Уважаемые, просветите чайника в такой ситуации:
Есть основной сервер на нем AD+DNS и есть резервный сервер AD+DNS все расположено на физических серверах, репликация происходит без проблем и ошибок, пользователи видят оба DNS. Но стоит отвалится основному серверу пользователи не могут авторизироваться в домене, сетевые ресурсы недоступны пока не запустишь основной сервер и не перезагрузишь машину пользователя. Я так понимаю что это неправильно, почему не происходит авторизация на резервном сервере? Как это исправить?

Я так понимаю что это неправильно, почему не происходит авторизация на резервном сервере? Как это исправить? »
Вывод команды ipconfig /all c обоих КД и клиента покажите.

Есть основной сервер на нем AD+DNS+DHCP и есть резервный сервер AD+DNS без DHCP
И при отказе основного сервера компьютеры клиентов не получают правильные IP-адреса (вместо адресов из диапазона сети применяется "аварийный" диапазон 169.254.X.X), из-за чего не могут подключиться к резервному серверу.

А проблема - в ДНК разработчиков протокола DHCP, которые за двадцать с гаком лет не придумали возможность работы второй службы DHCP в режиме резервного сервера.

El Scorpio, сказки Шервудского леса.
Если срок аренды IP не истёк и шлюз доступен - продолжает использоваться старый адрес.
В сети вполне могут сощуществовать два сервера DHCP - просто диапазоны им надо выделить непересекающиеся.

Grigorich1972, в общем случае у вас должны присутствовать в сети основные роли AD. А для вашего сценария нужно "поднимать" failover cluster.

пользователи не могут авторизироваться в домене, сетевые ресурсы недоступны пока не запустишь основной сервер и не перезагрузишь машину пользователя. »
Типичный сценарий отсутствия правильного IP-адреса.
Вместо перезагрузки машины пользователя можно просто отключить и подключить обратно сетевой кабель.
Или просто подождать, пока он опять не сделает запрос правильного IP-адреса.

Кстати, "сетевые ресурсы" как организованы?
Для обеспечения надёжности работы сетевых папок нужно прикреплять все сетевые папки в дерево DFS с дублированием и автоматической репликацией. Тогда при отказе одного файлового сервера клиенты автоматически переключатся на другой.

Однако такое решение неприемлемо для файловых баз данных (1С и прочие системы) ввиду того, что разные клиенты могут подключиться к разным серверам, в результате чего у вас получится две совершенно разные базы данных.


Если срок аренды IP не истёк и шлюз доступен - продолжает использоваться старый адрес. »
Не знаю. У меня на работе при отказе сервера (старенький уже, по ночам где-то раз в месяц зависает, а заменить пока нечем) по утрам у клиентов IP-адреса пропадают.
Может такое быть из-за отсутствия в параметрах основного шлюза? (не указан за ненадобностью - использую прокси)

Если я правильно понял, проблемы возникают из за DHCP, и если я уберу программный и настрою DHCP на роутере то проблема с авторизацией пропадет?

Однако такое решение неприемлемо для файловых баз данных (1С и прочие системы) ввиду того, что разные клиенты могут подключиться к разным серверам, в результате чего у вас получится две совершенно разные базы данных. »

Вот как раз основная проблема с 1С.

Если я правильно понял, проблемы возникают из за DHCP, и если я уберу программный и настрою DHCP на роутере то проблема с авторизацией пропадет? »
Проблема не DHCP проблема в настройках DNS на клиентах. Вы вывод ipconfig /all покажите.

Проблема не DHCP проблема в настройках DNS на клиентах. Вы вывод ipconfig /all покажите. »

Microsoft Windows [Version 6.1.7601]
(c) Корпорация Майкрософт (Microsoft Corporation), 2009. Все права защищены.

C:\Users\Администратор.WIN-AGH8HG5OR1N>ipconfig /all

Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : ANK-SERVER
Основной DNS-суффикс . . . . . . : ankhold.loc
Тип узла. . . . . . . . . . . . . : Гибридный
IP-маршрутизация включена . . . . : Нет
WINS-прокси включен . . . . . . . : Нет
Порядок просмотра суффиксов DNS . : ankhold.loc

Ethernet adapter LAN2:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . : loc
Описание. . . . . . . . . . . . . : Сетевое подключение с ускорением ввода-вы
вода Intel(R) PRO/1000 EB #2
Физический адрес. . . . . . . . . : 00-15-17-4C-F7-6C
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да

Ethernet adapter LAN1:

DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Сетевое подключение с ускорением ввода-вы
вода Intel(R) PRO/1000 EB
Физический адрес. . . . . . . . . : 00-15-17-4C-F7-6D
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
IPv4-адрес. . . . . . . . . . . . : 192.168.0.2(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз. . . . . . . . . : 192.168.0.1
DNS-серверы. . . . . . . . . . . : 192.168.0.4
192.168.0.2
127.0.0.1
Основной WINS-сервер. . . . . . . : 192.168.0.2
Дополнительный WINS-сервер. . . . . . : 192.168.0.4
NetBios через TCP/IP. . . . . . . . : Включен

Туннельный адаптер isatap.{46EC72A5-1F6B-4C7E-BA82-7F6AF6E7568A}:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да

Туннельный адаптер isatap.loc:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . : loc
Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP #2
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да

Туннельный адаптер Teredo Tunneling Pseudo-Interface:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да

C:\Users\Администратор.WIN-AGH8HG5OR1N>

Microsoft Windows [Version 6.1.7601]
(c) Корпорация Майкрософт (Microsoft Corporation), 2009. Все права защищены.

C:\Users\Администратор.ANKHOLD>ipconfig /all

Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : BackupSrv-AD
Основной DNS-суффикс . . . . . . : ankhold.loc
Тип узла. . . . . . . . . . . . . : Гибридный
IP-маршрутизация включена . . . . : Нет
WINS-прокси включен . . . . . . . : Нет
Порядок просмотра суффиксов DNS . : ankhold.loc

Ethernet adapter Подключение по локальной сети:

DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Realtek PCIe GBE Family Controller
Физический адрес. . . . . . . . . : 94-DE-80-49-85-6E
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
IPv4-адрес. . . . . . . . . . . . : 192.168.0.4(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз. . . . . . . . . : 192.168.0.1
DNS-серверы. . . . . . . . . . . : 192.168.0.2
192.168.0.4
127.0.0.1
NetBios через TCP/IP. . . . . . . . : Включен

Туннельный адаптер isatap.{9F3235FC-E9F6-4B3F-8EED-77E54FB34F5C}:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да

C:\Users\Администратор.ANKHOLD>

Microsoft Windows [Version 6.1.7601]
(c) Корпорация Майкрософт (Microsoft Corp.), 2009. Все права защищены.

C:\Users\agro.buhg.buh.ANKHOLD>ipconfig /all

Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : AGRO-BUHG-BUH
Основной DNS-суффикс . . . . . . : ankhold.loc
Тип узла. . . . . . . . . . . . . : Смешанный
IP-маршрутизация включена . . . . : Нет
WINS-прокси включен . . . . . . . : Нет
Порядок просмотра суффиксов DNS . : ankhold.loc

Ethernet adapter Подключение по локальной сети:

DNS-суффикс подключения . . . . . : ankhold.loc
Описание. . . . . . . . . . . . . : Realtek PCIe GBE Family Controller
Физический адрес. . . . . . . . . : 94-DE-80-85-91-41
DHCP включен. . . . . . . . . . . : Да
Автонастройка включена. . . . . . : Да
Локальный IPv6-адрес канала . . . : fe80::c52a:5fbd:1e63:2266%11(Основной)
IPv4-адрес. . . . . . . . . . . . : 192.168.0.97(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
Аренда получена. . . . . . . . . . : 25 октября 2017 г. 14:32:12
Срок аренды истекает. . . . . . . . . . : 4 ноября 2017 г. 14:32:12
Основной шлюз. . . . . . . . . : 192.168.0.1
DHCP-сервер. . . . . . . . . . . : 192.168.0.2
IAID DHCPv6 . . . . . . . . . . . : 244637312
DUID клиента DHCPv6 . . . . . . . : 00-01-00-01-1A-CE-9B-2E-94-DE-80-85-91-41

DNS-серверы. . . . . . . . . . . : 192.168.0.2
192.168.0.4
NetBios через TCP/IP. . . . . . . . : Включен

Туннельный адаптер isatap.ankhold.loc:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . : ankhold.loc
Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да

Туннельный адаптер Teredo Tunneling Pseudo-Interface:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да

C:\Users\agro.buhg.buh.ANKHOLD>

если я уберу программный и настрою DHCP на роутере то проблема с авторизацией пропадет? »
Нет, как раз таки в этом случае у вас начнутся настоящие проблемы :shot:

Имя компьютера . . . . . . . . . : ANK-SERVER
Основной DNS-суффикс . . . . . . : ankhold.loc
Тип узла. . . . . . . . . . . . . : Гибридный
IP-маршрутизация включена . . . . : Нет
WINS-прокси включен . . . . . . . : Нет
Порядок просмотра суффиксов DNS . : ankhold.loc
Ethernet adapter LAN2:
Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . : loc
Описание. . . . . . . . . . . . . : Сетевое подключение с ускорением ввода-вы
вода Intel(R) PRO/1000 EB #2
Физический адрес. . . . . . . . . : 00-15-17-4C-F7-6C
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да »
Ваш основной сервер имеет две сетевых карты?
Объедините их в один канал передачи данных типа team и подключите вторую сетевую карту к основному коммутатору сети - получите существенную прибавку к скорости и повышенную надёжность (при отключении одного кабеля сервер будет без проблем работать по второму).
Настройка TEAM производится в свойствах драйвера сетевой карты Intel при прямом подключении к серверу (при подключении по RDP данная вкладка скрыта во избежание потери управления сервером при изменении параметров)
После появления виртуального сетевого интерфейса team пропишите IP-адрес и прочие параметры в его свойствах

IPv4-адрес. . . . . . . . . . . . : 192.168.0.4(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз. . . . . . . . . : 192.168.0.1
DNS-серверы. . . . . . . . . . . : 192.168.0.2
192.168.0.4
127.0.0.1
NetBios через TCP/IP. . . . . . . . : Включен »
На основном сервере (мастере) DNS в свойствах сетевого интерфейса первым интерфейсом должен стоять он сам (127.0.0.1). Вторым адресом можно указать ведомый (slave) сервер DNS.
Или можно вообще ничего не указывать - тогда сервер автоматически будет использовать локалхост
Ну а далее настраивается репликация между ведущим и ведомым серверами DNS

IAID DHCPv6 . . . . . . . . . . . : 244637312
DUID клиента DHCPv6 . . . . . . . : 00-01-00-01-1A-CE-9B-2E-94-DE-80-85-91-41 »
На клиентах отключи IP6


По теме вопроса - нашёл на Хабре https://habrahabr.ru/post/122411/

На основном сервере (мастере) DNS в свойствах сетевого интерфейса первым интерфейсом должен стоять он сам (127.0.0.1) »
Первым ставят адрес второго dns-сервера, а вторым свой.

Grigorich1972
Сетевые ресурсы на каких серверах находятся? И что это за ресурсы?
WINS реально включен и настроен? Потому как на первом КД указаны адреса WINS, а у второго и рабочей станции нет.

Первым ставят адрес второго dns-сервера, а вторым свой. »
а смысл?

Первым ставят адрес второго dns-сервера, а вторым свой. »
Смысл?
При штатной работе сервера своя служба DNS будет работать всегда, а при нештатной отказ DNS уже ни на что не повлияет :)

Зато при вашей схеме при отказе "второго сервера" на первом сервере пойдут большие задержки, вызванные попытками опроса остановленного сервера DNS.


WINS реально включен и настроен? Потому как на первом КД указаны адреса WINS, а у второго и рабочей станции нет. »
Кстати да. Убрать нафиг.

Смысл?
При штатной работе сервера своя служба DNS будет работать всегда, а при нештатной отказ DNS уже ни на что не повлияет »
Зато при вашей схеме при отказе "второго сервера" на первом сервере пойдут большие задержки, вызванные попытками опроса остановленного сервера DNS »
Вообще по рекомендации лучших с.... нужно ставить первым ip адрес второго DNS сервера, а не свой ip (What is Microsoft’s best practice for where and how many DNS servers exist? What about for configuring DNS client settings on DC’s and members? (https://blogs.technet.microsoft.com/askds/2010/07/17/friday-mail-sack-saturday-edition/#dnsbest)). Да если второй сервер ляжет будут проблемы, но и если указать первым свой ip, то при загрузке сервера так же будет много проблем. Как настраивать каждый для себя решает сам. Но на клиентах лучше указывать первым тот который более надежный.
А если по сути вопроса, то нужно смотреть что получает клиент при отключенном втором КД при отправке DNS запросов.
Grigorich1972,
Отключите второй КД и на клиенте несколько раз выполните команду nslookup <имя Вашего домена> и вывод покажите.