发生了什么:
为了维护目的,我们必须重新启动位于 VLAN 1 上的域控制器 (DC) 之一。
我们在 3 个 VLAN 上总共有 4 个 DC,因此我们认为这不会影响我们的生产服务器,因为会发生故障转移。
但是在重启期间,需要对我们的 DC 进行身份验证并且托管在与重启 DC 位于同一 VLAN 上的服务器上的网站 20 分钟内无法从外部(Internet)访问。
我倾向于认为 VLAN 1 上生产服务器上的 IIS 丢失了与域的连接,并且无法使用位于 VLAN 2 或 3 上的任何其他 DC,而 VLAN 1 上的 DC 正在重新启动。
配置:
第一个 DC,运行 Win Svr 2K8 SP2,位于 VLAN 1 上 第二和第三个 DC,均运行 Win Svr 2003 R2,位于 VLAN 2 上 第四个 DC,运行 Win Svr 2K8 SP2,位于 VLAN 3 上 受影响的服务器,均运行 Win Svr 2K8 SP2,带有 IIS 7.0 和 .Net 4.0,属于 VLAN 1 的一部分
DNS 服务在所有 4 个 DC 上运行域功能级别:Windows 2000 本机网络负载平衡已启用
采取的步骤:
从第一个 DC 在提升的命令提示符下运行 REPADMIN /SHOWREPS
命令输出:
DC=ForestDnsZones,DC=WXYZ,DC=com
Site-Name2\DC2 通过 RPC
DSA object GUID:
Last attempt @ 2013-06-19 14:50:45 was successful.
Site-Name2\DC3 via RPC
DSA object GUID:
Last attempt @ 2013-06-19 14:50:45 was successful.
Site-Name2\DC2 via RPC
DSA object GUID:
Last attempt @ 2013-06-19 14:52:19 was successful.
因此复制进展顺利。
我已经验证并确认 VLAN 1 中的所有服务器都具有静态 IP 地址、其 NIC 中配置的主 DNS 和 2 个备用 DNS。所有服务器都可以 ping 所有 3 个 DNS 服务器。
我按照知识库“如何验证域控制器的 SRV 记录的创建”(http://support.microsoft.com/kb/241515)我使用 Nslookup 并执行了 3 个步骤。输出显示所有 4 个 DC/DNS 服务器都已注册,并且我获得了所有服务器的信息:
_ldap._tcp.dc._msdcs.mydomainname SRV 服务位置:
priority = 0
weight = 100
port = 389
svr hostname =
问题:
这可能是 Kerberos 问题吗?或者是故障转移问题?
如果有人可以提供一些故障排除步骤或工具来查找问题并解决问题,我将不胜感激。
跟进:
我已经为每个 DC 运行了以下命令行:
dcdiag /s:dcname /u:域\管理员用户名/p:/a /v /c* 并返回以下结果:
开始测试:站点间
Doing intersite inbound replication test on site VLAN1:
Locating & Contacting Intersite Topology Generator (ISTG) ...
The ISTG for site VLAN1 is: DC1.
Checking for down bridgeheads ...
Bridghead VLAN1\DC1 is up and replicating fine.
Bridghead VLAN2\DC2 is up and replicating fine.
Bridghead VLAN2\DC3 is up and replicating fine.
Bridghead VLAN3\DC4 is up and replicating fine.
Doing in depth site analysis ...
All expected sites and bridgeheads are replicating into site VLAN1
开始测试:站点间
Doing intersite inbound replication test on site
VLAN2:
Locating & Contacting Intersite Topology Generator (ISTG) ...
The ISTG for site VLAN2 is: DC2.
Checking for down bridgeheads ...
Bridghead VLAN1\DC1 is up and replicating fine.
Bridghead VLAN2\DC2 is up and replicating fine.
Bridghead VLAN2\DC3 is up and replicating fine.
Bridghead VLAN3\DC4 is up and replicating fine.
Doing in depth site analysis ...
All expected sites and bridgeheads are replicating into site VLAN2
开始测试:站点间
Doing intersite inbound replication test on site VLAN2:
Locating & Contacting Intersite Topology Generator (ISTG) ...
The ISTG for site VLAN2 is: DC2.
Checking for down bridgeheads ...
Bridghead VLAN1\DC1 is up and replicating fine.
Bridghead VLAN2\DC2 is up and replicating fine.
Bridghead VLAN2\DC3 is up and replicating fine.
Bridghead VLAN3\DC4 is up and replicating fine.
Doing in depth site analysis ...
All expected sites and bridgeheads are replicating into site VLAN2.
开始测试:站点间
Doing intersite inbound replication test on site VLAN3:
Locating & Contacting Intersite Topology Generator (ISTG) ...
The ISTG for site VLAN3 is: DC4.
Checking for down bridgeheads ...
Bridghead VLAN1\DC1 is up and replicating fine.
Bridghead VLAN2\DC2 is up and replicating fine.
Bridghead VLAN2\DC3 is up and replicating fine.
Bridghead VLAN3\DC4 is up and replicating fine.
Doing in depth site analysis ...
All expected sites and bridgeheads are replicating into site VLAN3.
确认上一个命令行重新管理/显示。
生产中的这些 DC 有 4 个,我不能允许任何停机时间,因此重新启动 DC1 以再次导致相同的行为将是我的最后选择。
有人有任何故障排除建议吗?使用 Wireshark 有用吗?
感谢您的帮助。