web-dev-qa-db-ja.com

RODCとリモートサイト

私は2つのサイトドメインを持っています(ローカルとリモートと呼びます)。 Site Localには、2つのActive Directoryドメインコントローラー(2008R2)を含む主要なITインフラストラクチャがあります。リモートサイトにRODCを設定しようとしていますが、ほとんどの場合、問題なく機能します。すべてが複製され、パスワードの複製はポリシーに従います。リモートDCはクエリに応答します。すべて問題ありません。ただし、サイトLocalのマシンは、ADをクエリするときに、サイトRemoteを参照します。 tcpdumpを実行すると、LDAPクエリが両方のローカルDCにヒットし、リモートRODCに移動します。

両端のすべてのサブネットがサイトとサービスのスナップインで構成されていること、およびDCが両方ともそれぞれのサイトにあることを確認しました。私の調査によると、クライアントが最も近いDCを照会するために必要なのはそれだけです。私は一歩を逃しましたか?

active-directoryvpnwindows-server-2008-r2ldaprodc
7
bab

Technetから:
"ドメインコントローラーを検索しているクライアントがDNSからドメインコントローラーのIPアドレスのリストを受信すると、クライアントはドメインコントローラーのクエリを開始して、使用可能で適切なドメインコントローラーを見つけます。ActiveDirectoryはインターセプトしますクライアントのIPアドレスを含み、それをドメインコントローラーのNet Logonに渡すクエリ。NetLogonは、サブネットからサイトへのマッピングテーブルで、クライアントのIPアドレスを検索します。クライアントのIPアドレスを入力し、次の情報を返します。

  1. クライアントが配置されているサイトの名前、またはクライアントのIPアドレスに最も近いサイト。

  2. 現在のドメインコントローラーが配置されているサイトの名前。

  3. 見つかったドメインコントローラーがクライアントに最も近いサイトにある(ビットが設定されている)か、見つからない(ビットが設定されていない)かを示すビット。

ドメインコントローラーは情報をクライアントに返します。応答には、ドメインコントローラーを説明する他のさまざまな情報も含まれています。クライアントは情報を調べて、より適切なドメインコントローラーを見つけようとするかどうかを判断します。決定は次のように行われます。

  1. 返されたドメインコントローラーが最も近いサイトにある場合(返されたビットが設定されている場合)、クライアントはこのドメインコントローラーを使用します。

  2. クライアントが、ドメインコントローラーがクライアントの場所を主張しているサイトでドメインコントローラーを既に見つけようとした場合、クライアントはこのドメインコントローラーを使用します。

  3. ドメインコントローラーが最も近いサイトにない場合、クライアントはサイト情報を更新し、新しいDNSクエリを送信して、サイト内の新しいドメインコントローラーを見つけます。 2番目のクエリが成功すると、新しいドメインコントローラーが使用されます。 2番目のクエリが失敗した場合は、元のドメインコントローラーが使用されます。」

「LDAPクエリが両方のローカルにヒットしました...」ADのクエリにどのように使用していますか? cmdプロンプトからprint%logonserver%と入力すると、どのサーバーが表示されますか?

3
Paul Ackerman