主域控制器关闭后，Red服务器失去响应

Question

我们有许多服务器(应用服务器、web服务器和ftp服务器)运行红帽子5，它们都是虚拟的。我们也有一个类似的设置是基于Windows的.昨天，我们的基础设施团队需要关闭主域控制器，以便他们可以将物理服务器移动到一个新的机架上。他们的假设是，一旦主域控制器下降，二级域控制器就会恢复。一旦主域控制器关机，基于Linux的应用服务器都会减速到爬行，以至于仅仅尝试通过ssh登录大约需要3分钟。

在我们完成故障排除之前，基础设施团队能够将主域控制器重新联机。

在主域控制器的停机期间，所有基于windows的服务器似乎都正常运行.

我们的第一个想法是，Linux服务器没有作为DNS服务器列出的辅助域控制器，但事实并非如此。除了使用它作为DNS服务器之外，red服务器不绑定到任何AD功能。

还有什么我们可以查的吗？我们并不是真正的Linux管理员，所以我不确定我们是否缺少一些非常基本的东西。

Answer 1

这取决于您使用什么进行身份验证。听起来，不管你用的是什么，失败的机制要么花费太长时间，要么工作太慢。如果您使用LDAP作为auth，并且在您的信任中列出了一个IP地址进行检查，那么是的，您所看到的是完全适合这种情况的。如果您正在使用Winbind，那么它应该足够聪明，可以转移到另一个域控制器，但在达到该决定之前仍然需要一段时间。

我相信“LDAP-auth配置中只能列出一个LDAP服务器”的问题已经存在了一段时间了。其中一个解决办法是使DNS条目它所指向的是多个域控制器之间的循环DNS条目。另一种可能性，如果你有它的基础设施，是在一个负载均衡器上托管地址；我们在我以前的工作中这样做，它运行得很好。

Answer 2

RHEL服务器是使用DNS作为DNS解析器，还是使用DNS连接到其他服务？您检查了那些服务器上的日志(例如/var/log/messages)吗？

在我看来，服务器上的某些服务是非常依赖域的，并且没有解决这些域，这导致了一些重新连接到这些域的强烈尝试。

您可以通过暂时挂起RHEL服务器正在使用的域来测试这个问题。

Answer 3

尝试在/etc/ssh/sshd_config中关闭"GSSAPIAuthentication“。我也遇到过一个类似的问题，就这样解决了。一些SSO GSSAPI特性，我认为尝试并进行反向查找，当然会失败，如果DNS服务器离线。