Недоступность контроллера домена в сайте.

Ответить
cobion
Почетный гражданин
Сообщения: 176
Зарегистрирован: 22 апр 2016 07:26

Недоступность контроллера домена в сайте.

Сообщение cobion »

Доброго дня коллеги!
Столкнулся с такой непонятно пока для меня проблемой.
Есть два сайта территориально разделенных и между которыми настроен туннель GRE.
В одном сайте содержится два DC с сетью 10.178.10.0/24 оба контроллера виртуальные и DNS ip-адресами смотрят друг на друга и уже третьим по счету смотрит на ip DNS DC находящегося в другом сайте.
Во втором сайте содержится один DC в сети 10.50.1.0/24, DNS которого смотрит на ip DC в первом сайте. В текущем сайте размещена терминальная ферма состоящая из четырех серверов (шлюз терминалов TSGW, RDCB и два RDSH).
Проблема:
В первом сайте 10.178.10.0/24 в сети по питанию были недоступны все сервисы, включая оба DC. Спустя 3 часа я заметил, что немого аутентифицироваться на шлюзе терминалов через 443 порт. Войдя на виртуалки с TSGW и RDCB я увидел в дэшбоарде WinSrv 2019, что есть ошибка кербероса между серверами - хотя DC в данном сайте был доступен. После перезагрузки DC ясное дело он долго загружался- так как не было канала до исходного сайта с двумя другими DC. Канал восстановился и все заработало.
Вопрос:
Что могло пойти не так? - вообще, изначально и было рассчитано на то, что если в одном сайте нет питания и все отключилось- то сотрудники могут аутентифицироваться на другом терминале- в другом сайте и в котором есть хотя бы один DC, разве не так?
Может и тут есть нюансы?
Спасибо!
cobion
Почетный гражданин
Сообщения: 176
Зарегистрирован: 22 апр 2016 07:26

Re: Недоступность контроллера домена в сайте.

Сообщение cobion »

В общем хз, что еще проверять, все настройки в норме, правда включен NLA и когда я туннеле отключаю для проверки автономности сайта с одним DC, то даже внутри сети ругается на NLA - при попытке авторизироваться на терминале. Может кто подскажет- может я не в ту сторону гляжу? :)
cobion
Почетный гражданин
Сообщения: 176
Зарегистрирован: 22 апр 2016 07:26

Re: Недоступность контроллера домена в сайте.

Сообщение cobion »

Дело в NLA - галочку на RDSH снял - клиент стал подключаться- хотя конечно это не секурно, но временно сойдет.
НО! С сервера терминалов RDCB и TSGW видно вот в таким алармом (как на рисунке). Может еще стоит что-то во встроенном файерволе "пробурить"?
Вложения
rdcb.jpg
rdcb.jpg (32.89 КБ) 6655 просмотров
cobion
Почетный гражданин
Сообщения: 176
Зарегистрирован: 22 апр 2016 07:26

Re: Недоступность контроллера домена в сайте.

Сообщение cobion »

Похоже у меня проблема посерьёзнее
мы ка-кто восстанавливали умерший DC новым DC и видать все поехало. Только на одном DC есть шары Sysvol и Netlogon в центральном офисе. В том офисе где у м меня один DC там как раз то же нет шар- а это связано так же и с аутентификацией. Похоже надо будет авторитативное/неавторитативное восстановление шар делать через реестр....

dcdiag
oing primary tests

Testing server: Kamy\DC4
Starting test: Advertising
Warning: DsGetDcName returned information for \\DC2.domain.ru, when we were trying to reach DC4.
SERVER IS NOT RESPONDING or IS NOT CONSIDERED SUITABLE.

Starting test: NetLogons
Unable to connect to the NETLOGON share! (\\DC4\netlogon)
[DC4] An net use or LsaPolicy operation failed with error 67, The network name cannot be found..
......................... DC4 failed test NetLogons
:\>net share
Share name Resource Remark
-------------------------------------------------------------------------------
C$ C:\ Default share
IPC$ Remote IPC
ADMIN$ C:\Windows Remote Admin
The command completed successfully.
Вобчем все разрешилось восстановлением DFSr репликации по статье [url] https://jorgequestforknowledge.wordpres ... art-3//url]
Ответить

Вернуться в «Windows Server 2016»