复”DC,则应将其移动到 AD 站点和服务中的第二个站点。这将导致客户端向“最近”的 DC 进行身份验证。我通常设置两个 DC 用于灾难恢复,但我允许客户端同时使用它们。
如果您从 DR 服务器提取不同的 GPO,则您的设置存在严重问题。GPO 应在更改后几分钟内在所有服务器上同步。
答案3
您可以更改 _msdcs.yourdomain.com 中条目的权重,使灾难恢复 DC 的优先级降低。默认情况下,它们将具有相同的权重,客户端将在它们之间进行循环。
但是,我不建议手动摆弄域控制器 DNS 条目。将 DR DC 移动到 ADSS 中的单独站点会更干净。