Проблема, с которой я сталкиваюсь, заключается в том, что если я отключу один из двух моих контроллеров домена с возможностью записи, никто, кажется, не «откажется» использовать другой контроллер домена, как предполагается, — приложения, которые мы запускаем в нашей сети, которые используют AD для аутентификации просто продолжайте запрашивать имя пользователя и пароль и никогда не аутентифицируйте себя на самом деле, а внешние пользователи, зависящие от контроллера домена только для чтения в другом сегменте сети, также не могут аутентифицироваться на нашем веб-сайте удаленного доступа.
В настоящее время в моем домене есть три контроллера домена: DC1, DC2 и RO1. DC1 и RO1 — это Server 2019, DC2 — это Server 2012R2. Оба контроллера домена с возможностью записи являются DNS-серверами, интегрированными в AD, а их сетевые адаптеры настроены так, чтобы указывать друг на друга.
DC1 и DC2 находятся в одной подсети. RO1 — это контроллер только для чтения в другом сегменте сети для поддержки решения удаленного доступа, управляемого вышестоящей организацией (которая управляет общей сетью, к которой я подключаюсь).
В прошлом, если бы мне приходилось отключать один или другой локальный контроллер домена, локальные пользователи переключались бы на тот, который на самом деле все еще работал (как и ожидалось), как и удаленные пользователи, когда контроллер домена только для чтения выбирает активный контроллер домена для аутентификации.
Текущий DC1 является относительно новым дополнением, заменяющим тот, который называется DC. DC1 был подключен к сети и присоединен к DC и DC2, и все выглядело нормально. Я передал все роли FSMO, которые были у DC, на его замену, DC1 - запрос netdom fsmo показывает все роли как находящиеся на новом DC1. Мы понизили и отключили DC, чтобы вывести его из эксплуатации, поскольку это была машина с Server 2012, и мы мигрируем с них. Убрано несколько ошибочных записей DNS, в которых утверждалось, что старый контроллер домена все еще существует, но в остальном все шло своим чередом. Однако в последнем цикле исправлений у нас был отключен DC2, в то время как DC1 и RO1 оставались активными, но мы обнаружили проблемы, связанные с аутентификацией, описанные выше. Внешние пользователи вообще не могли аутентифицироваться, а пользователи, которые уже вошли в систему, обнаружили, что наши приложения для аутентификации AD внезапно просят их снова войти в систему (безрезультатно).
К сожалению, я не уверен, почему это так. DC1, новый контроллер, определенно распознается доменом. Репликация проходит нормально — Repadmin /showrepl успешно, и /replsum не сообщает об ошибках. Все задействованные внутренние машины могут разрешать имена своих хостов и пинговать друг друга. Если я пингую домен, я могу получить доступный для записи контроллер домена, как если бы я трассировал домен. Я могу вносить изменения на DC1 и видеть их на DC2, и наоборот (и такие изменения, как групповая политика, сделанные на DC1, определенно существуют в большей сети). Я могу взять RODC и сказать ему загружать записи из DC1 и DC2 без проблем.
Однако если я переведу DC2 в автономный режим, тогда все пойдет не так. Ping или Tracert для нашего домена терпят неудачу, внешние пользователи получают отказ в доступе, а внутренние пользователи видят, что наши приложения, прошедшие проверку подлинности AD, терпят неудачу и постоянно запрашивают имя пользователя и пароль. Противоположное делает нет Однако, если я переведу новый DC1 в автономный режим, локальные пользователи иногда будут иметь небольшую задержку с пыхтением, как если бы их машина пыталась связаться с DC1, прежде чем переключиться на DC2 и успешно пройти аутентификацию, а внешние пользователи входят нормально.
В журналах событий нет ничего сверхочевидного, и все, что я могу придумать, кажется правильно настроенным. Я не уверен, куда двигаться дальше - у кого-нибудь были похожие симптомы, которые они смогли исправить?
