如何让第二个域控制器进行身份验证并解析 DNS 查找?

如何让第二个域控制器进行身份验证并解析 DNS 查找?

我最近在 LAN 中添加了第二个域控制器。Active Directory 和 DNS 服务器同步/复制时没有错误,但当原始域控制器处于脱机或关闭状态时,域身份验证不再起作用,DNS 也不起作用。我在配置中缺少什么?

我所知道的是,如果新用户在第二个 DC 停机时尝试登录 PC,他们会收到一条消息,提示无法联系域。DC2 托管 DC1 托管的所有相同的 DNS 区域。

*在第二个 dc 上运行的 get-addomaincontroller powershell 命令对 dc1 说是 true,但根本没有提到 dc2。

在 AD 中的站点和服务的两个 DC 的 NTDS 设置中检查全局编录。

DCDIAG /test:dns 返回所有操作均已通过。

Power Shell 命令返回。PS C:\Windows\system32> Get-ADDomainController -Filter * | ft -prop name, site, IsGlobalCatalog, IsReadOnly 返回两个服务器的 ReadOnly 均为 False。

Nslookup 返回:

C:\Windows\system32>nslookup -type=SRV _kerberos._tcp.oicl.local 192.168.1.2

服务器:OiclDc02.oicl.local地址:192.168.1.2

_kerberos._tcp.oicl.local SRV 服务位置:优先级 = 0 权重 = 100 端口 = 88 svr 主机名 = oicldc01.oicl.local _kerberos._tcp.oicl.local SRV 服务位置:优先级 = 0 权重 = 100 端口 = 88 svr 主机名 = OiclDc02.oicl.local _kerberos._tcp.oicl.local SRV 服务位置:优先级 = 0 权重 = 100 端口 = 88 svr 主机名 = OiclDc01.oicl.local _kerberos._tcp.oicl.local SRV 服务位置:优先级 = 0 权重 = 100 端口 = 88 svr 主机名 = oicldc02.oicl.local oicldc01.oicl.local Internet 地址 = 192.168.1.7 OiclDc02.oicl.local 互联网地址 = 192.168.1.2 OiclDc01.oicl.local 互联网地址 = 192.168.1.7 oicldc02.oicl.local 互联网地址 = 192.168.1.2

C:\Windows\system32>

答案1

所有机器上的 DNS 设置是否都已更新为使用第二个域控制器进行 DNS?如果您不确定,您可以ipconfig /all在客户端上运行查看。如果只列出了一个“DNS 服务器”,那就有问题了。对于 DHCP 客户端,请更新您的范围以将第二个 DC 作为辅助 DNS 服务器包括在内。在下一次 DHCP 刷新时,客户端将获得第二个 DNS 服务器。对于静态客户端,您需要手动添加第二个 DNS 服务器。

C:\> ipconfig /all
Ethernet adapter Ethernet:
<rows of other stuff>
   DNS Servers . . . . . . . . . . . : 10.2.3.4
                                       10.2.3.5
   NetBIOS over Tcpip. . . . . . . . : Enabled

编辑10/3

身份验证失败会影响所有应用程序还是仅影响一个应用程序?一些较旧的旧版应用程序可能依赖于 PDC FSMO 持有者。

DC2 是否托管 DC1 托管的所有相同的 DNS 区域?

另一件要检查的事情是,第二个 DC 是否也是全局目录服务器?调用get-addomaincontroller将返回大约 20 行,其中一行将显示IsGlobalCatalog: True。如果它不是 GC,请启动 AD 站点和服务 MMC,导航到该 DC 的 NTDS 设置对象,选中复选框is global catalog

否则,我会怀疑客户端和第二个 DC 之间存在网络问题,或者您关于成功复制 AD 和 DNS 的说法可能不正确。DCDIAG /test:dns从第二个 DC 运行时是否报告任何错误?

您可以通过编辑原始帖子来添加发现的新信息。

编辑10/4

当您从出现问题的工作站之一运行以下命令时,您会得到什么?运行该命令两次,每次都替换10.2.3.4为每个 DC 的 IP 和yourdom.com您的域名。

nslookup -type=SRV _kerberos._tcp.yourdom.com 10.2.3.4

DC2 是完整 DC 还是只读 DC?从任一 DC 运行此命令:

Get-ADDomainController -Filter * | ft -prop name, site, IsGlobalCatalog, IsReadOnly

相关内容