在这个科幻问题,我问如何确定服务器正在与哪个 DC 通信。我们正在进行一些弹性测试,需要向客户证明,如果 DC 发生故障,还有其他 DC 可用来承担压力。
使用nltest
,我可以确定我在任何给定时间正在与哪个 DC 通信。但是,如果我们无法使用当前 DC,我们如何强制服务器重新评估它可以与哪些其他 DC 通信,然后连接到其中一个 DC...这样“nltest”就会反映新的 DC?
理想情况下,我希望在同一个 Windows 会话中运行某种操作,但到目前为止,我们注销并重新登录。我对登录/注销的担心是缓存的凭据可能会使情况复杂化。
简而言之,如果发生 DC 故障,将服务器连接到辅助 DC 的最简单/最快/最安全的方法是什么?
答案1
实际上,这种“故障转移”机制应该自动发生。DNS 客户端(每当我们谈论服务器或工作站时)将向其主 DNS 服务器请求 DC,因此该机制是向 DNS 服务器请求附加 DC。您可以使用 nltest /sc_reset 重置网络登录安全通道,然后重新建立它。
我认为证明“故障转移”的最佳方法是模拟 DC 中的故障(例如,如果可能的话拔掉以太网),然后使用 nltest 再次检查网络登录安全通道(您应该使用 /force 修饰符来绕过任何缓存信息)
答案2
简而言之,如果发生 DC 故障,将服务器连接到辅助 DC 的最简单/最快/最安全的方法是什么?
在客户端上输入set log
以查看您使用哪个 DC 登录。杀死该 DC。在运行时运行 Wireshark/Netmon,klist purge
然后
C:\> net stop netlogon & net start netlogon
在客户端上运行。
或者等到客户端需要 AD 的某些东西时再进行操作。如果无法联系到第一个 DC,它会非常聪明地尝试其站点内的其他 DC。
顺便提一下,你的客户要求你向他们展示世界上第一的目录服务所宣传的功能,这个服务被全世界数以百万计的人使用,这是相当愚蠢的……但话又说回来,我明白客户有时会要求一些愚蠢的事情。
答案3
在一台新机器上使用 2-3 个帐户登录。登录 1,关闭当前 dc,注销,登录第二个帐户。由于这些帐户在机器上没有配置文件,因此它将演示故障转移。