Авторизация со второго контроллера AD – проходит медленно

@HoseMose · Регистрация: 27.08.2013

Author24 — интернет-сервис помощи студентам

Добрый день! Прошу помочь разобраться, в системе два контроллера AD, Основной DC1 + его клон DC2 . На DC2 подняты все роли FSMO, репликация проходит в штатном режиме. Запросы к LDAP DC2 проходят, ДНС отдается все как на DC1. Проблема, при отключение DC1. Если DC1 отключен, то вход в систему на локальных ПК выполняется крайне долго. Сервера LINUX использующие связку Kerberos + SAMBA для авторизации вообще не могут авторизоваться. Хотя GETENT PASSWD выдает всех пользователей, хоть и с долгим ожиданием. В DC2 используются ДНС DC1 + DC2.
Прошу помощи

@ixoyz · 12.03.2020, 23:36

Как DNS работает при отключеном DC01?
Если с проблемного виндового клиента прописать nslookup %userdnsdomain% ответ корректный?

@HoseMose · 13.03.2020, 06:50 **[ТС]**

Приветствую

nslookup при отключенном контроллере DC1 отрабатывается в течение секунды, выдает ответ от DC2. На сервере LUNUX getent passwd отображает всех Юзеров. Но вот авторизоваться не дает

@ixoyz · 16.03.2020, 19:15

Global Catalog на DC2 есть?

@HoseMose · 16.03.2020, 19:43 **[ТС]**

Как Я понял не проходит NETLOGON
НО, К примеру политика \\gcvep.local\SYSVOL\GCVEP.LOCAL\Policies\{2FAEC3CC-0C67-4060-A9B9-234FF5D3952C}\Machine\Applications - успешно синхронизирована на DC1 с DC2

PS C:\Users\Администратор.GCVEP> netdom query fsmo
Хозяин схемы DomainMaster02.GCVEP.LOCAL
Хозяин именования доменов DomainMaster02.GCVEP.LOCAL
PDC DomainMaster02.GCVEP.LOCAL
Диспетчер пула RID DomainMaster02.GCVEP.LOCAL
Хозяин инфраструктуры DomainMaster02.GCVEP.LOCAL
Команда выполнена успешно.

PS C:\Users\Администратор.GCVEP> net share

Имя общего ресурса Ресурс Заметки

-------------------------------------------------------------------------
C$ C:\ Стандартный общий ресурс
IPC$ Удаленный IPC
ADMIN$ C:\Windows Удаленный Admin
NETLOGON C:\Windows\SYSVOL\sysvol\GCVEP.LOCAL\SCRIPTS
Общий сервер входа
SYSVOL C:\Windows\SYSVOL\sysvol Общий сервер входа
Команда выполнена успешно.

@ixoyz · 16.03.2020, 20:03

Сообщение от ixoyz

Global Catalog на DC2 есть?

dsquery server –isgc
показывает оба КД или только первый?

Добавлено через 2 минуты

Сообщение от HoseMose

nslookup при отключенном контроллере DC1 отрабатывается в течение секунды, выдает ответ от DC2

Это проверялось с проблемных клиентов?

@HoseMose · 16.03.2020, 20:17 **[ТС]**

Ответ от резервного DC1
PS C:\Users\Администратор.GCVEP> dsquery server
"CN=DOMAINMASTER02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=GCVEP,DC=LOCAL"
"CN=DOMAINMASTER01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=GCVEP,DC=LOCAL"
Ответ основного DC2
PS C:\Users\Администратор.GCVEP> dsquery server
"CN=DOMAINMASTER02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=GCVEP,DC=LOCAL"
"CN=DOMAINMASTER01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=GCVEP,DC=LOCAL"

DNS работает даже при отключенном DC2-Основной

@ixoyz · 16.03.2020, 20:28

Сообщение от HoseMose

Ответ от резервного DC1
PS C:\Users\Администратор.GCVEP> dsquery server
"CN=DOMAINMASTER02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=GCVEP,DC=LOCAL"
"CN=DOMAINMASTER01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=GCVEP,DC=LOCAL"
Ответ основного DC2
PS C:\Users\Администратор.GCVEP> dsquery server
"CN=DOMAINMASTER02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=GCVEP,DC=LOCAL"
"CN=DOMAINMASTER01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=GCVEP,DC=LOCAL"

не dsquery server, а dsquery server –isgc
И достаточно проверить на одном сервере (или даже не на сервере, а где угодно, где есть админка AD)

Сообщение от HoseMose

DNS работает даже при отключенном DC2-Основной

перефразируйте, не понял. А лучше ответьте на поставленный вопрос: nslookup без указания сервера проверялось с проблемных клиентов?

@HoseMose · 16.03.2020, 20:47 **[ТС]**

PS C:\Users\Администратор.GCVEP> dsquery server -isgc
"CN=DOMAINMASTER02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=GCVEP,DC=LOCAL"
"CN=DOMAINMASTER01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=GCVEP,DC=LOCAL"

Ответ с клиента
nslookup
DNS request timed out.
timeout was 2 seconds.
╤хЁтхЁ яю єьюыўрэш■: UnKnown
Address: 192.168.21.215

nslookup gcvep.local
DNS request timed out.
timeout was 2 seconds.
╤хЁтхЁ: UnKnown
Address: 192.168.21.215

DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
*** Превышено время ожидания запроса UnKnown

Не отвечает DNS при отключенном DC2

Добавлено через 7 минут
Что интересно, если обратится к DC1 через nslookup то он ответит

@ixoyz · 16.03.2020, 20:52

Что настроено на проблемных клиентах в качестве DNS серверов?
Должны быть IP обоих КД.

@HoseMose · 16.03.2020, 20:58 **[ТС]**

Так и есть 21.215 основной и 21.200 Альтернативный

@ixoyz · 16.03.2020, 21:03

Тогда нужно копать в сторону связи по 53 порту, почему нет ответов.
Потушите firewall, проверьте СКС... и т.д.
Так-же стоит проверить службу и настройки DNS-сервера на КД. Попробуй-те те-же тесты делать с самих КД, нормально ли идёт ответ.

@HoseMose · 16.03.2020, 22:27 **[ТС]**

Как разгадаю, обязательно отпишу. Спасибо за участие

@ixoyz 353 / 165 / 61 Регистрация: 01.06.2015 Сообщений: 656
	16.03.2020, 20:52	10
	Что настроено на проблемных клиентах в качестве DNS серверов? Должны быть IP обоих КД. 0

@HoseMose 2 / 2 / 2 Регистрация: 27.08.2013 Сообщений: 156
	16.03.2020, 20:58 [ТС]	11
	Так и есть 21.215 основной и 21.200 Альтернативный 0

@ixoyz 353 / 165 / 61 Регистрация: 01.06.2015 Сообщений: 656
	12.03.2020, 23:36	2
	Как DNS работает при отключеном DC01? Если с проблемного виндового клиента прописать `nslookup %userdnsdomain%` ответ корректный? 0

@HoseMose 2 / 2 / 2 Регистрация: 27.08.2013 Сообщений: 156
	13.03.2020, 06:50 [ТС]	3
	Приветствую nslookup при отключенном контроллере DC1 отрабатывается в течение секунды, выдает ответ от DC2. На сервере LUNUX getent passwd отображает всех Юзеров. Но вот авторизоваться не дает 0

@ixoyz 353 / 165 / 61 Регистрация: 01.06.2015 Сообщений: 656
	16.03.2020, 19:15	4
	Global Catalog на DC2 есть? 0

@HoseMose 2 / 2 / 2 Регистрация: 27.08.2013 Сообщений: 156
	16.03.2020, 19:43 [ТС]	5
	Как Я понял не проходит NETLOGON НО, К примеру политика \\gcvep.local\SYSVOL\GCVEP.LOCAL\Policies\{2FAEC3CC-0C67-4060-A9B9-234FF5D3952C}\Machine\Applications - успешно синхронизирована на DC1 с DC2 PS C:\Users\Администратор.GCVEP> netdom query fsmo Хозяин схемы DomainMaster02.GCVEP.LOCAL Хозяин именования доменов DomainMaster02.GCVEP.LOCAL PDC DomainMaster02.GCVEP.LOCAL Диспетчер пула RID DomainMaster02.GCVEP.LOCAL Хозяин инфраструктуры DomainMaster02.GCVEP.LOCAL Команда выполнена успешно. PS C:\Users\Администратор.GCVEP> net share Имя общего ресурса Ресурс Заметки ------------------------------------------------------------------------- C$ C:\ Стандартный общий ресурс IPC$ Удаленный IPC ADMIN$ C:\Windows Удаленный Admin NETLOGON C:\Windows\SYSVOL\sysvol\GCVEP.LOCAL\SCRIPTS Общий сервер входа SYSVOL C:\Windows\SYSVOL\sysvol Общий сервер входа Команда выполнена успешно. 0

@ixoyz 353 / 165 / 61 Регистрация: 01.06.2015 Сообщений: 656
	16.03.2020, 20:03	6
	Сообщение от ixoyz Global Catalog на DC2 есть? `dsquery server –isgc` показывает оба КД или только первый? Добавлено через 2 минуты Сообщение от HoseMose nslookup при отключенном контроллере DC1 отрабатывается в течение секунды, выдает ответ от DC2 Это проверялось с проблемных клиентов? 0

@HoseMose 2 / 2 / 2 Регистрация: 27.08.2013 Сообщений: 156
	16.03.2020, 20:17 [ТС]	7
	Ответ от резервного DC1 PS C:\Users\Администратор.GCVEP> dsquery server "CN=DOMAINMASTER02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=GCVEP,DC=LOCAL" "CN=DOMAINMASTER01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=GCVEP,DC=LOCAL" Ответ основного DC2 PS C:\Users\Администратор.GCVEP> dsquery server "CN=DOMAINMASTER02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=GCVEP,DC=LOCAL" "CN=DOMAINMASTER01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=GCVEP,DC=LOCAL" DNS работает даже при отключенном DC2-Основной 0

@ixoyz 353 / 165 / 61 Регистрация: 01.06.2015 Сообщений: 656
	16.03.2020, 20:28	8
	Сообщение от HoseMose Ответ от резервного DC1 PS C:\Users\Администратор.GCVEP> dsquery server "CN=DOMAINMASTER02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=GCVEP,DC=LOCAL" "CN=DOMAINMASTER01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=GCVEP,DC=LOCAL" Ответ основного DC2 PS C:\Users\Администратор.GCVEP> dsquery server "CN=DOMAINMASTER02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=GCVEP,DC=LOCAL" "CN=DOMAINMASTER01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=GCVEP,DC=LOCAL" не dsquery server, а dsquery server –isgc И достаточно проверить на одном сервере (или даже не на сервере, а где угодно, где есть админка AD) Сообщение от HoseMose DNS работает даже при отключенном DC2-Основной перефразируйте, не понял. А лучше ответьте на поставленный вопрос: nslookup без указания сервера проверялось с проблемных клиентов? 0

@HoseMose 2 / 2 / 2 Регистрация: 27.08.2013 Сообщений: 156
	16.03.2020, 20:47 [ТС]	9
	PS C:\Users\Администратор.GCVEP> dsquery server -isgc "CN=DOMAINMASTER02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=GCVEP,DC=LOCAL" "CN=DOMAINMASTER01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=GCVEP,DC=LOCAL" Ответ с клиента nslookup DNS request timed out. timeout was 2 seconds. ╤хЁтхЁ яю єьюыўрэш■: UnKnown Address: 192.168.21.215 nslookup gcvep.local DNS request timed out. timeout was 2 seconds. ╤хЁтхЁ: UnKnown Address: 192.168.21.215 DNS request timed out. timeout was 2 seconds. DNS request timed out. timeout was 2 seconds. DNS request timed out. timeout was 2 seconds. DNS request timed out. timeout was 2 seconds. *** Превышено время ожидания запроса UnKnown Не отвечает DNS при отключенном DC2 Добавлено через 7 минут Что интересно, если обратится к DC1 через nslookup то он ответит 0

@ixoyz 353 / 165 / 61 Регистрация: 01.06.2015 Сообщений: 656
	16.03.2020, 21:03	12
	Сообщение было отмечено HoseMose как решение Решение Тогда нужно копать в сторону связи по 53 порту, почему нет ответов. Потушите firewall, проверьте СКС... и т.д. Так-же стоит проверить службу и настройки DNS-сервера на КД. Попробуй-те те-же тесты делать с самих КД, нормально ли идёт ответ. 1

@HoseMose 2 / 2 / 2 Регистрация: 27.08.2013 Сообщений: 156
	16.03.2020, 22:27 [ТС]	13
	Как разгадаю, обязательно отпишу. Спасибо за участие 0

Авторизация со второго контроллера AD – проходит медленно

Решение