Мы вспомогательный офис многонациональной корпорации. У нас есть локальный контроллер домена, но мы все равно испытываем резкое падение производительности после присоединения машин к нашему домену. Есть ли у кого-нибудь предложения о том, как мы могли бы уменьшить или смягчить влияние на производительность подключения машин к домену? Если вам понадобится дополнительная информация, не стесняйтесь задавать вопросы в комментариях.
Примечание. У нас нет полного доступа к домену или DC, и поэтому мы не можем вносить изменения даже в наше локальное подразделение в отношении объектов групповой политики или общей структуры / макета и т. Д. Однако в интересах полноты, пожалуйста, публикуйте даже идеи, которые могут требуется этот уровень доступа.
Мне кажется, у вас есть скрипты запуска / завершения работы, которые могут выполняться и ссылаться на ресурсы на серверах за пределами вашего офиса. Я также видел администраторов, которые не понимают DFS и пытаются устанавливать программное обеспечение через WAN.
Запустите RSoP и посмотрите, какие сценарии запуска / завершения применяются к одной из ваших машин. Скорее всего, разрешения будут такими, что вы сможете выйти и прочитать сценарии и посмотреть, что они делают. Также обратите внимание на назначения программного обеспечения и посмотрите, относятся ли они к сторонним серверам.
Я также порекомендую вам прослушивать трафик на ПК во время запуска или в другое время, когда это медленно. Возьмите коробку с двумя сетевыми адаптерами, соедините их мостом и используйте Wireshark для обнюхивания моста, когда ПК подключен к одному сетевому адаптеру, а локальная сеть - к другому. Вы увидите, с чем ваш компьютер пытается разговаривать в эти «медленные времена».
Хмммм .... Возможно, что Relative ID Master отключен от вас. Когда вы создаете новые объекты Computer (присоединяетесь к домену, я предполагаю, что вы не создаете свои объекты заранее), он должен перейти к мастеру RID. Если контроллер домена, выполняющий эту роль, находится вне сети для вас, на обратную связь может потребоваться много времени.
В качестве альтернативы может случиться так, что в вашем дереве AD не объявлен сайт для вашей спутниковой сети. Таким образом, доменные машины продолжают ссылаться на серверы глобального каталога, которые не являются локальными для вас, потому что по какой-то причине не было объявлено никаких границ сайта. Вы мощь иметь возможность самостоятельно найти его (но не вносить изменения) с помощью инструмента AD Sites MMC.
Пара (возможно, неправильных) мыслей.
Редактировать: Все? Это очень похоже на то, что проверка безопасности по какой-то причине происходит ужасно медленно. Поиск SID и т.п. ужасно медленный. Это очень похоже на то, что вы идете через WAN в поисках тех запросов, которые вам не нужны. Неправильные сайты или, возможно, ваш локальный DC не имеет GC.
Как это работает:
Вымойте, ополосните, повторите для каждого файла, к которому вы обращались. Рабочая станция должна хранить кэш SID, но VisualStudio открывает миллиард файлов, которые могут переполнять кеш.
Вы можете очень грубо проверить скорость поиска домена, щелкнув правой кнопкой мыши любой файл или каталог NTFS и перейдя в раздел «Безопасность», указав реального пользователя и нажав кнопку «Найти пользователя». Скорость этого должна зависеть от скорости, которую вы испытываете между вашими доменными / недоменными рабочими станциями.
Грм. Это интересно. О каком спектакле вы говорите? Производительность сети WAN? Это может указывать на синхронизацию AD. Производительность локальной сети синхронизируемой машины? Это заставило бы меня усомниться в вашем размере AD. Производительность локальной сети локального DC? Честно говоря, я не уверен, куда бы я пошел с этим.
Или это займет вечность? Если это так, возможно, он непреднамеренно опрашивает удаленный контроллер домена через глобальную сеть.
Можете ли вы убедиться, что производительность действительно ограничена удаленным офисом, возможно, перенеся новую машину на сайт PDC и присоединившись к домену там? Если на производительность по-прежнему отрицательно сказывается присоединение к домену на сайте основного контроллера домена, это не контроллер домена вашего удаленного офиса.
Если при присоединении к сайту PDC производительность не снижается, то вы точно знаете, что это проблема с контроллером домена вашего сайта.
Кроме того, для справки, можете ли вы дать нам представление о том, какие учетные данные у вас есть в вашем домене, чтобы мы могли основывать наши предложения на том, что вы действительно сможете делать?
После прочтения комментариев от Дэйтона Брауна и sysadmin1138 я разглядел сценарии запуска и заметил установку приложения, которое мы используем для отправки пакетов программного обеспечения на удаленные машины. В ходе дальнейшего расследования я обнаружил, что он, по-видимому, делает гораздо больше, чем просто программное обеспечение.
Это полноценное IDS и антивирусное решение (по какой-то причине в дополнение к Symantec Antivirus) с примерно 6 связанными процессами, запущенными на каждой машине. Я думаю, можно с уверенностью сказать, что это вызывает проблемы с производительностью.
Мой босс согласился позволить мне восстановить машину и предотвратить ее установку для тестирования. Я буду держать вас в курсе, спасибо за ваш отзыв, ребята.