none
При перезагрузке одного DC, не проходит авторизация на втором RRS feed

  • Вопрос

  • Есть 2 DC на 2008r2 серверах (уровень домена 2008r2)

    Проблема в том что при перезагрузке, второй контроллер не проводит авторизацию (пользователей на себе)

    При попытке авторизоваться возникает ошибка - логин/пароль неверен

    В логах никаких глобальных косяков нет. Подскажите пожалуйста в какую сторону копать

    Модератор

Ответы

  • Список КД упорядочивается клиентом согласно приоритетам (от меньшего к большему) их записей SRV, в пределах одного приоритета - случайным образом, с вероятностями, пропорциональными весам в записях SRV. Далее клиент выбирает из списка первый доступный КД и работает с ним.

    Приоритет и вес записей SRV регистрируемых КД можно менять через групповую политику - узел Administrative Templates\System\Net Logon\DC Locator DNS Records в конфигурации компьютера/Политиках. Менять лучше всего в локальной политке (через gpedit.msc). 

    Смысла менять не вижу - кроме, разве что случая, когда один из КД может быть перегружен запросами на авторизацию.


    Слава России!

    • Помечено в качестве ответа Vector BCOModerator 13 октября 2014 г. 20:57
  • Насколько я понимаю репликация проходила около часу назад (сегодня)

    ДНС никсовый обслуживается не нами, на нем есть запись AD.Company.net которая резолвит 2 адреса наших ДК

    Выглядит как то так

    > nslookup ad.company.net

      Name:     ad.company.net
      Adress:   192.168.0.3
                     192.168.0.4

    Этого недостаточно для проверки: поиск КД производится через записи SRV  поддомена _msdcs
    Посмотрите для начала, где и как этот поддомен прописан на сервере DNS: nslookup -type=all _msdcs.ad.company.net

    Слава России!

    • Помечено в качестве ответа Vector BCOModerator 13 октября 2014 г. 20:58
  • Хз чего не хватало но ситуация решилась при миграции днс на кд

    сейчас кд 4 с днс на них же и проблема больше не возникает

    всем спасибо

    • Помечено в качестве ответа Vector BCOModerator 13 октября 2014 г. 20:57
    13 октября 2014 г. 20:57
    Модератор

Все ответы

  • В свойствах сети на клиентских машинах альтернативный днс сервер прописан ?

    Что пишет команда еще посмотри как репликация проходит.

    CMD Команда:
    repadmin /showrepl
  • Насколько я понимаю репликация проходила около часу назад (сегодня)

    ДНС никсовый обслуживается не нами, на нем есть запись AD.Company.net которая резолвит 2 адреса наших ДК

    Выглядит как то так

    > nslookup ad.company.net

      Name:     ad.company.net
      Adress:   192.168.0.3
                     192.168.0.4

    Модератор
  • IP config /all с обоих DC и Клиента покажите пожалуйста.

    Все что вы делаете, вы делаете на свой страх и риск. Делайте Backup правильно.

  • Есть 2 DC на 2008r2 серверах (уровень домена 2008r2)

    Проблема в том что при перезагрузке, второй контроллер не проводит авторизацию (пользователей на себе)

    При попытке авторизоваться возникает ошибка - логин/пароль неверен

    В логах никаких глобальных косяков нет. Подскажите пожалуйста в какую сторону копать

    Произвести диагностику при отключенном втором DC:

    поиск в DNS (nltest /dnsgetdc:домен ), поиск DC (nltest /dnsgetdc:домен ), включить аудит неудачных попыток входа в систему и смотреть причину ошибки со всеми параметрами (в частности, Status Code).

    И обязательно проверить оба DC командой dcdiag, в частности - на предмет репликации.

    nltest входит в состав Support Tools или RSAT, в зависимости от версии клиента.


    Слава России!

  • Насколько я понимаю репликация проходила около часу назад (сегодня)

    ДНС никсовый обслуживается не нами, на нем есть запись AD.Company.net которая резолвит 2 адреса наших ДК

    Выглядит как то так

    > nslookup ad.company.net

      Name:     ad.company.net
      Adress:   192.168.0.3
                     192.168.0.4

    Этого недостаточно для проверки: поиск КД производится через записи SRV  поддомена _msdcs
    Посмотрите для начала, где и как этот поддомен прописан на сервере DNS: nslookup -type=all _msdcs.ad.company.net

    Слава России!

    • Помечено в качестве ответа Vector BCOModerator 13 октября 2014 г. 20:58
  • Windows IP Configuration

       Host Name . . . . . . . . . . . . : dc1
       Primary Dns Suffix  . . . . . . . : ad.Company.net
       Node Type . . . . . . . . . . . . : Hybrid
       IP Routing Enabled. . . . . . . . : No
       WINS Proxy Enabled. . . . . . . . : No
       DNS Suffix Search List. . . . . . : ad.Company.net

    Ethernet adapter Local Area Connection:

       Connection-specific DNS Suffix  . :
       Description . . . . . . . . . . . : HP NC382i DP Multifunction Gigabit Server Adapter #6
       Physical Address. . . . . . . . . : 98-4B-E1-22-1A-10
       DHCP Enabled. . . . . . . . . . . : No
       Autoconfiguration Enabled . . . . : Yes
       Link-local IPv6 Address . . . . . : fe80::c9ea:4648:ab83:5bc5%11(Preferred)
       IPv4 Address. . . . . . . . . . . : 192.168.0.3(Preferred)
       Subnet Mask . . . . . . . . . . . : 255.255.255.0
       Default Gateway . . . . . . . . . : 192.168.0.1
       DHCPv6 IAID . . . . . . . . . . . : 212861121
       DHCPv6 Client DUID. . . . . . . . : 00-01-00-01-15-F2-55-1F-98-4B-E1-75-7E-50
       DNS Servers . . . . . . . . . . . : 192.168.0.10
                                           192.168.0.11
                                           192.168.0.12
       NetBIOS over Tcpip. . . . . . . . : Enabled

    Tunnel adapter isatap.{BDE34CEB-D186-4F85-9A48-73BF88DFC165}:

       Media State . . . . . . . . . . . : Media disconnected
       Connection-specific DNS Suffix  . :
       Description . . . . . . . . . . . : Microsoft ISATAP Adapter
       Physical Address. . . . . . . . . : 00-00-00-00-00-00-00-E0
       DHCP Enabled. . . . . . . . . . . : No
       Autoconfiguration Enabled . . . . : Yes






    Windows IP Configuration

       Host Name . . . . . . . . . . . . : dc2
       Primary Dns Suffix  . . . . . . . : ad.company.net
       Node Type . . . . . . . . . . . . : Hybrid
       IP Routing Enabled. . . . . . . . : No
       WINS Proxy Enabled. . . . . . . . : No
       DNS Suffix Search List. . . . . . : ad.company.net

    Ethernet adapter Local Area Connection:

       Connection-specific DNS Suffix  . :
       Description . . . . . . . . . . . : Broadcom BCM5708S NetXtreme II GigE (NDIS VBD Client)
       Physical Address. . . . . . . . . : 00-1F-29-12-DC-01
       DHCP Enabled. . . . . . . . . . . : No
       Autoconfiguration Enabled . . . . : Yes
       Link-local IPv6 Address . . . . . : fe80::60ba:405e:ca79:d106%11(Preferred)
       IPv4 Address. . . . . . . . . . . : 192.168.0.4(Preferred)
       Subnet Mask . . . . . . . . . . . : 255.255.255.0
       Default Gateway . . . . . . . . . : 192.168.0.1
       DHCPv6 IAID . . . . . . . . . . . : 234889001
       DHCPv6 Client DUID. . . . . . . . : 00-01-00-01-16-33-A7-82-01-1F-29-09-8D-58
       DNS Servers . . . . . . . . . . . : 192.168.0.10
                                           192.168.0.11
                                           192.168.0.12
       NetBIOS over Tcpip. . . . . . . . : Enabled

    Tunnel adapter isatap.{6CE3B63B-2D0F-4644-9102-7ACBDDCE6134}:

       Media State . . . . . . . . . . . : Media disconnected
       Connection-specific DNS Suffix  . :
       Description . . . . . . . . . . . : Microsoft ISATAP Adapter
       Physical Address. . . . . . . . . : 00-00-00-00-00-00-00-E0
       DHCP Enabled. . . . . . . . . . . : No
       Autoconfiguration Enabled . . . . : Yes
    Модератор
  • У вас на DC DNS служба развернута?

    Если да то по каким причинам в настройках TCP/IP у вас оба DC не смотрят друг на друга?

    Должно быть примерно так

    IPv4 Address. . . . . . . . . . . : 192.168.0.3

    Subnet Mask . . . . . . . . . . . : 255.255.255.0

    Default Gateway . . . . . . . . . : 192.168.0.1

    DNS Servers . . . . . . . . . . . : 192.168.0.4

    DNS Servers . . . . . . . . . . . : 127.0.0.1

    Аналогично и на 2м только

    DNS Servers . . . . . . . . . . . : 192.168.0.3

    DNS Servers . . . . . . . . . . . : 127.0.0.1

    На клиентах должно быть что оба DNS сервера в настройках TCP/IP должны быть

    Ваши контроллеры домена 192.168.0.3 192.168.0.4

    Тут немного не понятно что за DNS сервера вы используете

     DNS Servers . . . . . . . . . . . : 192.168.0.10
                                           192.168.0.11
                                           192.168.0.12


    Все что вы делаете, вы делаете на свой страх и риск. Делайте Backup правильно.

  • У вас на DC DNS служба развернута?

    Если да то по каким причинам в настройках TCP/IP у вас оба DC не смотрят друг на друга?

    Должно быть примерно так

    IPv4 Address. . . . . . . . . . . : 192.168.0.3

    Subnet Mask . . . . . . . . . . . : 255.255.255.0

    Default Gateway . . . . . . . . . : 192.168.0.1

    DNS Servers . . . . . . . . . . . : 192.168.0.4

    DNS Servers . . . . . . . . . . . : 127.0.0.1

    Аналогично и на 2м только

    DNS Servers . . . . . . . . . . . : 192.168.0.3

    DNS Servers . . . . . . . . . . . : 127.0.0.1

    На клиентах должно быть что оба DNS сервера в настройках TCP/IP должны быть

    Ваши контроллеры домена 192.168.0.3 192.168.0.4

    Тут немного не понятно что за DNS сервера вы используете

     DNS Servers . . . . . . . . . . . : 192.168.0.10
                                           192.168.0.11
                                           192.168.0.12


    Все что вы делаете, вы делаете на свой страх и риск. Делайте Backup правильно.


    так днс у нас сторонний, на кд днс нет
    Модератор
  • Active Directory использует DNS как механизм поиска контроллеров домена и других объектов. Выделяют три следующих компонента, от которых зависит работа AD в DNS:

    • Domain controller locator
    • Доменные имена Active Directory в DNS
    • Объекты Active Directory в DNS

    А теперь давайте рассмотрим более подробно:

    Domain controller locator Представлен службой NET LOGON, позволяющей клиентам найти контроллеры домена.
    Доменные имена Active Directory в DNS Каждый домен имеет DNS имя (к примеру: inadmin.ru ), так же каждый компьютер из этого домена имеет свое DNS имя ( к примеру:Server01.inadmin.ru ). Архитектурно, каждый компонент хранится как объект в Active Directory и как узел в DNS. Тут есть принципиальное отличие, хотя имена одинаковы, но выполняют они разные роли.
    • DNS разрешает имена доменов и компьютеров из ресурсных записей. Для этого посылается запрос на DNS сервер, который хранит DNS базу данных
    • Active Directory разрешает доменные объекты. Получаемы путем запроса к контроллерам домена, такими как LDAP запросы.
    Объекты Active Directory в DNS Когда DNS хранится в Active Directory, то для каждой DNS зоны создается контейнер ( класс dnsZone ). Внутри данного объекта хранятся объекты DNS (класс dnsNode) для каждого уникального имени. Эти уникальные имена включают изменения, связанные с хостовой машиной. У каждого объекта dnsNode есть атрибут с несколькими значениями dnsRecord, который содержит значение для каждой ресурсной записи, связанной с именем объекта.

    Все что вы делаете, вы делаете на свой страх и риск. Делайте Backup правильно.

  • Как я вас понял есть *NIX сервер с DNS который хранит запись об ad.company.ru

    в качестве NS серверов у него указаны 2 DC для этой зоны?

    nslookup с сервера DC к любому хосту приведите пожалуйста


    Все что вы делаете, вы делаете на свой страх и риск. Делайте Backup правильно.


    • Изменено PuCtoy 28 мая 2014 г. 13:55
  • Как я вас понял есть *NIX сервер с DNS который хранит запись об ad.company.ru

    в качестве NS серверов у него указаны 2 DC для этой зоны?

    nslookup с сервера DC к любому хосту приведите пожалуйста


    Все что вы делаете, вы делаете на свой страх и риск. Делайте Backup правильно.


    ДНС находится на никсах, это есть

    Насколько я понимаю в ДНС хранит запись ad.company.net которая резолвится 2мя ip адресами 192.168.0.3 и 192.168.0.4

    В свою очередь ip 192.168.0.3 резолвится как dc1.ad.company.net, а 192.168.0.4 резолвится как 192.168.0.4

    Что записано в ДНС я не знаю, догадываюсь что не все что нужно, но что конкретно ХЗ

    Nslookup Server01

    Server:      dns1.company.net
    Address:   192.168.0.4

    Name:       server01.ad.company.net
    Address:   192.168.0.123


    Все манипуляции проведены на ДК (на любом из 2х будут идентичны)
    Модератор
  • Сделайте на втором КД тест DNS

    dcdiag /test:DNS


    Слава России!

  • Сделайте на втором КД тест DNS

    dcdiag /test:DNS


    Слава России!


    ====================DC1==================

    > dcdiag /test:dns

    Directory Server Diagnosis

    Performing initial setup:
       Trying to find home server...
       Home Server = dc1
       * Identified AD Forest.
       Done gathering initial info.

    Doing initial required tests

       Testing server: Default-First-Site-Name\DC1
          Starting test: Connectivity
             ......................... DC1 passed test Connectivity

    Doing primary tests

       Testing server: Default-First-Site-Name\DC1

          Starting test: DNS

             DNS Tests are running and not hung. Please wait a few minutes...
             ......................... DC1 passed test DNS

       Running partition tests on : Schema

       Running partition tests on : Configuration

       Running partition tests on : ad

       Running enterprise tests on : ad.company.net
          Starting test: DNS
             ......................... ad.company.net passed test DNS


    ====================DC2==================

    > dcdiag /test:dns

    Directory Server Diagnosis

    Performing initial setup:
       Trying to find home server...
       Home Server = dc2
       * Identified AD Forest.
       Done gathering initial info.

    Doing initial required tests

       Testing server: Default-First-Site-Name\DC2
          Starting test: Connectivity
             ......................... DC2 passed test Connectivity

    Doing primary tests

       Testing server: Default-First-Site-Name\DC2

          Starting test: DNS

             DNS Tests are running and not hung. Please wait a few minutes...
             ......................... DC2 passed test DNS

       Running partition tests on : Schema

       Running partition tests on : Configuration

       Running partition tests on : ad

       Running enterprise tests on : ad.company.net
          Starting test: DNS
             ......................... ad.company.net passed test DNS
    Модератор
  • Всё ОК. Придётся искать неисправность при отключенном первом КД.


    Слава России!

  • Ближе к обеду попробую и отпишусь
    Модератор
  • ipconfig /all с клиента еще покажите

    Все что вы делаете, вы делаете на свой страх и риск. Делайте Backup правильно.

  • =============================DC1=============================


    > dcdiag

    Directory Server Diagnosis

    Performing initial setup:
       Trying to find home server...
       Home Server = DC1
       * Identified AD Forest.
       Done gathering initial info.

    Doing initial required tests

       Testing server: Default-First-Site-Name\DC1
          Starting test: Connectivity
             ......................... DC1 passed test Connectivity

    Doing primary tests

       Testing server: Default-First-Site-Name\DC1
          Starting test: Advertising
             ......................... DC1 passed test Advertising
          Starting test: FrsEvent
             There are warning or error events within the last 24 hours after the SYSVOL has been shared.  Failing SYSVOL
             replication problems may cause Group Policy problems.
             ......................... DC1 passed test FrsEvent
          Starting test: DFSREvent
             ......................... DC1 passed test DFSREvent
          Starting test: SysVolCheck
             ......................... DC1 passed test SysVolCheck
          Starting test: KccEvent
             ......................... DC1 passed test KccEvent
          Starting test: KnowsOfRoleHolders
             ......................... DC1 passed test KnowsOfRoleHolders
          Starting test: MachineAccount
             ......................... DC1 passed test MachineAccount
          Starting test: NCSecDesc
             ......................... DC1 passed test NCSecDesc
          Starting test: NetLogons
             ......................... DC1 passed test NetLogons
          Starting test: ObjectsReplicated
             ......................... DC1 passed test ObjectsReplicated
          Starting test: Replications
             ......................... DC1 passed test Replications
          Starting test: RidManager
             ......................... DC1 passed test RidManager
          Starting test: Services
             ......................... DC1 passed test Services
          Starting test: SystemLog
             A warning event occurred.  EventID: 0x00009015
                Time Generated: 05/29/2014   14:46:10
                Event String:
                When asking for client authentication, this server sends a list of trusted certificate authorities to the cl
    ient. The client uses this list to choose a client certificate that is trusted by the server. Currently, this server tru
    sts so many certificate authorities that the list has grown too long. This list has thus been truncated. The administrat
    or of this machine should review the certificate authorities trusted for client authentication and remove those that do
    not really need to be trusted.
             ......................... DC1 passed test SystemLog
          Starting test: VerifyReferences
             ......................... DC1 passed test VerifyReferences


       Running partition tests on : Schema
          Starting test: CheckSDRefDom
             ......................... Schema passed test CheckSDRefDom
          Starting test: CrossRefValidation
             ......................... Schema passed test CrossRefValidation

       Running partition tests on : Configuration
          Starting test: CheckSDRefDom
             ......................... Configuration passed test CheckSDRefDom
          Starting test: CrossRefValidation
             ......................... Configuration passed test CrossRefValidation

       Running partition tests on : ad
          Starting test: CheckSDRefDom
             ......................... ad passed test CheckSDRefDom
          Starting test: CrossRefValidation
             ......................... ad passed test CrossRefValidation

       Running enterprise tests on : ad.company.net
          Starting test: LocatorCheck
             ......................... ad.company.net passed test LocatorCheck
          Starting test: Intersite
             ......................... ad.company.net passed test Intersite

    =============================DC2=============================


    > dcdiag

    Directory Server Diagnosis

    Performing initial setup:
       Trying to find home server...
       Home Server = DC2
       * Identified AD Forest.
       Done gathering initial info.

    Doing initial required tests

       Testing server: Default-First-Site-Name\DC2
          Starting test: Connectivity
             ......................... DC2 passed test Connectivity

    Doing primary tests

       Testing server: Default-First-Site-Name\DC2
          Starting test: Advertising
             ......................... DC2 passed test Advertising
          Starting test: FrsEvent
             There are warning or error events within the last 24 hours after the SYSVOL has been shared.  Failing SYSVOL
             replication problems may cause Group Policy problems.
             ......................... DC2 passed test FrsEvent
          Starting test: DFSREvent
             ......................... DC2 passed test DFSREvent
          Starting test: SysVolCheck
             ......................... DC2 passed test SysVolCheck
          Starting test: KccEvent
             A warning event occurred.  EventID: 0x80000B47
                Time Generated: 05/29/2014   15:26:27
                Event String:
             ......................... DC2 passed test KccEvent
          Starting test: KnowsOfRoleHolders
             ......................... DC2 passed test KnowsOfRoleHolders
          Starting test: MachineAccount
             ......................... DC2 passed test MachineAccount
          Starting test: NCSecDesc
             ......................... DC2 passed test NCSecDesc
          Starting test: NetLogons
             ......................... DC2 passed test NetLogons
          Starting test: ObjectsReplicated
             ......................... DC2 passed test ObjectsReplicated
          Starting test: Replications
             ......................... DC2 passed test Replications
          Starting test: RidManager
             ......................... DC2 passed test RidManager
          Starting test: Services
             ......................... DC2 passed test Services
          Starting test: SystemLog
             A warning event occurred.  EventID: 0x00009015
                Time Generated: 05/29/2014   14:40:09
                Event String:
                When asking for client authentication, this server sends a list of trusted certificate authorities to the cl
    ient. The client uses this list to choose a client certificate that is trusted by the server. Currently, this server tru
    sts so many certificate authorities that the list has grown too long. This list has thus been truncated. The administrat
    or of this machine should review the certificate authorities trusted for client authentication and remove those that do
    not really need to be trusted.
             A warning event occurred.  EventID: 0x00009015
                Time Generated: 05/29/2014   14:50:38
                Event String:
                When asking for client authentication, this server sends a list of trusted certificate authorities to the cl
    ient. The client uses this list to choose a client certificate that is trusted by the server. Currently, this server tru
    sts so many certificate authorities that the list has grown too long. This list has thus been truncated. The administrat
    or of this machine should review the certificate authorities trusted for client authentication and remove those that do
    not really need to be trusted.
             A warning event occurred.  EventID: 0x00009015
                Time Generated: 05/29/2014   14:50:39
                Event String:
                When asking for client authentication, this server sends a list of trusted certificate authorities to the cl
    ient. The client uses this list to choose a client certificate that is trusted by the server. Currently, this server tru
    sts so many certificate authorities that the list has grown too long. This list has thus been truncated. The administrat
    or of this machine should review the certificate authorities trusted for client authentication and remove those that do
    not really need to be trusted.
             A warning event occurred.  EventID: 0x00009015
                Time Generated: 05/29/2014   15:08:13
                Event String:
                When asking for client authentication, this server sends a list of trusted certificate authorities to the cl
    ient. The client uses this list to choose a client certificate that is trusted by the server. Currently, this server tru
    sts so many certificate authorities that the list has grown too long. This list has thus been truncated. The administrat
    or of this machine should review the certificate authorities trusted for client authentication and remove those that do
    not really need to be trusted.
             ......................... DC2 passed test SystemLog
          Starting test: VerifyReferences
             ......................... DC2 passed test VerifyReferences


       Running partition tests on : Schema
          Starting test: CheckSDRefDom
             ......................... Schema passed test CheckSDRefDom
          Starting test: CrossRefValidation
             ......................... Schema passed test CrossRefValidation

       Running partition tests on : Configuration
          Starting test: CheckSDRefDom
             ......................... Configuration passed test CheckSDRefDom
          Starting test: CrossRefValidation
             ......................... Configuration passed test CrossRefValidation

       Running partition tests on : ad
          Starting test: CheckSDRefDom
             ......................... ad passed test CheckSDRefDom
          Starting test: CrossRefValidation
             ......................... ad passed test CrossRefValidation

       Running enterprise tests on : ad.company.net
          Starting test: LocatorCheck
             ......................... ad.company.net passed test LocatorCheck
          Starting test: Intersite
             ......................... ad.company.net passed test Intersite

    Модератор
  • ipconfig /all с клиента еще покажите

    Все что вы делаете, вы делаете на свой страх и риск. Делайте Backup правильно.

    > ipconfig /all

    Windows IP Configuration

       Host Name . . . . . . . . . . . . : server102
       Primary Dns Suffix  . . . . . . . : ad.company.net
       Node Type . . . . . . . . . . . . : Hybrid
       IP Routing Enabled. . . . . . . . : No
       WINS Proxy Enabled. . . . . . . . : No
       DNS Suffix Search List. . . . . . : ad.company.net

    Ethernet adapter Local Area Connection 2:

       Connection-specific DNS Suffix  . :
       Description . . . . . . . . . . . : HP NC382i DP Multifunction Gigabit Server Adapter #53
       Physical Address. . . . . . . . . : 78-E7-D1-DF-EB-D2
       DHCP Enabled. . . . . . . . . . . : No
       Autoconfiguration Enabled . . . . : Yes
       IPv4 Address. . . . . . . . . . . : 192.168.74.18(Preferred)
       Subnet Mask . . . . . . . . . . . : 255.255.255.0
       Default Gateway . . . . . . . . . : 192.168.74.1
       DNS Servers . . . . . . . . . . . : 192.168.0.10
                                           192.168.0.11
                                           192.168.0.12

       NetBIOS over Tcpip. . . . . . . . : Enabled

    Tunnel adapter isatap.{853AEB9C-089B-45F4-8DD0-B7393C685D39}:

       Media State . . . . . . . . . . . : Media disconnected
       Connection-specific DNS Suffix  . :
       Description . . . . . . . . . . . : Microsoft ISATAP Adapter
       Physical Address. . . . . . . . . : 00-00-00-00-00-00-00-E0
       DHCP Enabled. . . . . . . . . . . : No
       Autoconfiguration Enabled . . . . : Yes


    Модератор
  • Этого недостаточно для проверки: поиск КД производится через записи SRV  поддомена _msdcs
    Посмотрите для начала, где и как этот поддомен прописан на сервере DNS: nslookup -type=all _msdcs.ad.company.net

    Слава России!

    Server:  dns01.company.net
    Address:  192.168.0.10

    ad.company.net
            primary name server = dns01.company.net
            responsible mail addr = sysadmin.company.net
            serial  = 2007215366
            refresh = 7200 (2 hours)
            retry   = 3600 (1 hour)
            expire  = 604800 (7 days)
            default TTL = 86400 (1 day)

    Модератор
  • Всё ОК. Придётся искать неисправность при отключенном первом КД.


    Слава России!

    > nltest /dnsgetdc:ad.company.net
    List of DCs in pseudo-random order taking into account SRV priorities and weights:
    Non-Site specific:
       dc1.ad.company.net  192.168.0.3
       dc2.ad.company.net  192.168.0.4
    The command completed successfully

    > nltest /dnsgetdc:ad.company.net
    List of DCs in pseudo-random order taking into account SRV priorities and weights:
    Non-Site specific:
       dc2.ad.company.net  192.168.0.4
       dc1.ad.company.net  192.168.0.3
    The command completed successfully

    M.V.V. _, подскажите пожалуйста правильно ли я понимаю что при первом запросе клиента отправят на 1дк а при втором отправят на 2дк вне зависимости от того есть ли дк? если это так то как сделать по нормальному?

    Модератор
  • Список КД упорядочивается клиентом согласно приоритетам (от меньшего к большему) их записей SRV, в пределах одного приоритета - случайным образом, с вероятностями, пропорциональными весам в записях SRV. Далее клиент выбирает из списка первый доступный КД и работает с ним.

    Приоритет и вес записей SRV регистрируемых КД можно менять через групповую политику - узел Administrative Templates\System\Net Logon\DC Locator DNS Records в конфигурации компьютера/Политиках. Менять лучше всего в локальной политке (через gpedit.msc). 

    Смысла менять не вижу - кроме, разве что случая, когда один из КД может быть перегружен запросами на авторизацию.


    Слава России!

    • Помечено в качестве ответа Vector BCOModerator 13 октября 2014 г. 20:57
  • У вас сервера AD и раб станции в разных подсетях?

    Все что вы делаете, вы делаете на свой страх и риск. Делайте Backup правильно.

  • Да сетей у нас много, но трафик ходит нормально
    Модератор
  • PDC OM как я полагаю тот, что выключен?

    Ваш случай: http://social.technet.microsoft.com/Forums/windowsserver/en-US/8aaa7142-a569-4875-a1ff-9c6f0ed302e2/what-happens-if-the-dc-containing-pdc-emulator-goes-down?forum=winserverDS

  • Список КД упорядочивается клиентом согласно приоритетам (от меньшего к большему) их записей SRV, в пределах одного приоритета - случайным образом, с вероятностями, пропорциональными весам в записях SRV. Далее клиент выбирает из списка первый доступный КД и работает с ним.

    Приоритет и вес записей SRV регистрируемых КД можно менять через групповую политику - узел Administrative Templates\System\Net Logon\DC Locator DNS Records в конфигурации компьютера/Политиках. Менять лучше всего в локальной политке (через gpedit.msc). 

    Смысла менять не вижу - кроме, разве что случая, когда один из КД может быть перегружен запросами на авторизацию.


    Слава России!

    скажите пожалуйста если есть 2 дк 1н из которых недоступен клиент пытается произвести авторизацию на отсутствующем, когда клиент возьмет (запросит или сменит) ДК на второй ДК

    Сменит ли клиент ДК назад и как скоро при непрерывной авторизации например на каком то сервисе использующем сеть

    Модератор
  • Насколько я знаю - нет. Пока КД остается работающим, клиент будет работать именно с ним.


    Слава России!

  • а когда кд станет недоступен когда клиент его сменит, при первом фейле или по истечению какого то времени

    у нас сейчас даунтайм порядка 10 минут (время определяли на глаз)

    Модератор
  • Хз чего не хватало но ситуация решилась при миграции днс на кд

    сейчас кд 4 с днс на них же и проблема больше не возникает

    всем спасибо

    • Помечено в качестве ответа Vector BCOModerator 13 октября 2014 г. 20:57
    13 октября 2014 г. 20:57
    Модератор