Perlu Pengontrol Domain lain

8

Saya memiliki dua pengontrol domain (Windows 2003) di satu situs di mana sebagian besar departemen yang saya dukung berada. Ada bangunan lain (di situs lain) tempat departemen saya tinggal juga, tetapi mereka tidak punya DC.

Ini mungkin pertanyaan klasik apakah akan menginstal DC tambahan ketika perusahaan tersebar di beberapa situs.

Kami telah mengalami berbagai masalah seperti skrip login yang tidak memetakan drive dan pengguna gagal login beberapa kali sebelum diizinkan masuk (meskipun mereka mengetikkan kata sandi yang tepat).

Saya mendapatkan berbagai kesalahan pada klien. Beberapa dari mereka adalah :

Netlogon, 5719 , Komputer ini tidak dapat mengatur sesi aman dengan pengontrol domain di domain domain.com karena hal-hal berikut: Saat ini tidak ada server masuk yang tersedia untuk melayani permintaan masuk. Ini dapat menyebabkan masalah otentikasi. Pastikan komputer ini terhubung ke jaringan. Jika masalah berlanjut, hubungi administrator domain Anda.

GroupPolicy, 1055, Pemrosesan Kebijakan Grup gagal. Windows tidak dapat menyelesaikan nama komputer. Ini dapat disebabkan oleh salah satu dari beberapa hal berikut ini: a) Kegagalan resolusi nama pada pengontrol domain saat ini. b) Latensi Replikasi Direktori Aktif (akun yang dibuat pada pengontrol domain lain belum direplikasi ke pengontrol domain saat ini).

Di server saya terus mendapatkan kesalahan ini:

Netlogon, 5722, Setup sesi dari komputer SOMEPCNAME gagal diautentikasi. Nama akun yang dirujuk dalam basis data keamanan adalah SOMEPCNAME $. Kesalahan berikut terjadi: Akses ditolak.

* (kesalahan di atas ini terus berulang untuk komputer yang sama. Mungkin hanya perlu menambahkan ini kembali ke domain.) *

Replikasi NTDS, 1864, Ini adalah status replikasi untuk partisi direktori berikut pada pengontrol domain lokal. Partisi direktori: CN = Skema, CN = Konfigurasi, DC = domain, DC = com

Yang terakhir ini sepertinya ada hubungannya dengan DC yang tidak sepenuhnya dihapus. Ketika saya menjalankan dcdiag, itu menunjukkan bahwa kami mencoba mereplikasi dengan server yang tidak ada lagi. Saya tidak berpikir ini akan menyebabkan kita memiliki semua masalah masuk ini.

Saya bertanya-tanya apakah kita harus menginstal DC lain atau mencoba sesuatu yang lain. Klien kami kebanyakan menjalankan windows 7, tetapi ada beberapa klien XP dan Vista juga.

Bandwidth tampaknya 37,4 Mbs antara PC di situs yang berbeda (hanya diverifikasi dengan iperf utilitas ini).

Bantuan apa pun dihargai.

James
sumber
Apa pun lebih dari 10 MB dengan latensi yang masuk akal harus cukup cepat sehingga Anda tidak "membutuhkan" DC di lokasi lain. Saya akan memeriksa masalah di jaringan terlebih dahulu, tetapi Anda mungkin menginginkan DC di sana karena berbagai alasan.
Chris S
Terima kasih atas masukannya. Saya merasa bahwa bandwidth ini lebih dari cukup tetapi sesuatu (kemungkinan besar jaringan) terus mengganggu proses masuk.
James
Jika Anda tidak dapat mengautentikasi koneksi, saya curiga replikasi di seluruh koneksi akan menjadi tantangan yang sama sulitnya.
Jim B

Jawaban:

2

@ gWaldo memiliki ide yang bagus dalam hal meningkatkan keandalan dan memperbarui DC Anda yang sudah ketinggalan zaman, tetapi ini merupakan "tebakan" untuk apakah itu akan memperbaiki masalah. @ Chris-S benar dalam komentar bahwa bandwidth (sekilas) tidak terdengar seperti itu masalahnya juga.

Pertama, Anda harus memastikan bahwa koneksi WAN dapat diandalkan, tidak memiliki paket loss, dan memiliki bandwidth yang cukup sepanjang hari.

Juga DC tidak tersedia tidak akan mencegah login klien Windows (dengan asumsi GPO default) karena kredensial cache pada domain memungkinkan Anda. Ini akan membantu jika Anda memposting kesalahan aktual yang didapat pengguna.

Untuk drive yang dipetakan, jika dilakukan dengan skrip login maka Anda memiliki sedikit atau tidak ada kemampuan untuk melihat log tentang info itu, tetapi saya akan memindahkannya secara fungsional ke Preferensi Kebijakan Grup yang akan memungkinkan Anda memetakan drive, membuatnya tetap, dan juga mencatat ke log peristiwa klien tentang masalah apa pun. Masalah pemetaan Anda bisa jadi mereka tidak bisa mendapatkan skrip, atau mereka tidak dapat mengakses drive ... tetapi sulit untuk mengatakan tanpa login.

Sekali lagi, menjaga arus DC dan memilikinya di lokasi yang jauh "lebih baik" tetapi hanya melempar anak panah ke dinding masalah khusus ini. Saya sudah memiliki 70-100 situs jarak jauh pada kecepatan WAN yang jauh lebih rendah tanpa tindakan DC jarak jauh dengan baik selama koneksi dapat diandalkan dan memiliki bandwidth yang tersedia.

Bret Fisher
sumber
1
Terima kasih atas wawasan Anda. Saya terus mendapatkan NTDS kcc, netlogon dan kesalahan kebijakan grup seperti yang dijelaskan di atas. Kami menjalankan domain dalam 2000 mode campuran. Sepertinya sudah waktunya untuk meningkatkan.
James
Jika DC tertua Anda menjalankan tahun 2003 maka Anda dapat memutakhirkan mode hutan dan domain ke versi asli 2003 sekarang. 2000 Mode campuran umumnya buruk karena memungkinkan untuk pengontrol domain NT 4 yang tidak aman dan tidak dimaksudkan untuk jaringan modern.
Bret Fisher
Mungkinkah ada kemungkinan pengguna tidak dapat login atau bertukar 2003 menjadi kacau jika saya beralih ke asli 2003? Pertukaran mungkin akan lebih bahagia di asli, tetapi hanya memeriksa. Terima kasih.
James
tidak ada yang pasti tetapi tidak ada satu-satunya alasan saya bisa memikirkan untuk tetap campuran 2000 adalah NT4 DC. Versi hutan / domain Anda tidak terkait (langsung) dengan cara hal-hal mengotentikasi ... itu terkait dengan bagaimana DC berbicara satu sama lain dan fitur-fitur baru dari Active Directory.
Bret Fisher
7

Ada banyak ruang dalam pertanyaan Anda untuk masalah lain yang menyebabkan masalah, tetapi di permukaan (jika Anda cukup yakin bahwa segala sesuatu yang lain berfungsi seperti yang diharapkan) Anda terdengar seperti Anda mungkin merupakan kasus yang baik untuk Domain Read-Only Pengendali (RODC) .

Ini akan memerlukan peningkatan ke Server 2008 untuk DC Anda (yang merupakan ide yang bagus, 2003; mendekati akhir hidup), dan sedikit perhatian dalam menyiapkan RODC, tetapi itu bisa menyelesaikan masalah Anda dengan baik.

Ya, Anda bisa membuat DC 2003 di kantor jarak jauh, tapi sepertinya tidak ada IT di sana, jadi RODC mungkin lebih aman. RODC bagus di mana Anda mungkin tidak memiliki staf TI, terutama jika Anda tidak memiliki area yang aman dan terlindungi untuk server (tidak ada ruang server / rak yang bisa dikunci, lingkungan teduh, dll.)

Juga perlu diingat bahwa pemetaan drive melalui jaringan akan memakan bandwidth, dan dengan sendirinya bisa menjadi penyebab utama masalah Anda. Mungkin bermanfaat untuk menyelidiki implementasi lokal dari solusi penyimpanan (seperti server DFS atau CIFS).

Jika Anda belum melakukannya, memisahkan organisasi Anda berdasarkan lokasi (apakah berdasarkan Situs atau hanya OU) juga dapat membantu Anda mengelola lalu lintas dan pengalaman pengguna.

gWaldo
sumber
Ini kedengarannya ide yang sangat bagus. Melakukan upgrade ke domain 2008 sepertinya proyek yang lebih besar daripada yang saya harapkan. Terima kasih untuk sarannya!
James
Sebenarnya, Memutakhirkan AD kurang penting daripada memutakhirkan Windows ke 2008; itu cukup sederhana, meskipun saya sarankan membaca dokumen dan membuat daftar periksa sebelum memulainya. Begitu juga dengan RODC; tidak sulit, tetapi ada prosedur untuk diikuti.
gWaldo
2
Dukungan mainstream @ gWaldo berakhir tahun lalu untuk windows 2k3 - tidak hanya di dekat EOL tetapi sudah dalam fase dukungan lanjutan.
Jim B
Terima kasih; Saya tidak merasa ingin melihat status dukungannya. #lifeistooshort
gWaldo
0

Saya pasti akan meletakkan dc lain di situs remote untuk memberikan redundansi jika koneksi antara situs gagal.

Mitch
sumber