那就什么都不用调整,任何一台域控制器挂了都没影响
怎么理解你说的主备域?是同时加入两个独立的域么?例如:domain-a.com和domain-b.com. 还是指的是关联同一个域内的多个域控制器,实现主备切换?
## 如果是加入两个独立的域,想要实现主备切换需要注意下面几点:
1. 需要将两个独立的域身份源添加到同一个认证身份源列表(Identity Source Sequence)中去
以2.x为例:进入Administration-Identity Management-Identity Source Sequences中,创建新的认证源里列表。然后将"Advanced Search List Settings"的设置修改为:"Treat as if the user was not found and proceed to the next store in the sequence"这样在认证的时候使用第一个身份源失败时候才会尝试第二个身份源 //PEAP的认证可能对此认证方式有问题,如使用PEAP认证协议建议自行验证一下。
2. 在认证的时候输入用户名的时候只能输入用户名信息,不可携带域的信息。如果携带了指定的域的后缀,那么只会到相应的身份源进行认证,不会自动切换。
例如输入的用户信息是user1@domain-a.com,那么这个用户只会到domain-a.com的身份源去认证,不会尝试其他的身份源。
3. 设置相应的策略的时候需要保证认证使用的身份源是前面创建的认证列表。
## 如果是同一个域,想要实现一台域控制器故障之后仍旧可以认证的话,这个就是默认的功能,正常情况下无需额外的操作。但仍有几点需要额外注意下:
1. 使用域作为身份源使用的时候,ise极其依赖dns功能,需要保证ise能够正常解析到域的信息才行。如果ad和dns是集成的,而恰巧ise只配置了一个dns服务器地址,那么当这个节点故障的时候,ise同样会因为没有可用的dns而无法使用其他正常的域控制器。建议至少配置两个dns或者通过其他的方式保证解析的稳定性。
2.网络层面需要保证ise能够正常到所有的域控制器节点。否则网络上有拦截,ise也无法正常到达其他的可用设备。
个人猜测你大概率说的是下面的这种情形。
另外ise join到ad后连接的domain controller是随机的,如果有多个ise节点同时存在的话,那么你大概率可以在相应的界面上发现集群的ise节点会连接到了不同的domain controller上
--补充:
时间设置同样也很重要,时间不一致有可能会导致ad的join状态出现异常。建议配置有效的ntp服务器