Репликация AD в RODC; Аварийное переключение на RODC, когда DC недоступен

Я успешно настроил Маршрутизатор на Стике и имею две подсети:

  1. 10,0 / 16
  2. 10.1/16

Подинтерфейсы моего маршрутизатора установлены на 10.0.0.1 и 10.1.0.1 соответственно.

Мой основной контроллер домена, работающий под управлением Windows Server 2008, находится по адресу 10.0.0.3. Мой контроллер домена только для чтения, также работающий под управлением Win 2008, находится по адресу 10.1.0.3.

Кроме того, у меня есть 3 рабочих станции (Windows XP) в этой лабораторной сети. Одна рабочая станция находится в сети 10.0/16, а две из них - в сети 10.1/16.

У меня также есть два сайта в этом лесу Active Directory, и сайт связан с подсетью и контроллером домена. У меня есть группа для каждого сайта, и разные пользователи были добавлены в разные группы, и я гарантировал, что группа, назначенная сетевым паролям 10.1/16, "разрешена" для кэширования контроллером домена только для чтения.

Моя цель: реплицировать пользователей сайта 10.1/16 (и, в конечном счете, папки, файлы и т. Д.) На постоянный контроллер домена 10.1.0.3, чтобы RODC выполнял аутентификацию пользователя, если основной контроллер домена становится недоступным.

В настоящее время я могу без проблем аутентифицировать все рабочие станции на основном контроллере домена. Я также подтвердил, что мои учетные записи пользователей 10.1/16 были кэшированы на контроллере домена только для чтения в 10.1.0.3.

Однако, когда я отключаю основной контроллер домена от сети, а затем пытаюсь войти на рабочую станцию ​​в сети 10.1 как пользователь, который никогда не проходил аутентификацию на этом конкретном ПК (но чьи учетные записи ARE кэшированы на RODC), вход в систему завершается неудачно потому что домен недоступен

Очевидно, я не достиг своей цели, и я пытаюсь понять, почему. Есть ли предложения или предложения?

2 ответа

Решение

Чтобы найти RODC, клиенты должны использовать DNS-сервер, к которому они могут подключиться и который может разрешить записи SRV для домена. Если клиенты используют отключенный сервер для DNS, они не смогут получить доступ к DNS-серверу и найти эти записи SRV. Вы должны установить RODC в качестве основного DNS, а DC основного офиса в качестве вторичного DNS на офисных клиентах RODC.

В дополнение к тому, что @joeqwerty говорит о DNS, вам также необходимо кэшировать учетные записи компьютеров на RODC в дополнение к учетным записям пользователей.

Компьютеры также входят в систему и будут недоступны, если только они явно не разрешены на RODC.

Другие вопросы по тегам