Domain Controller是Windows Server的其中一項服務,用於控制網域相關功能。一個企業內部環境,除了AD之外,也會建立DNS、DHCP等服務,然後這些功能可能都會啟用在同一台Windows Server上。
為了避免單台DC離線而造成網路服務不能使用,有些企業會再建置兩到三台Windows Server,並且同步資料。
而網路驗證使用AD作為來源的話,現在主流的驗證方法是「PEAP」「EAP MSCHAPv2」,而EAP MSCHAPv2會驗證伺服器憑證,而信任與否會取決於憑證上的主體名稱與連線輸入的Domain相同,為了讓Domain能解析出憑證上主體名稱,就要使用DNS。
可以參考官方網站《What are the best practices recommended for ClearPass – Active Directory authentication setup?》※需要登入帳號
備援環境需求
ClearPass所指的DNS Server不能因為任一台DC倒下而無法解析憑證的主體名稱,有兩種方法。
1. 啟用「DNS Caching」功能,避免Primary DNS Timeout造成認證超時。
2. 使用Load Balance,將Primary DNS IP位置變成Load Balance的IP。
機制
今天有多台AD,在Authentication Soureces新增類型Active Directory,並且在Backup Servers Priority新增Backup AD。
如果詢問超過10秒(Server Timeout)沒有回應,ClearPass就會認為Server離線,轉而向下一台詢問。
這邊確認「DNS Caching」要為Enabled,否則Primary DNS一倒,後續EAP MSCHAPv2就會因為DNS Query Timeout而Failed。
以下是用Wireshark記錄沒開DNS Caching時與認證成功時的過程Log對比。
JN的電腦網路日常 