在这个SF问题中 ,我问如何确定一个服务器正在与哪个DC进行通话。 我们正在做一些韧性testing,需要向客户certificate,如果一个DC失败,还有额外的DC可以承受这个压力。
用nltest ,我可以在任何时候确定我正在和哪个DC通话。 但是如果我们现在的DC出现故障,我们如何强制服务器重新评估哪些DC可以与之通话,然后连接到哪一个…这样“nltest”将反映新的DC?
理想情况下,我喜欢某种操作,我可以在同一个Windows会话中运行,但到目前为止,我们已经注销并重新login。 我对login/注销的担心是caching的证书可能会使图片复杂化。
简而言之,在发生DC故障的情况下,将服务器连接到辅助DC的最简单/最快/最安全的方式是什么?
其实这个“故障转移”机制应该自动发生。 DNS客户端(每当我们谈论服务器或工作站时)都会向其主DNS服务器请求一个DC,因此该机制是向DNS服务器请求一个DC。 您可以使用nltest / sc_reset重置networkinglogin安全通道,然后重新恢复。
我认为certificate“故障转移”的最好办法是模拟DC中的故障(例如,拔掉以太网,如果可能的话),然后用nltest再次检查networkinglogin安全通道(你应该使用/ force修饰符为了绕过任何caching的信息)
简而言之,在发生DC故障的情况下,将服务器连接到辅助DC的最简单/最快/最安全的方式是什么?
在客户端键入set log以查看您使用哪个DClogin。 杀死那个DC。 在运行klist purge时运行Wireshark / Netmon,然后在客户端上运行C:\> net stop netlogon & net start netlogon 。
或者等到客户需要AD的东西。 如果它不能联系第一个DC的话,那么在网站上尝试其他的DC就足够聪明了。
抛开一个自以为是的观点,你的客户要求你向他们展示世界上第一号目录服务的广告能力,全世界数百万人使用这个服务是相当愚蠢的……但是,我了解到客户有时会要求愚蠢的事情。
在新的机器上用2-3个帐户login。 login1,closures当前的直stream电,注销,login第二个帐户。 由于这些帐户在机器上没有configuration文件,因此将显示故障转移。