ปัญหาที่ฉันพบคือ ถ้าฉันใช้หนึ่งในสองตัวควบคุมโดเมนแบบเขียนได้แบบออฟไลน์ ดูเหมือนว่าจะไม่มีใคร "ล้มเหลว" ในการใช้ตัวควบคุมโดเมนอื่นอย่างที่ควรจะเป็น - แอปพลิเคชันที่เราเรียกใช้ภายในเครือข่ายของเราที่ใช้ AD สำหรับการตรวจสอบสิทธิ์ เพียงแค่ขอชื่อผู้ใช้และรหัสผ่านและไม่เคยรับรองความถูกต้องของคุณจริง ๆ และผู้ใช้ภายนอกที่ใช้ DC แบบอ่านอย่างเดียวบนส่วนเครือข่ายอื่นก็ไม่สามารถรับรองความถูกต้องกับเว็บไซต์การเข้าถึงระยะไกลของเราได้เช่นกัน
ขณะนี้ฉันมีตัวควบคุมโดเมนสามตัวในโดเมนของฉัน: DC1, DC2 และ RO1 DC1 และ RO1 คือเซิร์ฟเวอร์ 2019, DC2 คือเซิร์ฟเวอร์ 2012R2 DC ที่เขียนได้ทั้งสองเป็นเซิร์ฟเวอร์ DNS ที่ผสานรวมกับ AD โดยมีอะแดปเตอร์เครือข่ายที่กำหนดค่าให้ชี้ไปที่กันและกัน
DC1 และ DC2 อยู่ในซับเน็ตเดียวกัน RO1 เป็นตัวควบคุมแบบอ่านอย่างเดียวในส่วนเครือข่ายที่แตกต่างกันเพื่อรองรับโซลูชันการเข้าถึงระยะไกลที่จัดการโดยองค์กรที่อยู่เหนือฉัน (ซึ่งจัดการเครือข่ายทั่วไปที่ฉันเชื่อมต่อด้วย)
ในอดีต ถ้าฉันต้องทำให้ DC เครื่องใดเครื่องหนึ่งออฟไลน์ ผู้ใช้ในเครื่องจะข้ามไปยังเครื่องใดก็ตามที่ยังคงทำงานอยู่ (ตามที่คาดไว้) เช่นเดียวกับผู้ใช้ระยะไกลเมื่อ RODC ดึงข้อมูลเครื่องที่ใช้งานอยู่เพื่อตรวจสอบสิทธิ์
DC1 ปัจจุบันเป็นส่วนเพิ่มเติมที่ค่อนข้างใหม่แทนที่ DC DC1 ถูกนำมาออนไลน์และเข้าร่วมกับ DC และ DC2 และทุกอย่างก็ดูเรียบร้อยดี ฉันถ่ายโอนบทบาท FSMO ทั้งหมดที่ DC มีไปแทนที่ DC1 - netdom query fsmo แสดงบทบาททั้งหมดว่าอยู่ใน DC1 ใหม่ เราลดระดับและใช้ DC ออฟไลน์เพื่อเลิกใช้งานเนื่องจากเป็นเครื่อง Server 2012 และเรากำลังย้ายออกจากเครื่องเหล่านั้น ทำความสะอาดระเบียน DNS ที่ผิดพลาดเล็กน้อยซึ่งอ้างว่า DC เก่ายังคงอยู่รอบ ๆ แต่นอกเหนือจากนั้นทุกอย่างก็เหมือนเดิม รอบแพตช์ที่แล้ว เราได้ทำให้ DC2 ออฟไลน์ในขณะที่ DC1 และ RO1 ยังคงเปิดใช้งานอยู่ แต่ค้นพบปัญหาที่เกี่ยวข้องกับการรับรองความถูกต้องด้านบน ผู้ใช้ภายนอกไม่สามารถตรวจสอบสิทธิ์ได้เลย และผู้ใช้ที่เข้าสู่ระบบแล้วพบว่าแอปพลิเคชันตรวจสอบสิทธิ์ AD ของเราขอให้พวกเขาเข้าสู่ระบบอีกครั้งอย่างกะทันหัน (ไม่มีประโยชน์)
ขออภัย ฉันไม่แน่ใจว่าทำไมจึงเป็นเช่นนี้ DC1 ซึ่งเป็นคอนโทรลเลอร์ใหม่ได้รับการยอมรับจากโดเมนอย่างแน่นอน การจำลองเกิดขึ้นด้วยดี - Repadmin /showrepl สำเร็จ และ /replsum ไม่มีรายงานข้อผิดพลาด เครื่องภายในที่เกี่ยวข้องทั้งหมดสามารถแก้ไขชื่อโฮสต์และ ping ซึ่งกันและกัน ถ้าฉัน ping โดเมน ฉันจะได้รับ DC ที่เขียนได้ เช่นเดียวกับที่ฉันติดตามไปยังโดเมน ฉันสามารถแก้ไขบน DC1 และดูได้ใน DC2 และในทางกลับกัน (และการเปลี่ยนแปลงต่างๆ เช่น นโยบายกลุ่มที่ทำใน DC1 นั้นมีอยู่ในเครือข่ายขนาดใหญ่โดยเฉพาะ) ฉันสามารถใช้ RODC และบอกให้โหลดบันทึกจาก DC1 และ DC2 โดยไม่มีปัญหา
อย่างไรก็ตาม ถ้าฉันใช้ DC2 ออฟไลน์ นั่นคือตอนที่สิ่งต่างๆ เปลี่ยนไปด้านข้าง การ Ping หรือ Tracert ไปยังโดเมนของเราล้มเหลว ผู้ใช้ภายนอกถูกปฏิเสธการเข้าถึง และผู้ใช้ภายในเห็นว่าแอปพลิเคชัน AD-authenticated ของเราล้มเหลวและเรียกหาชื่อผู้ใช้และรหัสผ่านอยู่ตลอดเวลา สิ่งที่ตรงกันข้าม ไม่ อย่างไรก็ตาม หากฉันใช้ DC1 ใหม่แบบออฟไลน์ บางครั้งผู้ใช้ในพื้นที่อาจมีความล่าช้าเล็กน้อย ราวกับว่าเครื่องของพวกเขาพยายามติดต่อ DC1 ก่อนที่จะล้มเหลวในการข้ามไปยัง DC2 และรับรองความถูกต้องสำเร็จ และผู้ใช้ภายนอกก็ไม่มีปัญหา
ไม่มีอะไรที่ชัดเจนเป็นพิเศษในบันทึกเหตุการณ์ และทุกสิ่งที่ฉันนึกออกก็ได้รับการกำหนดค่าอย่างถูกต้อง ฉันไม่แน่ใจว่าจะต้องดำเนินการต่อจากที่นี่ มีใครเคยมีอาการคล้ายกันที่พวกเขาสามารถแก้ไขได้หรือไม่
ปัญหาจบลงด้วยการเกี่ยวข้องกับการตั้งค่าไฟร์วอลล์ที่จัดการโดยองค์กรที่จัดการเครือข่ายที่เราเชื่อมต่อโดยเฉพาะ กฎขาเข้า/ขาออกบางข้อไม่ได้ถูกนำไปใช้อย่างถูกต้อง ส่งผลให้โฮสต์ไม่สามารถข้ามไปยังตัวควบคุมโดเมนใหม่ได้อย่างถูกต้องในกรณีที่ตัวเก่าออฟไลน์
คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา
