当 DC 发生故障时,强制服务器查找辅助 DC

当 DC 发生故障时,强制服务器查找辅助 DC

这个科幻问题,我问如何确定服务器正在与哪个 DC 通信。我们正在进行一些弹性测试,需要向客户证明,如果 DC 发生故障,还有其他 DC 可用来承担压力。

使用nltest,我可以确定我在任何给定时间正在与哪个 DC 通信。但是,如果我们无法使用当前 DC,我们如何强制服务器重新评估它可以与哪些其他 DC 通信,然后连接到其中一个 DC...这样“nltest”就会反映新的 DC?

理想情况下,我希望在同一个 Windows 会话中运行某种操作,但到目前为止,我们注销并重新登录。我对登录/注销的担心是缓存的凭据可能会使情况复杂化。

简而言之,如果发生 DC 故障,将服务器连接到辅助 DC 的最简单/最快/最安全的方法是什么?

答案1

实际上,这种“故障转移”机制应该自动发生。DNS 客户端(每当我们谈论服务器或工作站时)将向其主 DNS 服务器请求 DC,因此该机制是向 DNS 服务器请求附加 DC。您可以使用 nltest /sc_reset 重置网络登录安全通道,然后重新建立它。

我认为证明“故障转移”的最佳方法是模拟 DC 中的故障(例如,如果可能的话拔掉以太网),然后使用 nltest 再次检查网络登录安全通道(您应该使用 /force 修饰符来绕过任何缓存信息)

答案2

简而言之,如果发生 DC 故障,将服务器连接到辅助 DC 的最简单/最快/最安全的方法是什么?

在客户端上输入set log以查看您使用哪个 DC 登录。杀死该 DC。在运行时运行 Wireshark/Netmon,klist purge然后 C:\> net stop netlogon & net start netlogon在客户端上运行。

或者等到客户端需要 AD 的某些东西时再进行操作。如果无法联系到第一个 DC,它会非常聪明地尝试其站点内的其他 DC。

顺便提一下,你的客户要求你向他们展示世界上第一的目录服务所宣传的功能,这个服务被全世界数以百万计的人使用,这是相当愚蠢的……但话又说回来,我明白客户有时会要求一些愚蠢的事情。

答案3

在一台新机器上使用 2-3 个帐户登录。登录 1,关闭当前 dc,注销,登录第二个帐户。由于这些帐户在机器上没有配置文件,因此它将演示故障转移。

相关内容