RODC и удаленный сайт

Question

RODC и удаленный сайт

У меня есть двухсайтовый домен (назовите их Local и Remote). Site Local имеет нашу основную ИТ-инфраструктуру, включая два контроллера домена Active Directory (2008R2). Мы пытаемся настроить RODC на сайте Remote, который по большей части работает просто отлично. Все реплицируется, репликация пароля следует политике, удаленный контроллер домена отвечает на запросы - так что все хорошо. За исключением того, что машины на сайте Local при запросе AD ссылаются на сайт Remote. Если я выполняю tcpdump, я вижу, что запрос LDAP попадает в оба локальных контроллера домена, а затем перехожу к удаленному контроллеру домена только для чтения.

Я гарантировал, что все подсети на обоих концах настроены в оснастке "Сайт" и "Службы", и что контроллеры домена находятся на своих соответствующих сайтах. Согласно моим исследованиям, это должно быть все, что требуется для клиентов, чтобы запросить ближайший DC. Я пропустил шаг?

7

active-directory windows-server-2008-r2 vpn ldap rodc

Источник

bab 08 дек '11 в 15:04

1 ответ

Другие вопросы по тегам active-directory windows-server-2008-r2 vpn ldap rodc

Paul Ackerman 08 дек '11 в 21:44 2011-12-08 21:44 · Answer 1 · 2011-12-08 21:44

От technet:
"Когда клиент, который ищет контроллер домена, получает список IP-адресов контроллеров домена от DNS, клиент начинает, в свою очередь, опрашивать контроллеры домена, чтобы выяснить, какой контроллер домена доступен и подходит. Active Directory перехватывает запрос, который содержит IP-адрес клиента и передает его в Net Logon на контроллере домена. NET Logon ищет IP-адрес клиента в своей таблице сопоставления подсеть-сайт, находя объект подсети, который наиболее точно соответствует IP-адресу клиента. адрес, а затем возвращает следующую информацию:

Имя сайта, на котором находится клиент, или сайта, наиболее точно соответствующего IP-адресу клиента.
Имя сайта, на котором расположен текущий контроллер домена.
Бит, указывающий, находится ли найденный контроллер домена (установлен бит) или нет (бит не установлен) на ближайшем к клиенту сайте.

Контроллер домена возвращает информацию клиенту. Ответ также содержит различные другие части информации, описывающие контроллер домена. Клиент проверяет информацию, чтобы определить, стоит ли пытаться найти лучший контроллер домена. Решение принято:

Если возвращаемый контроллер домена находится на ближайшем сайте (возвращаемый бит установлен), клиент использует этот контроллер домена.
Если клиент уже пытался найти контроллер домена на сайте, на котором контроллер домена утверждает, что он находится, клиент использует этот контроллер домена.
Если контроллер домена не находится на ближайшем сайте, клиент обновляет информацию о своем сайте и отправляет новый DNS-запрос, чтобы найти новый контроллер домена на сайте. Если второй запрос выполнен успешно, используется новый контроллер домена. Если второй запрос не удается, используется исходный контроллер домена ".

"запрос LDAP попал в оба локальных..." Как вы используете для запроса AD? Какой сервер появится, если вы введете print %logonserver% в командной строке?