Назад | Перейти на главную страницу

Потребность в другом контроллере домена

У меня есть два контроллера домена (Windows 2003) на одном сайте, где находится большая часть обслуживаемого мной отдела. Есть еще одно здание (на другом участке), где находится мой отдел, но у них нет DC.

Это, вероятно, классический вопрос о том, следует ли устанавливать дополнительный контроллер домена, когда компания разбросана по нескольким сайтам.

Мы сталкивались с различными проблемами, такими как сценарии входа в систему, не отображающие диски, и пользователи, которые несколько раз не входили в систему, прежде чем их впустили (даже если они вводят правильный пароль).

У меня на клиентах разные ошибки. Некоторые из них :

Netlogon, 5719, Этому компьютеру не удалось установить безопасный сеанс с контроллером домена в домене domain.com по следующим причинам: В настоящее время нет доступных серверов входа для обслуживания запроса на вход. Это может привести к проблемам с аутентификацией. Убедитесь, что этот компьютер подключен к сети. Если проблема не исчезнет, ​​обратитесь к администратору домена.

GroupPolicy, 1055, г. Ошибка обработки групповой политики. Windows не может разрешить имя компьютера. Это может быть вызвано одной из следующих причин: a) Ошибка разрешения имен на текущем контроллере домена. б) Задержка репликации Active Directory (учетная запись, созданная на другом контроллере домена, не реплицирована на текущий контроллер домена).

На серверах я постоянно получаю такие ошибки:

Netlogon, 5722, При настройке сеанса с компьютера SOMEPCNAME не удалось пройти аутентификацию. Имена учетных записей, указанных в базе данных безопасности, - SOMEPCNAME $. Произошла следующая ошибка: Доступ запрещен.

* (эта ошибка повторяется для одного и того же компьютера. Возможно, просто нужно повторно добавить это в домен.) *

Репликация NTDS, 1864 г., Это состояние репликации для следующего раздела каталога на локальном контроллере домена. Раздел каталога: CN = Схема, CN = Конфигурация, DC = домен, DC = com

Последний выглядит так, как будто он имеет отношение к DC, который не был удален полностью. Когда я запустил dcdiag, он показал, что мы пытаемся выполнить репликацию с сервером, которого больше не существует. Я не думаю, что это вызовет у нас все эти проблемы с входом в систему.

Мне интересно, стоит ли нам установить другой DC или попробовать что-нибудь еще. Наши клиенты работают в основном с Windows 7, но есть и клиенты для XP и Vista.

Пропускная способность между ПК на разных сайтах составляет 37,4 Мб (только что проверено с помощью этой утилиты iperf).

Любая помощь приветствуется.

В вашем вопросе много места для других проблем, которые могут вызывать проблемы, но на первый взгляд (если вы достаточно уверены, что все остальное работает, как ожидалось), похоже, что вы можете быть хорошим примером для Контроллер домена только для чтения (RODC).

Это потребует обновления до Server 2008 для ваших контроллеров домена (что в любом случае является хорошей идеей; срок службы 2003 приближается к концу) и немного осторожности при настройке контроллера домена только для чтения, но это может хорошо решить ваши проблемы.

Да, вы можете просто установить еще один DC 2003 в удаленном офисе, но похоже, что там нет ИТ-специалистов, поэтому RODC может быть «безопаснее». Контроллеры домена только для чтения хороши там, где у вас может не быть ИТ-персонала, особенно если у вас нет безопасной и надежной зоны для сервера (без серверной комнаты / запираемых стоек, тенистых районов и т. Д.)

Также имейте в виду, что отображение дисков в сети потребляет пропускную способность и само по себе может стать основной причиной ваших проблем. Возможно, стоит изучить локальную реализацию решения для хранения данных (например, серверов DFS или CIFS).

Если вы еще этого не сделали, разделение вашей организации по местоположению (по сайтам или только по подразделениям) также может помочь вам в управлении трафиком и взаимодействием с пользователем.

У @gWaldo есть хорошая идея с точки зрения повышения надежности и обновления вашего устаревшего контроллера домена, но это «догадка», решит ли он проблему. @ Chris-S прав, комментируя, что пропускная способность (на первый взгляд) тоже не кажется проблемой.

Во-первых, вы должны убедиться, что соединение WAN является надежным, не имеет потери пакетов и имеет достаточно доступную полосу пропускания в течение дня.

Кроме того, недоступность контроллера домена не помешает клиенту Windows войти в систему (при условии, что GPO по умолчанию), потому что учетные данные кеша в домене позволяют вам войти. Это поможет, если вы разместите фактические ошибки, которые получают пользователи.

Для подключенных дисков, если они выполняются с помощью сценария входа, у вас практически нет возможности просматривать какие-либо журналы с этой информацией, но я бы функционально переместил это в настройки групповой политики, которые позволят вам сопоставить диски, сделать их постоянными, а также регистрировать в журналы событий клиента по любым вопросам. Проблемы с отображением могут заключаться в том, что либо они не могут получить сценарий, либо они не могут получить доступ к диску ... но это трудно сказать без регистрации.

Опять же, поддерживать постоянный ток постоянного тока и иметь один на удаленном участке «лучше», но это просто бросает дротики в стену этой конкретной проблемы. У меня было 70-100 удаленных сайтов на гораздо более низких скоростях WAN, при этом удаленный контроллер домена не работал нормально, пока соединение было надежным и имела доступную полосу пропускания.

Я бы определенно поставил еще один DC на удаленный сайт, чтобы обеспечить некоторую избыточность, если соединение между сайтами выйдет из строя.