Нужен другой контроллер домена

8

У меня есть два контроллера домена (Windows 2003) на одном сайте, где находится большая часть отдела, который я поддерживаю. Есть еще одно здание (в другом месте), где также находится мой отдел, но у них нет DC.

Вероятно, это классический вопрос о том, стоит ли устанавливать дополнительный DC, когда компания распределена по нескольким сайтам.

Мы сталкивались с различными проблемами, такими как сценарии входа в систему, не сопоставляющие диски, и пользователи, которые не могли войти в систему несколько раз, прежде чем войти (даже если они вводят правильный пароль).

Я получаю разные ошибки на клиентов. Некоторые из них :

Netlogon, 5719 , Этому компьютеру не удалось настроить безопасный сеанс с контроллером домена в домене domain.com из-за следующего: в настоящее время нет серверов входа, доступных для обслуживания запроса входа. Это может привести к проблемам с аутентификацией. Убедитесь, что этот компьютер подключен к сети. Если проблема не устранена, обратитесь к администратору домена.

GroupPolicy, 1055, Обработка групповой политики не удалась. Windows не может разрешить имя компьютера. Это может быть вызвано одной из следующих причин: a) Ошибка разрешения имени на текущем контроллере домена. б) Задержка репликации Active Directory (учетная запись, созданная на другом контроллере домена, не реплицирована на текущий контроллер домена).

На серверах я получаю эти ошибки:

Netlogon, 5722, Настройка сеанса с компьютера SOMEPCNAME не прошла проверку подлинности. Имена учетных записей, на которые есть ссылка в базе данных безопасности, - SOMEPCNAME $. Произошла следующая ошибка: доступ запрещен.

* (эта ошибка повторяется для одного и того же компьютера. Возможно, нужно просто добавить это в домен.) *

Репликация NTDS, 1864, Это состояние репликации для следующего раздела каталога на локальном контроллере домена. Раздел каталога: CN = схема, CN = конфигурация, DC = домен, DC = com

Этот последний выглядит так, как будто он связан с DC, который не был полностью удален. Когда я запустил dcdiag, он показал, что мы пытаемся выполнить репликацию с сервером, который больше не существует. Я не думаю, что это вызвало бы у нас все эти проблемы со входом в систему.

Мне интересно, если мы должны установить другой DC или попробовать что-то еще. Наши клиенты работают в основном с Windows 7, но есть также клиенты с XP и Vista.

Полоса пропускания между компьютерами на разных сайтах составляет 37,4 Мбит (только что проверено с помощью этой утилиты iperf).

Любая помощь приветствуется.

windows-server-2003 active-directory domain-controller windows Джеймс
источник
Все, что превышает 10 Мб с разумной задержкой, должно быть достаточно быстрым, чтобы вам не «нужен» DC в другом месте. Сначала я бы проверил наличие проблем в сети, но в любом случае вам может понадобиться DC там по разным причинам.
Крис С
Спасибо за вклад. Я чувствую, что эта пропускная способность более чем достаточна, но что-то (скорее всего, сеть) продолжает мешать процессу входа в систему.
Джеймс
Если вы не можете выполнить аутентификацию через соединение, я подозреваю, что репликация через соединение будет такой же сложной задачей.
Джим Б

Ответы:

2

У @gWaldo есть хорошая идея с точки зрения повышения надежности и обновления устаревшего DC, но это «предположение» относительно того, решит ли это проблему. @ Chris-S правильно в комментарии, что пропускная способность (на первый взгляд) не звучит так, как будто это проблема.

Во-первых, вы должны убедиться, что WAN-соединение надежно, не теряет пакетов и имеет достаточную пропускную способность в течение дня.

Кроме того, недоступность контроллера домена не предотвратит вход в систему клиента Windows (при условии использования объектов групповой политики по умолчанию), поскольку учетные данные кэша в домене позволяют вам войти. Это поможет, если вы опубликуете фактические ошибки, которые получают пользователи.

Для подключенных дисков, если они выполняются сценарием входа, у вас практически нет возможности просматривать какие-либо журналы с этой информацией, но я бы переместил это функционально в Предпочтения групповой политики, которые позволят вам сопоставить диски, сделать их постоянными, а также вести журнал. на клиентские журналы событий по любым вопросам. Ваши проблемы с отображением могут быть связаны с тем, что они не могут получить сценарий или не могут получить доступ к диску ... но это трудно определить без регистрации.

Опять же, держать текущий DC и иметь его на удаленном сайте «лучше», но просто бросать дротики в стену этой конкретной проблемы. У меня было 70-100 удаленных сайтов на гораздо более низких скоростях глобальной сети без каких-либо действий удаленного постоянного тока, если подключение было надежным и имело доступную пропускную способность.

Брет фишер
источник
1
Спасибо за ваши идеи. Я продолжаю получать ошибки NTDS kcc, netlogon и групповой политики, как описано выше. Мы работаем в домене в смешанном режиме 2000 года. Похоже, пришло время для обновления.
Джеймс
Если ваш самый старый DC работает под управлением 2003, то вы можете прямо сейчас обновить режим леса и домена до 2003-го. Смешанный режим 2000, как правило, плох, поскольку он позволяет использовать контроллеры домена NT 4, которые небезопасны и не предназначены для современных сетей.
Брет Фишер
Может ли быть какая-либо вероятность того, что пользователи не смогут войти в систему или обменяться 2003, что приведет к путанице, если я переключусь на нативный 2003? Обмен наверно будет счастливее на родном, но просто проверю. Спасибо.
Джеймс
Ничто не является определенным, но не единственная причина, по которой я могу думать о том, чтобы остаться в 2000 году, - это NT4 DC. Ваша версия леса / домена не связана (напрямую) с тем, как происходит проверка подлинности ... она связана с тем, как DC общается друг с другом, и с новыми функциями Active Directory.
Брет Фишер
7

В вашем вопросе достаточно места для того, чтобы другие проблемы вызывали проблемы, но на первый взгляд (если вы достаточно уверены, что все остальное работает как положено), вам кажется, что вы можете быть хорошим примером для домена только для чтения. Контроллер (RODC) .

Это потребует обновления до Server 2008 для ваших контроллеров домена (что в любом случае является хорошей идеей; 2003 год близится к концу), а также потребуется небольшая осторожность при настройке RODC, но это может решить ваши проблемы.

Да, вы можете просто установить еще один DC 2003 в удаленном офисе, но, похоже, там нет присутствия ИТ-специалистов, поэтому RODC может быть «безопаснее». Контроллеры RODC хороши там, где у вас может не быть ИТ-персонала, особенно если у вас нет безопасной и надежной зоны для сервера (нет серверной комнаты / запираемых стоек, затененных окрестностей и т. Д.)

Также имейте в виду, что сопоставление дисков по сети потребляет трафик и само по себе может стать основной причиной ваших проблем. Возможно, стоит изучить локальную реализацию решения для хранения (например, серверов DFS или CIFS).

Если вы еще этого не сделали, разделение вашей организации на основе местоположения (по сайтам или просто подразделениям) также может помочь вам в управлении трафиком и взаимодействием с пользователем.

gWaldo
источник
Это звучит как очень хорошая идея. Обновление до домена 2008 кажется большим проектом, чем я надеялся. Спасибо за предложение!
Джеймс
На самом деле, обновление AD менее важно, чем обновление Windows до 2008 года; это довольно просто, хотя я рекомендую прочитать документы и составить контрольный список перед его запуском. Аналогично с RODC; это не сложно, но есть процедура, которой нужно следовать.
gWaldo
2
Основная поддержка @gWaldo закончилась в прошлом году для Windows 2k3 - она ​​не просто близка к EOL, она уже находится в расширенной фазе поддержки.
Джим Б
Спасибо; Мне не хотелось смотреть вверх, это статус поддержки. #lifeistooshort
gWaldo
0

Я бы определенно поставил другой dc на удаленный сайт, чтобы обеспечить некоторую избыточность в случае сбоя соединения между сайтами.

Митч
источник