我正在将服务器从托管位置迁移到 Amazon 的 VPC EC2 实例。如果有人以前没有使用过 Amazon VPC,VPN 就是个麻烦事!
无论如何,我设置了一台新服务器,作为我们 Amazon VPC 的域控制器。为了从我们现有的域控制器迁移所有用户帐户,我使用新 Amazon EC2 计算机上的用户帐户手动连接到我们的 colo VPN。
我能够加入域,新的 Amazon 服务器成为我们网络上的另一个域控制器。到目前为止一切顺利。
我遇到的问题是,启动 EC2 域控制器(不再连接到 VPN,因此无法与现有控制器通信)时,需要整整 6-8 分钟才能远程访问服务器(而不是应该需要的 1-2 分钟)。此外,在此期间,我们运行的大多数服务(如 IIS)也会出现 404 错误,直到 6-8 分钟过去。
这几乎就像域控制器首先尝试访问其他域控制器,然后在 6-8 分钟后返回到位于本地计算机上的域控制器?但我不认为这是正在发生的事情,因为 Server 2008 R2 没有主域控制器和备份域控制器。就 Windows 而言,它们都是平等的。
对于我的网络适配器,我只列出了一个 DNS,127.0.0.1,因此它应该查找本地域控制器,而不是在启用 VPN 时通过 VPN 连接到的其他域控制器。
在服务器日志中我看到重新启动期间弹出这些警告:
winlogon 通知订阅者需要很长时间来处理通知事件 (CreateSession)。
winlogon 通知订阅者花费 409 秒来处理通知事件 (CreateSession)。
对这里发生的事情有什么想法吗?我会尝试从新的 Amazon EC2 机器中删除现有的域控制器,但我仍然需要通过 VPN 连接几次以在服务器之间迁移一些数据,并且我不希望该更改反映回我们托管位置中的其他域控制器。
答案1
您是否为站点和子网设置了 AD 站点和服务,并且每个站点中都有相关的 DC?VPC 服务器可能将自身用于 DNS,但可能会根据返回的 SRV 记录将其引用到另一个 DC。这就是站点和服务的目的,以确保域客户端(DC 是域的客户端)被引用到其自己站点中的 DC。我不能说我对 DC 是否在多 DC 域中对自己进行身份验证有任何第一手的了解,但我会查看 ADS&S 并确保其配置正确。
登录完成后,从 VPC DC 上的命令提示符运行“echo %logonserver%”,并查看最后对其进行了身份验证的 DC。