Cần một bộ điều khiển miền khác

8

Tôi có hai bộ điều khiển miền (Windows 2003) trong một trang web nơi hầu hết các bộ phận tôi hỗ trợ cư trú. Có một tòa nhà khác (tại một trang web khác) nơi bộ phận của tôi cũng cư trú, nhưng họ không có DC.

Đây có lẽ là một câu hỏi kinh điển về việc có nên cài đặt một DC bổ sung khi một công ty trải rộng trên nhiều trang web.

Chúng tôi đã gặp phải nhiều vấn đề khác nhau như tập lệnh đăng nhập không ánh xạ ổ đĩa và người dùng không đăng nhập nhiều lần trước khi cho phép (mặc dù họ đang nhập đúng mật khẩu).

Tôi đang nhận được các lỗi khác nhau trên máy khách. Một số trong số họ là:

Netlogon, 5719 , Máy tính này không thể thiết lập phiên bảo mật với bộ điều khiển miền trong miền domain.com do những điều sau: Hiện tại không có máy chủ đăng nhập để phục vụ yêu cầu đăng nhập. Điều này có thể dẫn đến các vấn đề xác thực. Hãy chắc chắn rằng máy tính này được kết nối với mạng. Nếu vấn đề vẫn tồn tại, xin vui lòng liên hệ với quản trị viên tên miền của bạn.

GroupPolicy, 1055, Việc xử lý Chính sách nhóm không thành công. Windows không thể giải quyết tên máy tính. Điều này có thể được gây ra bởi một trong những điều sau đây: a) Lỗi phân giải tên trên bộ điều khiển miền hiện tại. b) Độ trễ sao chép thư mục hoạt động (tài khoản được tạo trên bộ điều khiển miền khác chưa được sao chép sang bộ điều khiển miền hiện tại).

Trên các máy chủ tôi liên tục nhận được các lỗi này:

Netlogon, 5722, Thiết lập phiên từ máy tính SOMEPCNAME không thể xác thực. Tên của (các) tài khoản được tham chiếu trong cơ sở dữ liệu bảo mật là SOMEPCNAME $. Xảy ra lỗi sau: Truy cập bị từ chối.

* (lỗi ở trên cứ lặp đi lặp lại cho cùng một máy tính. Có lẽ chỉ cần thêm lại lỗi này vào miền.) *

Bản sao NTDS, 1864, Đây là trạng thái sao chép cho phân vùng thư mục sau trên bộ điều khiển miền cục bộ. Phân vùng thư mục: CN = Schema, CN = Cấu hình, DC = domain, DC = com

Cái cuối cùng này có vẻ như phải làm với một DC chưa bị loại bỏ hoàn toàn. Khi tôi chạy dcdiag, nó cho thấy rằng chúng tôi đang cố gắng sao chép với một máy chủ không còn tồn tại nữa. Tôi không nghĩ rằng điều này sẽ khiến chúng ta có tất cả những vấn đề đăng nhập này.

Tôi đang tự hỏi liệu chúng ta nên cài đặt một DC khác hoặc thử một cái gì đó khác. Các máy khách của chúng tôi chạy hầu hết các cửa sổ 7, nhưng cũng có một số máy khách XP và Vista.

Băng thông có vẻ là 37,4 Mbs giữa các PC trên các trang web khác nhau (vừa được xác minh với tiện ích iperf này).

Bất kỳ trợ giúp được đánh giá cao.

windows-server-2003  active-directory  domain-controller  windows 
James
nguồn
Bất cứ điều gì trên 10Mb với độ trễ hợp lý sẽ đủ nhanh để bạn không "cần" một DC ở vị trí khác. Trước tiên tôi sẽ kiểm tra các sự cố trong mạng, nhưng bạn có thể muốn có một DC ở đó vì nhiều lý do.
Chris S
Cảm ơn các đầu vào. Tôi cảm thấy rằng băng thông này là quá đủ nhưng một cái gì đó (rất có thể là mạng) tiếp tục can thiệp vào quá trình đăng nhập.
James
Nếu bạn không thể xác thực qua kết nối, tôi nghi ngờ việc sao chép qua kết nối sẽ là một thách thức không kém.
Jim B

Câu trả lời:

2

@gWaldo có một ý tưởng tốt về việc tăng độ tin cậy và cập nhật DC lỗi thời của bạn, nhưng đó là một "phỏng đoán" như thể nó sẽ khắc phục vấn đề. @ Chris-S là chính xác trong nhận xét rằng băng thông (thoạt nhìn) không có vẻ như đó là vấn đề.

Trước tiên, bạn nên đảm bảo rằng kết nối WAN đáng tin cậy, không bị mất gói và có băng thông rộng khắp cả ngày.

Ngoài ra, DC không khả dụng sẽ không ngăn đăng nhập máy khách Windows (giả sử GPO mặc định) vì thông tin đăng nhập bộ đệm trên tên miền cho phép bạn tham gia. Sẽ rất hữu ích nếu bạn đăng các lỗi thực tế mà người dùng đang mắc phải.

Đối với các ổ đĩa được ánh xạ, nếu chúng được thực hiện bằng tập lệnh đăng nhập thì bạn sẽ không có khả năng xem bất kỳ nhật ký nào về thông tin đó, nhưng tôi sẽ chuyển chức năng đó sang Tùy chọn chính sách nhóm sẽ cho phép bạn ánh xạ ổ đĩa, làm cho chúng bền bỉ và cũng đăng nhập để nhật ký sự kiện khách hàng về bất kỳ vấn đề. Các vấn đề lập bản đồ của bạn có thể là họ không thể nhận được tập lệnh hoặc họ không thể truy cập vào ổ đĩa ... nhưng khó có thể nói mà không đăng nhập.

Một lần nữa, giữ cho DC hiện tại và có một cái ở vị trí xa là "tốt hơn" nhưng chỉ là ném phi tiêu vào bức tường của vấn đề cụ thể này. Tôi đã có 70-100 trang web từ xa với tốc độ mạng WAN thấp hơn nhiều mà không có hoạt động của DC từ xa miễn là kết nối đáng tin cậy và có băng thông khả dụng.

Bret Fisher
nguồn
1
Cảm ơn những hiểu biết của bạn. Tôi liên tục nhận được lỗi NTDS kcc, netlogon và chính sách nhóm như mô tả ở trên. Chúng tôi đang chạy tên miền trong chế độ hỗn hợp 2000. Có vẻ như đã đến lúc nâng cấp.
James
Nếu DC cũ nhất của bạn đang chạy 2003 thì bạn có thể nâng cấp chế độ rừng và miền thành 2003 gốc ngay bây giờ. 2000 Chế độ hỗn hợp thường không tốt vì nó cho phép các bộ điều khiển miền NT 4 không an toàn và không dành cho các mạng hiện đại.
Bret Fisher
Có thể có khả năng người dùng không thể đăng nhập hoặc trao đổi 2003 bị rối nếu tôi chuyển sang bản gốc 2003 không? Trao đổi có thể sẽ hạnh phúc hơn trong bản địa, nhưng chỉ cần kiểm tra. Cảm ơn.
James
không có gì là chắc chắn nhưng không có lý do duy nhất tôi có thể nghĩ đến để giữ 2000 hỗn hợp là NT4 DC. Phiên bản rừng / miền của bạn không liên quan (trực tiếp) đến cách mọi thứ xác thực ... nó liên quan đến cách DC nói chuyện với nhau và các tính năng mới của Active Directory.
Bret Fisher
7

Có rất nhiều chỗ trong câu hỏi của bạn cho các vấn đề khác đang gây ra vấn đề, nhưng trên bề mặt (nếu bạn khá chắc chắn rằng mọi thứ khác đang hoạt động như mong đợi) bạn có vẻ như là một trường hợp tốt cho Miền chỉ đọc Bộ điều khiển (RODC) .

Điều này đòi hỏi phải nâng cấp lên Server 2008 cho các DC của bạn (dù sao đó cũng là một ý tưởng hay; 2003 sắp hết tuổi thọ) và một chút quan tâm trong việc thiết lập RODC, nhưng nó có thể giải quyết tốt các vấn đề của bạn.

Có, bạn chỉ có thể thiết lập một DC 2003 khác trong văn phòng từ xa, nhưng có vẻ như không có sự hiện diện của CNTT ở đó, vì vậy RODC có thể 'an toàn hơn'. RODC rất tốt khi bạn không có nhân viên CNTT, đặc biệt là nếu bạn không có khu vực an toàn và an toàn cho máy chủ (không có phòng máy chủ / giá đỡ có khóa, khu phố râm mát, v.v.)

Ngoài ra, hãy nhớ rằng việc ánh xạ các ổ đĩa qua mạng sẽ ăn hết băng thông và chính nó có thể là nguyên nhân chính gây ra vấn đề của bạn. Có thể đáng để điều tra việc triển khai cục bộ một giải pháp lưu trữ (như máy chủ DFS hoặc CIFS).

Nếu bạn chưa có, việc tách tổ chức của bạn dựa trên vị trí (cho dù theo Trang web hoặc chỉ các OU) cũng có thể giúp bạn quản lý lưu lượng truy cập và trải nghiệm người dùng.

galdaldo
nguồn
Điều này nghe có vẻ như là một ý tưởng thực sự tốt. Nâng cấp lên một tên miền 2008 dường như là một dự án lớn hơn mà tôi đã hy vọng. Cám ơn vì sự gợi ý!
James
Trên thực tế, Nâng cấp AD ít hơn nhiều so với nâng cấp Windows lên 2008; nó khá đơn giản, mặc dù tôi khuyên bạn nên đọc tài liệu và lập danh sách kiểm tra trước khi bắt đầu. Tương tự như vậy với RODC; nó không khó, nhưng có một quy trình phải tuân theo.
gWaldo
2
@gWaldo hỗ trợ chính đã kết thúc vào năm ngoái cho windows 2k3 - không chỉ gần EOL mà nó đã ở giai đoạn hỗ trợ mở rộng.
Jim B
Cảm ơn; Tôi không cảm thấy như đang tìm kiếm trạng thái hỗ trợ. #lifeistooshort
gWaldo
0

Tôi chắc chắn sẽ đặt một dc khác tại trang web từ xa để cung cấp một số dự phòng nếu kết nối giữa các trang bị lỗi.

Mitch
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.