Vấn đề tôi gặp phải là nếu tôi ngoại tuyến một trong hai bộ điều khiển miền có thể ghi của mình, dường như không ai "thất bại" khi sử dụng bộ điều khiển miền khác như họ phải làm - các ứng dụng chúng tôi chạy trong mạng sử dụng AD để xác thực chỉ cần tiếp tục yêu cầu tên người dùng và mật khẩu và không bao giờ thực sự xác thực bạn và người dùng bên ngoài phụ thuộc vào DC chỉ đọc trên phân đoạn mạng khác cũng không thể xác thực với trang web truy cập từ xa của chúng tôi.
Tôi hiện có ba bộ điều khiển miền trong Miền của mình: DC1, DC2 và RO1. DC1 và RO1 là Máy chủ 2019, DC2 là Máy chủ 2012R2. Cả hai DC có thể ghi đều là máy chủ DNS tích hợp AD, với bộ điều hợp mạng của chúng được định cấu hình để trỏ vào nhau.
DC1 và DC2 nằm trên cùng một mạng con. RO1 là bộ điều khiển chỉ đọc trong một phân đoạn mạng khác để hỗ trợ giải pháp truy cập từ xa do tổ chức ở trên tôi quản lý (người quản lý mạng chung mà tôi kết nối).
Trước đây, nếu tôi định ngoại tuyến một hoặc các DC cục bộ khác, người dùng cục bộ sẽ không chuyển sang bất kỳ DC nào thực sự vẫn đang chạy (như mong đợi), cũng như người dùng từ xa khi RODC tìm nạp DC đang hoạt động để xác thực.
DC1 hiện tại là một phần bổ sung tương đối mới, thay thế một phần được gọi là DC. DC1 đã được đưa lên mạng và tham gia cùng với DC và DC2, và mọi thứ có vẻ ổn. Tôi đã chuyển tất cả các vai trò FSMO mà DC có sang vai trò thay thế, DC1 - truy vấn netdom fsmo hiển thị tất cả các vai trò như trên DC1 mới. Chúng tôi đã hạ cấp và đưa DC vào chế độ ngoại tuyến để ngừng hoạt động vì đây là máy Server 2012 và chúng tôi đang di chuyển khỏi những máy đó. Đã dọn sạch một vài bản ghi DNS sai lầm cho rằng DC cũ vẫn còn tồn tại, nhưng ngoài ra, mọi thứ vẫn diễn ra bình thường. Tuy nhiên, trong chu kỳ vá lỗi trước, chúng tôi đã để DC2 ngoại tuyến trong khi DC1 và RO1 vẫn hoạt động, nhưng đã phát hiện ra các sự cố liên quan đến xác thực ở trên. Người dùng bên ngoài hoàn toàn không thể xác thực và người dùng đã đăng nhập nhận thấy các ứng dụng xác thực AD của chúng tôi đột nhiên yêu cầu họ đăng nhập lại (không có kết quả).
Thật không may, tôi không chắc tại sao lại như vậy. DC1, bộ điều khiển mới, chắc chắn được Miền công nhận. Sao chép diễn ra tốt - Repadmin /showrepl thành công và /replsum không có lỗi nào được báo cáo. Tất cả các máy nội bộ có liên quan có thể phân giải tên máy chủ của chúng và ping lẫn nhau. Nếu tôi ping miền, tôi có thể nhận DC có thể ghi, giống như khi tôi tracert vào miền. Tôi có thể thực hiện các chỉnh sửa trên DC1 và xem chúng trên DC2 và ngược lại (và những thay đổi như chính sách nhóm được thực hiện trên DC1 cụ thể chắc chắn tồn tại trong mạng lớn hơn). Tôi có thể lấy RODC và yêu cầu nó tải các bản ghi từ DC1 và DC2 mà không gặp vấn đề gì.
Tuy nhiên, nếu tôi tắt DC2, đó là khi mọi thứ đi ngang. Ping hoặc Tracert tới miền của chúng tôi không thành công, người dùng bên ngoài bị từ chối truy cập và người dùng nội bộ thấy các ứng dụng được xác thực bởi AD của chúng tôi không thành công và liên tục yêu cầu tên người dùng và mật khẩu. Điều ngược lại làm không phải tuy nhiên, điều đó có xảy ra - nếu tôi chuyển DC1 mới sang chế độ ngoại tuyến, người dùng cục bộ đôi khi có một chút chậm trễ như thể máy của họ đang cố gắng liên hệ với DC1 trước khi chuyển sang DC2 và xác thực thành công, đồng thời người dùng bên ngoài vẫn ổn.
Không có gì siêu rõ ràng trong Nhật ký sự kiện và mọi thứ tôi có thể nghĩ đến đều xuất hiện được định cấu hình chính xác. Tôi không chắc sẽ tiến triển từ đâu - có ai có triệu chứng tương tự mà họ có thể sửa chữa không?
