web-dev-qa-db-ja.com

RODCへのADレプリケーション。 DCが使用できない場合のRODCへのフェイルオーバー

Router on a Stick を正常にセットアップし、2つのサブネットがあります。

  1. 10.0/16
  2. 10.1/16

ルーターのサブインターフェイスは、それぞれ10.0.0.1と10.1.0.1に設定されています。

Windows Server 2008を実行している私のプライマリドメインコントローラーは、10.0.0.3にあります。同じくWin2008を実行している私の読み取り専用ドメインコントローラーは10.1.0.3にあります。

さらに、このラボネットワークには3台のワークステーション(Windows XP)があります。 1台のワークステーションは10.0/16ネットワーク上にあり、そのうち2台は10.1/16ネットワーク上にあります。

また、このActive Directoryフォレストに2つのサイトがあり、そのサイトはサブネットおよびドメインコントローラーとペアになっています。サイトごとにグループがあり、さまざまなユーザーをさまざまなグループに追加し、10.1/16ネットワークパスワードに割り当てられたグループがRODCによってキャッシュされることを「許可」していることを確認しました。

私の目標:10.1/16サイトのユーザー(そして最終的にはフォルダー、ファイルなど)を読み取り専用に複製するDC(10.1.0.3)。これにより、プライマリDCが使用できなくなった場合に、RODCがユーザー認証を処理します。

現在、すべてのワークステーションをプライマリドメインコントローラーに対して問題なく認証できます。また、10.1/16ユーザーのアカウントが10.1.0.3のRODCにキャッシュされていることも確認しました。

ただし、プライマリドメインコントローラーをネットワークから取り外してから、特定のPCに認証されたことがない(ただし、アカウントがRODCにキャッシュされている)ユーザーとして10.1ネットワーク上のワークステーションにログインしようとすると、ログインに失敗します。ドメインが利用できないためです。

明らかに私は自分の目標を達成していません、そして私はその理由を理解しようとしています。リードや提案はありますか?

1
David W

RODCを見つけるには、クライアントは、到達でき、ドメインのSRVレコードを解決できるDNSサーバーを使用している必要があります。クライアントがDNSにダウンサーバーを使用している場合、クライアントはDNSサーバーに到達してそれらのSRVレコードを見つけることができません。 RODCをプライマリDNSとして設定し、メインオフィスDCをRODCオフィスクライアントのセカンダリDNSとして設定する必要があります。

5
joeqwerty

@joeqwertyがDNSについて述べていることに加えて、ユーザーアカウントに加えて、RODCにコンピューターアカウントをキャッシュする必要もあります。

コンピューターもログインし、RODCで明示的に許可されていない限り、ログインできなくなります。

6
MDMarra