none
Не проходит авторизация на резервном контроллере домена RRS feed

  • Вопрос

  • приветствую.
    имеется два контроллера домена, основной - физический на Windows server 2003 R2, резервный - виртуальный на Virtual server 2005 c ОС Windows server 2003 R2
    так же имеется ISA Server 2006 на ОС Windows server 2003 R2, размещен на виртуальной машине на Virtual Server 2005.

    суть проблемы в следующем: тушится основной контроллер и ISA перестает авторизовывать пользователей. на всех юзерских компьютерах стоит firewall client.
    пробовал прописывать LDAP серверы, но не помогло.
    с контроллерами проблем нет, т.к. другие сервисы  и службы проходят авторизацию нормально.

    в чем может быть проблема? куда стоит поглядеть и на что обратить внимание?

    Заранее спасибо.
    10 декабря 2009 г. 9:59

Ответы

  • А что в журналах безопасности у ISA? А проверяли возможность доступиться с ISA до второго контроллера на порты UDP-88, TCP/UDP-389, получать SRV-записи через вторичный DNS?..

    • Помечено в качестве ответа Алексей Н_ 11 декабря 2009 г. 13:20
    10 декабря 2009 г. 19:03
    Отвечающий

Все ответы

  • На ISA в настройках tcp/ip внутреннего интерфейса должно быть прописано 2 DNS - адреса контроллеров домена.
    И должно быть создано правило, разрешающее обращение к этим контроллерам (в системной политике есть правило так и называется Служба каталогов - глнять что там вписано).

    Я так полагаю что проверяете по средствам отключения 1го домен контроллера, в следующий раз запустите наблюдение на ISA и гляньте что происходит.
    10 декабря 2009 г. 14:25
  • в настройках внутреннего интерфейса все прописано. только одно НО!!! : второй DNS не является контроллером. резервный контроллер и резервный DNS на разных серверах расположены. (может конечно и в этом дело, но меня терзают смутные сомнения)
    по системной политике: там стоит по умолчанию внутренняя сеть. (может имеет смысл жестко прописать там два контроллера?)

    да, тестируем отказоустойчивость сети и тушим перманентно контроллер основной.

    наблюдение запущу по результатам отпишусь.
    10 декабря 2009 г. 17:12
  • А что в журналах безопасности у ISA? А проверяли возможность доступиться с ISA до второго контроллера на порты UDP-88, TCP/UDP-389, получать SRV-записи через вторичный DNS?..

    • Помечено в качестве ответа Алексей Н_ 11 декабря 2009 г. 13:20
    10 декабря 2009 г. 19:03
    Отвечающий
  • так. проверка журналов ни чего интересного не показала. там есть сообщение о невозможности найти контроллер домена (как раз в период прошлого отключения), но ни какой ценной информации они не несут.
    обращение к резервному контроллеру проходит  и по 88 и по 389 портам.
    НО проблема решилась как то сама собой.
    описываю процесс:

    1. запустил монитор на ISA
    2. отключил основной контроллер (авторизация пользователей на ISA сразу прекратилась)
    В процессе наблюдения монитор показывал, что ISA обращается постоянно к основному и даже проверяет с ним связь. резервный не трогает. хотя прекрасно видит и работает с резервным DNS.
    3. полез смотреть записи и состояние резервного DNS. все записи на месте. все запросы отрабатывает и ошибок не выдает. однако обратил внимание на то, что внутренние записи зоны моего домена (DomainDnsZones, ForestDnsZones, _tcp, _udp и т.д.) не прогрузились. (у меня резервный сервер DNS имеет копию зон с основного, т.е. основных зон на нем нет). после некоторого времени тупки все зоны благополучно отобразились.
    4. буквально через минуту после прогрузки зон ISA стала обращаться к резервному контроллеру и авторизация пользователей стала проходить.

    выводы: либо у ISA стоит какой-то внутренний тай-аут по обращению к резервному контроллеру (хотя я не видел таких настроек), либо дело было в DNS, а именно в подвисании зоны. 

    если у кого-то есть еще идеи: рад буду выслушать.. ибо хочу докопаться до сути.
    спасибо за участие.
    11 декабря 2009 г. 13:20
  • внеси какую нить тестовую запись в эти зоны и посмотри как скоро они появятся на резервном dns
    11 декабря 2009 г. 14:41
    Отвечающий