Active Directory網域，DC1 能否在無法連上時，自動轉向DC2 做帳號認證呢？ - iT 邦幫忙::一起幫忙解決難題，拯救 IT 人的一天

0

Active Directory網域，DC1 能否在無法連上時，自動轉向DC2 做帳號認證呢？

網路架構 windows 網路管理 ad 伺服器 windows server dhcp 網域網路安全

kent_chuo888 2015-12-03 10:13:22 ‧ 8018 瀏覽

分享至

DC1 – 192.168.1.10
DC2 – 192.168.1.20 [備援]

目前環境上，AD單僅跟其他設備Nas , Mail做LDAP聯結而已。
將User帳號直接建在AD上，登入Nas / Mail時，直接[Domain/account]來做登入的方式。

想請教，現在因為擔心一台DC1會有當機的問題，所以建立DC2做備援。
因為Nas Mail現在指向都是 192.168.1.10 [DC1]
有辦法DC1無法聯結的時候，自動轉向192.168.1.20 [DC2] 做帳號認證嗎？

看更多先前的討論...收起先前的討論...

窮嘶發發發 iT邦高手 1 級 ‧ 2015-12-03 11:14:42 檢舉

建議你將 DC 虛擬化
這樣就沒有這種問題了，AD 的服務其實很簡單的，根本不需要實體主機
而且虛擬化之後，只要做好備份，就能在任何一台直接上線
而且把 DC 跟其他服務做分離，這樣也可以避免因為服務衝突發生錯誤的機率
我還看過 HOST 怎樣都無法上網，但上面的VM 服務都很正常
結果只要把 HOST 重灌，VM 拿到另外一台把她ON起來就能繼續提供服務
這是小弟個人的經驗希望對你有幫助

kent_chuo888 iT邦新手 5 級 ‧ 2015-12-03 11:32:27 檢舉

我現在主要的DC1，是虛擬化在跑的。
第二台DC2，是拿一台實體機來跑。

窮嘶發發發 iT邦高手 1 級 ‧ 2015-12-03 15:09:59 檢舉

虛擬化的機器基本上不會當機才對，會當機就是 HOST 的硬體資源不足
例如記憶體不夠，我自己都是直接切足夠的，不用彈性給的方式
例如記憶體 4GB 就是直接給 4GB ，HOST 就直接少 4GB，
HOST 基本上不會去搶已經用掉的記憶體才對，我也會去看HOST不管如何都要剩下 30% 可用
不夠就是加，記憶體沒多少錢，買的時候就是加到底，加到底還不夠，就是換更好的主機板
還不夠就是換主機了，硬體沒多少錢，停工復工的代價是恐怖的
停工一小時造成的損失可能可以買好幾台主機了

一級屠豬士 iT邦大師 1 級 ‧ 2015-12-03 15:55:15 檢舉

jones888 說：

虛擬化的機器基本上不會當機才對

這真是太神奇了.......

roylee iT邦高手 1 級 ‧ 2015-12-03 16:20:07 檢舉

虛擬化的機器基本上不會當機才對

我也覺得太神奇~~如果可以這樣就無敵了

窮嘶發發發 iT邦高手 1 級 ‧ 2015-12-04 14:26:10 檢舉

恩當機有當機的原因，我自己的VM 從來沒當過，往往都是實體狂當，轉VM就好了
個人的經驗啦，HOST的體質很重要，我們家的HOST至少比一般PC強很多
我設計的VM環境也有幾十家了，如果每家都會當，我就死了

胖達 iT邦新手 3 級 ‧ 2015-12-04 16:57:42 檢舉

記得香要繼續燒
不然中斷會................

CalvinKuo iT邦大師 7 級 ‧ 2015-12-04 18:16:59 檢舉

希望jones888大大設計的VM環境都有 "有效的備份"...
不然不懂的使用者，Server跳錯誤燈號也不看，只要能開機就好，實在很難令人放心阿... 等到開不了，也很難救了.

登入發表討論

直播研討會

{{ item.subject }}

{{ item.channelVendor }} {{ item.webinarstarted }} |

{{ formatDate(item.duration) }}

直播中

5 個回答

2

aeolus0829

iT邦研究生 4 級 ‧ 2015-12-03 15:01:09

最佳解答

以我的經驗，只要你把windows server昇為同網域的網域控制站
它們就有自動備援了，不需特別設定

連結裡面也有提到，它們是會做複寫的

需要特別設定通常是其中一台徹底死亡，所以要讓另一台接手，然後再架一台起來

回應
分享
檢舉

登入發表回應

0

souda

iT邦高手 1 級 ‧ 2015-12-03 10:37:13

你需要將DC2先做為domain controller 後再做角色移轉(五大角色).
詳細轉移可以google 都會有很多資料參考.

回應
分享
檢舉

登入發表回應

2

allenlwh

iT邦高手 1 級 ‧ 2015-12-03 11:06:20

請參考本篇文章--於AD中建置兩台網域控制站(DC)，達到網域服務的不中斷
https://www.dotblogs.com.tw/maduka/2013/08/21/115109

回應 1
分享
檢舉

kent_chuo888 iT邦新手 5 級 ‧ 2015-12-03 11:31:11 檢舉

有喔，這篇文有看過一下。
可是Nas - E-Mail server , 都是LDAP 指向192.168.1.10
所以在想有沒有辦法 1.10 無法連結的時候，轉指到 1.20 去

登入發表回應

0

runan5678

iT邦研究生 1 級 ‧ 2015-12-04 09:24:36

NAS mail的LDAP Server欄位填入網域名稱。前提是NAS mail的DNS解析是要往DC1和DC2查詢

舉例:
DC1 – 192.168.1.10 主機名稱:1st.abc.com
DC2 – 192.168.1.20 主機名稱:2nd.abc.com
網域名稱:abc.com
把abc.com填入LDAP Server的欄位

回應
分享
檢舉

登入發表回應

0

IT 癡

iT邦高手 1 級 ‧ 2015-12-04 12:19:25

兩個方法 -

建立 PDC & BDC 這樣任一台掛掉都會自動到另一步做認證
有能力的話建 cluster 環境更好我公司的環境我即是這樣建

回應
分享
檢舉

登入發表回應

WilliamHuang

iT邦研究生 1 級 ‧ 2015-12-04 16:10:50

【＊＊此則訊息已被站方移除＊＊】

我要發表回答

立即登入回答

參賽組數

1064 組

團體組數

40 組

累計文章數

22203 篇

完賽人數

602 人

15th鐵人賽 16th鐵人賽 13th鐵人賽 14th鐵人賽 12th鐵人賽 11th鐵人賽鐵人賽 2019鐵人賽 javascript 2018鐵人賽 python 2017鐵人賽 windows php c# windows server linux css react vue.js

IT邦幫忙