locked
Windows 2008 RODC問題. RRS feed

  • 一般討論

  • 請教各位先進前輩們:
    由於新竹辦公室無MIS管理系統,近日於新竹辦公室建置RODC,建置完成後卻發現分公司Client端電腦登入網域驗證時仍舊是找台北總公司的DC主機做驗證,
    而不是登入到新竹辦公室RODC做驗證,不曉得有那些地方是小弟沒注意到的呢?

    網域架構如下所敘:
    台北總公司  TPE-DC1 and TPE-DC2 均是Windows Server 2008, 2台DC主機亦是DNS Server.
    新竹辦公室  HU-RODC 亦是DNS Server,新竹辦公室的DHCP Server上所定的主要DNS Server為HU-RODC IP,次要DNS Server為TPE-DC1 and TPE-DC2 IP.
    於AD Site and Service中有切Site,並將新竹辦公室的HU-RODC移動至該Site中.

    感謝先進們賜教.
    • 已變更類型 Vincent Lin 2009年8月15日 下午 12:05
    2009年8月10日 下午 02:48

所有回覆

  • 1.有切Site的話..有沒有設定網段IP呢??
    2.新竹辦公室的Client端DNS設定是指向哪一台Server?


    年度軟體技術盛會微軟Tech.Days 9月22日全新登場, 您還在等什麼? 快報名就對了.


    2009年8月11日 上午 02:04
  • 感謝Vincent您的回覆.
    1. 新竹辦公室所切的site有設定網段IP(192.168.3.0/24)
    2. 新竹辦公室Client端主要DNS設定是指到HU-RODC(亦是DNS Server),次要DNS是指到台北DC(亦是DNS Server).
    2009年8月11日 上午 02:35
  • 不知道你有沒有設定密碼複寫原則
    如果沒有設定的話..User登入時..RODC都會將認證轉送到離最近的DC上去進行驗證動作

    建議你透過下列方式將測試帳號加入密碼複寫原則裡面看看是否改善

    0.將測試帳號&登入的電腦帳號加入"Allow RODC Password Replication Group"這個群組

    1.打開ADUC -> Domain Controller 容器 -> 對RODC點右鍵 -> 內容 -> 密碼複寫原則 -> 進階

    2.在原則使用方式的標籤底下,看看 "密碼儲存在這部唯讀網域控制站的帳戶" 下面的清單..有沒有剛剛那兩個帳號

    3.假設沒有的話..點選"預先填入密碼",然後將測試帳號&登入的電腦帳號都加進去(前提這些物件要屬於Allow RODC Password Replication Group裡面才行)

    4.動作做完後..把Client端電腦重新開機..登入後在cmd裡面執行echo %LOGONSERVER% ..看看顯示出來的是否為\\RODCname

    年度軟體技術盛會微軟Tech.Days 9月22日全新登場, 您還在等什麼? 快報名就對了.


    2009年8月11日 上午 02:53
  • 感謝Vincent您的回覆.
    1.若要移除RODC進階密碼原則中的"密碼儲存在這部唯讀網域控制站的帳戶"裡頭的使用者帳號及電腦帳號需要如何移除呢?
    2.RODC進階密碼原則中的"已通過這部唯讀網域控制站驗證的帳戶",發現裡頭有很多台北的使用者帳號及電腦帳號請問這是正常的嗎?
    台北的使用者帳號及電腦帳號應該會去找TPE-DC1 and TPE-DC2做驗證才對,為何會出現在RODC"已通過這部唯讀網域控制站驗證的帳戶".
    2009年8月11日 上午 07:56
  • 1.沒有辦法直接從介面去進行移除的動作 .. 替代方案可以參考此網頁
    http://windowsitpro.com/article/articleid/99517/q-how-do-i-remove-a-cached-password-from-a-read-only-domain-controller-rodc.html

    2.如果有切割Site和設定IP網段且DNS Server是正確設定的(有DC1 & 2的SRV紀錄)
    正常來說應該是不會出現在RODC的cache list裡面..而是會去找TPE-DC1 & 2才對
    那些出現的帳號..是這個群組Allow RODC Password Replication Group的成員嗎?

    3.在新竹辦公室的帳號..現在會跟RODC進行驗證了嗎?還是沒有呢?

    年度軟體技術盛會微軟Tech.Days 9月22日全新登場, 您還在等什麼? 快報名就對了.


    2009年8月11日 上午 08:26
  • Hi Vincent.
    1. 出現在RODC進階密碼原則中的"已通過這部唯讀網域控制站驗證的帳戶",裡頭的帳號並不屬於Allow RODC Password Replication Group成員.
    2. 新竹辦公室的使用者帳號目前還是無法找RODC做驗證,依舊會找台北TPE-DC1 and TPE-DC2做驗證.
    2009年8月11日 上午 08:40
  • 檢查看看這台RODC是否是GC..如果不是的話把他設定後再觀察看看


    年度軟體技術盛會微軟Tech.Days 9月22日全新登場, 您還在等什麼? 快報名就對了.


    2009年8月11日 上午 08:43
  • 感謝Vincent您的回應.
    新竹辦公室的RODC已是DC.
    會先將新竹辦公室其他使用者帳號及電腦帳號加入"Allow RODC Password Replication Group"群組與RODC"密碼儲存在這部唯讀網域控制站的帳戶"
    清單中,並再觀察看看.

    非常謝謝Vincent您的建議,感謝.

    2009年8月11日 上午 09:25
  • 感謝Vincent您的回應.
    新竹辦公室的RODC已是DC.
    會先將新竹辦公室其他使用者帳號及電腦帳號加入"Allow RODC Password Replication Group"群組與RODC"密碼儲存在這部唯讀網域控制站的帳戶"
    清單中,並再觀察看看.

    非常謝謝Vincent您的建議,感謝.


    有點誤解喔...我是說GC(Global Catalog)..還是你打錯咧@@?

    年度軟體技術盛會微軟Tech.Days 9月22日全新登場, 您還在等什麼? 快報名就對了.


    2009年8月11日 上午 09:27
  • 非常抱歉,一時手誤.

    感謝Vincent您的提醒,新竹辦公室RODC亦是GC.

    2009年8月11日 上午 09:32