none
实例求助 - 1PDC+1BDC的域环境中,如果操作使得该域 默认/客户端现有 LOGONSERVER为PDC,并要求尽可能少的重启。 RRS feed

  • 问题

  • 感谢各位大大支持。

    目前本人遇到的实际场景:

    整体网络背景是工业控制系统(ICS)网络。因24*7不间断生产,各设备若无故障会全程在线;每次重启服务器/工作站对生产影响较大。

    配置方面属于常规/默认的 1PDC+1BDC+客户端(应用服务器/工作站)。各种网络系统设置都可按常规/默认计算。

    主要问题:近期发现BDC未能正常同步PDC数据,一些LOGONSERVER为BDC的客户端出现数据同步类异常。

    主要目标:在尽可能少重启的前提下,将当前所有LOGONSERVER为BDC的客户端重新登陆到PDC上,便于下线BDC进行维护检修。

    谢谢

    2020年2月14日 1:28

全部回复

  • 你好,

    鉴于您的生成环境,首先建议对PDC进行备份,以防万一。
    一般情况下,如果一台DC不可用,客户端会自动找另一台DC 进行认证。

    关于确认登陆DC的办法可使用以下的命令:
    klist query_bind (kerberos authentication的DC)
    nltest /sc_query:domain_name
    或者抓网络包确认(更为准确)

    关于更改登录DC,在客户端运行:
    klist add_bind CONTOSO KDC.CONTOSO.COM
    但是关于绑定的DC,一旦客户端发生重启,认证DC就有可能会发生变化,重新选择DC。

    当前建议尽快确认BDC出现的问题,可用以下命令确认DC状况:
    Dcdiag /v >c:\dcdiag1.log
    repadmin /showrepl >C:\repl.txtFan

    Fan



    针对Windows 2008/2008R2的扩展支持将于2020年结束,之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》,把握良机完成云迁移并实现业务现代化。



    2020年2月14日 2:12
  • 感谢回复。

    因为本人小白,对命令掌握的程度很水。需要向大大进一步请教。

    假设PDC名是SER-001,BDC名是SER-002。域名全写:ABC.123.LOCAL

    klist query_bind (kerberos authentication的DC)这命令应该怎么写,我尝试了下反馈的结果都是 Usage: Klist.exe [...... 之类的参数提示。

    nltest /sc_query:domain_name 反馈的结果是PDC;但我又用echo %logonserver%命令复查,反馈的结果是BDC。这2个反馈的结果冲突是不是有异常。

    klist add_bind CONTOSO KDC.CONTOSO.COM 命令我尝试的结果也是参数提示,请教用上面假设应该怎么写命令。

    导出的DC状态文本,我正在看,如果有不懂的地方再烦请大大多多指点。

    非常感谢

    2020年2月14日 3:24
  • 感谢回复。

    因为本人小白,对命令掌握的程度很水。需要向大大进一步请教。

    假设PDC名是SER-001,BDC名是SER-002。域名全写:ABC.123.LOCAL

    1,klist query_bind (kerberos authentication的DC)这命令应该怎么写,我尝试了下反馈的结果都是 Usage: Klist.exe [...... 之类的参数提示。

    2,nltest /sc_query:domain_name 反馈的结果是PDC;但我又用echo %logonserver%命令复查,反馈的结果是BDC。这2个反馈的结果冲突是不是有异常。

    3,klist add_bind CONTOSO KDC.CONTOSO.COM 命令我尝试的结果也是参数提示,请教用上面假设应该怎么写命令。

    4,导出的DC状态文本,我正在看,如果有不懂的地方再烦请大大多多指点。

    非常感谢

    关于以上的问题:

    1,这些命令均需要在客户端上运行。右击cmd,以administrator身份运行命令。

    直接输入: klist query_bind 
    2,echo %logonserver% 运行的结果不一定准确,所以可以抓包看看找的到底是哪一个DC。

    3,klist add_bind ABC.123.LOCAL SER-001.ABC.123.LOCAL

    4,如有问题,可上传截图并隐去敏感私人信息。处于安全及论坛政策原因不建议上传LOG等。

    Fan



    针对Windows 2008/2008R2的扩展支持将于2020年结束,之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》,把握良机完成云迁移并实现业务现代化。


    2020年2月14日 5:41
  • 感谢回复。命令反馈是参数提示,原因貌似是OS版本是2008R2,可能还不支持上述命令。不知道是否有本版本OS可用的类似命令。

    2020年2月14日 7:40
  • 你好,

    nltest /sc_query:domain_name  运行的结果也是可以参考的。如上所说,如果不确定可以抓包看一下。

    重置认证DC的话,也可以使用命令(结果也是临时的,如果客户端重启,则会重新寻找DC):

    nltest /Server:ClientComputerName /SC_RESET:DomainName\DomainControllerName

    Fan



    针对Windows 2008/2008R2的扩展支持将于2020年结束,之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》,把握良机完成云迁移并实现业务现代化。



    2020年2月14日 7:51
  • 你好,

    如有任何问题,欢迎随时发帖询问。

    Fan


    针对Windows 2008/2008R2的扩展支持将于2020年结束,之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》,把握良机完成云迁移并实现业务现代化。


    2020年2月17日 7:09
  • 感谢您的支持,目前因维护窗口还不具备,正在等待业务方面的反馈合适的维护时机。若有进一步信息,我们再来沟通。

    谢谢

    2020年2月21日 1:45
  • 你好,

    多谢回复,如有任何问题,欢迎随时联系!

    Fan


    针对Windows 2008/2008R2的扩展支持将于2020年结束,之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》,把握良机完成云迁移并实现业务现代化。



    2020年2月21日 2:24