我几乎把所有的时间都花在了 Linux\Networking 上,但是我正在尝试设置多站点 AD 配置。没有根站点或类似的东西,我只是在 SiteA 中有两个 DC,在 SiteB 中有一个 DC。它们都相互复制。
我实际位于 SiteB。在实际设置 Active Directory 站点和服务中的站点之前,我的测试计算机会在 、 和 之间来回切换SiteB-DC01。SiteA-DC01设置SiteA-DC02完成后(站点和子网),我的 SiteA 计算机使用 SiteA DC,而我的 SiteB 计算机使用我的 SiteB DC。我通过发出 来确认这一点echo %LOGONSERVER%。
这一切都很好,但是......
如果 SiteB 的 DC 出现故障,会发生什么情况?为了模拟这种情况,我关闭了 SiteB 的 DC,SiteB 中的客户端抱怨道No logon server could be found。
我尝试创建附加_ldap SRV记录,但Forward Lookup Zones->DOMAIN->_sites->SiteB->_tcp没有成功。我将 SiteB DC 的优先级设置为 0,将 SiteA DC 的优先级设置为 1。这是正确的做法吗?
此外,所有不同的 SRV 记录位置之间有什么区别?我找不到太多文档:
- 域->站点->SITE_HERE->_tcp
- 域->_tcp
- _msdcs.DOMAIN->dc->_sites->SITE_HERE->_tcp
- _msdcs.DOMAIN->dc->_tcp
常识告诉我,客户端(它知道它在哪个站点,因为它在注册表中)将执行特定于站点的 DNS 查询以找到所有 DC,然后根据优先级和权重选择一个进行身份验证。
答案1
您的客户端...除了您离线的域控制器之外,他们是否还使用其他 DNS 解析器?如果您的客户端没有故障转移 DNS 服务器来定位备用域控制器,那么 Active Directory 中的冗余就毫无用处...
就我个人而言,我建议首先将所有域成员配置为在自己的站点中使用两个域控制器,然后使用来自相邻站点的域控制器作为第三 DNS 解析器。(我认为,在第三个解析器之后使用其他 DNS 解析器的好处会急剧下降。)在生产中,我建议每个站点使用两个域控制器,但在实验室或开发环境中,每个位置只看到一个 DC 是可以理解的。
一般来说,我不建议在 Active Directory 中手动为域控制器创建 SRV 记录。健康环境中的 DC 应该注册并维护自己的 SRV 记录。
Active Directory 确实存在“自动站点覆盖”功能,当 AD 看到不包含域控制器的站点时,来自相邻站点的 DC 将“有帮助地”在该其他站点中注册它们自己的 SRV 记录,以尝试为可能在该站点中的客户端提供覆盖...我将“有帮助地”放在引号中,因为如果您想知道记录是如何到达那里的,该功能可能会引起混淆。
此外,所有不同的 SRV 记录位置之间有什么区别?
_msdcs.forestname.com 区域在整个林中复制,并包含客户端可以用来定位整个林中的域服务的 SRV 记录,例如 LDAP、全局目录、KDC 等。
domainname.forestname.com 区域下方的 _msdcs 子区域(带有“灰色”图标)是委派子区域。它专门委派给该域。如果您有一个单域林,您可能看不到太大差异,但在具有复杂 DNS 结构的多域林中更容易看到差异。