RODCへのADレプリケーション。 DCが使用できない場合のRODCへのフェイルオーバー
Router on a Stick を正常にセットアップし、2つのサブネットがあります。
- 10.0/16
- 10.1/16
ルーターのサブインターフェイスは、それぞれ10.0.0.1と10.1.0.1に設定されています。
Windows Server 2008を実行している私のプライマリドメインコントローラーは、10.0.0.3にあります。同じくWin2008を実行している私の読み取り専用ドメインコントローラーは10.1.0.3にあります。
さらに、このラボネットワークには3台のワークステーション(Windows XP)があります。 1台のワークステーションは10.0/16ネットワーク上にあり、そのうち2台は10.1/16ネットワーク上にあります。
また、このActive Directoryフォレストに2つのサイトがあり、そのサイトはサブネットおよびドメインコントローラーとペアになっています。サイトごとにグループがあり、さまざまなユーザーをさまざまなグループに追加し、10.1/16ネットワークパスワードに割り当てられたグループがRODCによってキャッシュされることを「許可」していることを確認しました。
私の目標:10.1/16サイトのユーザー(そして最終的にはフォルダー、ファイルなど)を読み取り専用に複製するDC(10.1.0.3)。これにより、プライマリDCが使用できなくなった場合に、RODCがユーザー認証を処理します。
現在、すべてのワークステーションをプライマリドメインコントローラーに対して問題なく認証できます。また、10.1/16ユーザーのアカウントが10.1.0.3のRODCにキャッシュされていることも確認しました。
ただし、プライマリドメインコントローラーをネットワークから取り外してから、特定のPCに認証されたことがない(ただし、アカウントがRODCにキャッシュされている)ユーザーとして10.1ネットワーク上のワークステーションにログインしようとすると、ログインに失敗します。ドメインが利用できないためです。
明らかに私は自分の目標を達成していません、そして私はその理由を理解しようとしています。リードや提案はありますか?
RODCを見つけるには、クライアントは、到達でき、ドメインのSRVレコードを解決できるDNSサーバーを使用している必要があります。クライアントがDNSにダウンサーバーを使用している場合、クライアントはDNSサーバーに到達してそれらのSRVレコードを見つけることができません。 RODCをプライマリDNSとして設定し、メインオフィスDCをRODCオフィスクライアントのセカンダリDNSとして設定する必要があります。
@joeqwertyがDNSについて述べていることに加えて、ユーザーアカウントに加えて、RODCにコンピューターアカウントをキャッシュする必要もあります。
コンピューターもログインし、RODCで明示的に許可されていない限り、ログインできなくなります。