Назад | Перейти на главную страницу

Взаимодействие сайта / домена Active Directory

У меня возникла проблема, связанная с бесчисленным множеством компонентов Active Directory, и я надеюсь, что смогу получить от кого-то некоторые мнения или исправления.

На нашем рабочем месте у нас были отдельные домены и сайты Active Directory для каждого офиса, который у нас есть. У каждого местоположения также есть пара контроллеров домена, которые отвечают за это местоположение и будут использоваться любыми станциями в этом местоположении для управления аутентификацией, объектами групповой политики и т. Д.

Недавно в рамках другого проекта мы сконцентрировали все наши домены в нашем старом домене верхнего уровня. Сайты в A / D остались прежними, но каждая отдельная учетная запись пользователя, компьютер и т. Д. Были перемещены в домен верхнего уровня. Каждая пара локальных контроллеров домена устарела только для одного контроллера домена, который был членом домена верхнего уровня.

После этого мы столкнулись с проблемами, связанными с очень медленной репликацией между контроллерами домена. Второстепенная проблема заключалась в том, что отдельные станции или пользователи, казалось, проходили аутентификацию по любому DC, который они хотели. На одной станции я обнаружил, что пользователь прошел аутентификацию по одному, получал DNS от другого и извлекал объекты групповой политики откуда-то еще (я могу это перепутать, но вы поняли идею). Казалось, что это было по существу случайным, с каким DC будет связываться данная станция, даже несмотря на то, что все DC все еще были членами соответствующих "сайтов" A / D.

Чтобы решить эту проблему, мы сделали всех участников контроллера домена одним сайтом «верхнего уровня», чтобы репликация происходила практически мгновенно. Это может показаться неприятным, когда такое количество контроллеров домена постоянно реплицируются друг с другом, но мы используем довольно небольшую установку, поэтому не было никаких серьезных проблем.

Мой вопрос: мы где-то ошиблись? В настоящее время я работаю над установкой SCCM, и только сейчас я обнаружил, что это (мягко говоря) не рекомендуемый Microsoft способ делать что-то. Мои основные опасения:

1) Собирается ли это укусить нас позже в будущем, особенно когда мы пытаемся установить стабильную установку SCCM.

2) Может ли кто-нибудь объяснить, почему DC, казалось бы, получали случайные запросы аутентификации, даже если у нас они были на их соответствующих сайтах A / D (что, насколько мне известно, должно давать им приоритет для локальных запросов от станций в пределах одного и того же сайт).

Спасибо!

Слишком много всего, чтобы действительно разобраться в одном вопросе.

Во-первых, не приступайте к настройке SCCM, пока AD не заработает правильно. Да, он укусит вас позже, если вы сначала не исправите AD.

Во-вторых, перенос всех DC на один и тот же сайт - не лучшее начало. Переместите контроллеры домена обратно на соответствующие сайты в AD, убедитесь, что ваши подсети определены и назначены правильно. Если вы хотите управлять репликацией, обратите внимание на определение конкретных соединителей сайтов в соответствии с вашими потребностями. Взгляните на решение проблем репликации, прежде чем делать что-нибудь радикальное (dcdiag / и т. Д. Для устранения неполадок). Убедитесь, что ваш DNS чистый и работает. Взгляните на настройки DHCP, чтобы убедиться, что правильные DNS-серверы назначаются рабочим станциям. Убедитесь, что ваш DC настроен на правильные DNS-серверы.

Если вы хотите выйти за рамки этого, найдите поставщика с хорошей репутацией, который поможет вам улучшить вашу среду.