Есть ли какой-либо конкретный способ заставить машины аутентифицироваться в глобальном каталоге на их собственном сайте? У меня есть сайт, где машины часто аутентифицируются сборщиком мусора на удаленном сайте (подключенном через частную WAN-ссылку 4 МБ), а не их локальный.
Я попытался установить параметр групповой политики, который заставляет машины подключаться к определенному сайту, вместо того, чтобы определять сайт через свою подсеть.
Я предполагаю, что это не должно быть такой проблемой, поскольку групповые политики все равно будут извлекаться из локальной папки \\ domain \ sysvol их сайта.
У тебя есть сайты и подсети правильно настроить в оснастке «Active Directory - сайты и службы»?
Если у вас нет настроенных сайтов, машины будут просто выполнять круговую аутентификацию robbin на любом сервере в домене, поскольку AD считает, что все машины находятся на одном сайте.
Как только вы настроите свои сайты и свяжете с ними подсети, это поведение прекратится.
Поскольку сайты и службы настроены правильно, единственная причина, по которой вы будете выполнять аутентификацию с контроллером домена за пределами вашего сайта, будет, если клиент не сможет подключиться к локальному контроллеру домена.
Я буду:
Фактически мы обнаружили, что групповые политики также могут быть получены с удаленного контроллера домена, что намного медленнее, чем аутентификация. Даже по WAN-каналу аутентификация при входе в систему должна быть относительно быстрой. Применение групповых политик пользователей во время входа на рабочую станцию будет заметно медленнее, а групповые политики машин повторно применяются каждые 90 минут по умолчанию.
Некоторым людям удалось изменить параметр реестра под названием DNSAvoidRegisterRecords. Однако, прежде чем исследовать это, вы должны сначала убедиться, что все DNS-записи и зоны вашего домена и сайта верны и правильно обновляются, рабочие станции используют свой локальный DNS-сервер объявлений и что у вас нет конфигурации, которая могла бы усложнить это, например как DC с несколькими сетевыми картами. Вы также должны настроить захват пакетов, чтобы подтвердить, когда и как часто используются удаленные контроллеры постоянного тока, а также для проверки результата любых изменений.
Такое поведение может быть нормальным, если контроллер домена на локальном сайте недоступен или не отвечает, клиенты должны попытаться использовать другой DC. Единственное, чего вам не нужно, - это конфигурация с одним доступным постоянным током.
Описание записей DNS, которые применяются к контроллерам домена и глобальным каталогам, см.
Как оптимизировать расположение контроллера домена или глобального каталога, которые находятся на другом сайте
http://support.microsoft.com/kb/306602
Обычно это можно сделать, не регистрируя некоторые записи, вручную указав другие записи, относящиеся к dc / gc, с желаемым приоритетом. Приоритет DNS указывает клиентам использовать запись SRV с самым низким приоритетом для dc / gc, если серверы с низким приоритетом не отвечают.
В следующей статье описывается типичное использование настройки веса DNS и приоритета записей SRV для контроллеров домена:
http://technet.microsoft.com/en-us/library/cc787370%28WS.10%29.aspx