Necessidade de outro controlador de domínio

8

Eu tenho dois controladores de domínio (Windows 2003) em um site onde a maior parte do departamento que eu suporte reside. Há outro prédio (em outro local) onde meu departamento também reside, mas eles não têm CD.

Esta é provavelmente uma questão clássica de instalar um CD adicional quando uma empresa está espalhada por vários sites.

Estamos passando por vários problemas, como login scripts que não mapeiam unidades e que usuários não conseguem fazer login várias vezes antes de entrarem (mesmo que estejam digitando a senha correta).

Estou recebendo erros diferentes nos clientes. Alguns deles são:

Netlogon, 5719 , Este computador não pôde configurar uma sessão segura com um controlador de domínio no domínio domain.com devido ao seguinte: Atualmente, não há servidores de logon disponíveis para atender à solicitação de logon. Isso pode levar a problemas de autenticação. Certifique-se de que este computador esteja conectado à rede. Se o problema persistir, por favor, contate o administrador de seu domínio.

GroupPolicy, 1055, O processamento da Diretiva de Grupo falhou. O Windows não pôde resolver o nome do computador. Isso pode ser causado por um dos seguintes procedimentos: a) Falha na resolução de nomes no controlador de domínio atual. b) Latência de replicação do Active Directory (uma conta criada em outro controlador de domínio não foi replicada para o controlador de domínio atual).

Nos servidores, recebo esses erros:

Netlogon, 5722, A configuração da sessão do computador SOMEPCNAME falhou ao autenticar. O (s) nome (s) da (s) conta (s) referenciada (s) no banco de dados de segurança é SOMEPCNAME $. O seguinte erro ocorreu: Acesso negado.

* (este erro acima continua se repetindo para o mesmo computador. Provavelmente, só é necessário adicioná-lo novamente ao domínio.) *

NTDS Replication, 1864, Este é o status de replicação da seguinte partição de diretório no controlador de domínio local. Partição de diretório: CN = Esquema, CN = Configuração, DC = domínio, DC = com

Este último parece ter a ver com um DC que não foi completamente removido. Quando eu corri o dcdiag, ele mostrou que estamos tentando replicar com um servidor que não existe mais. Eu não acho que isso nos faria ter todos esses problemas de logon.

Eu estou querendo saber se devemos instalar outro DC ou tentar outra coisa. Nossos clientes executam principalmente o Windows 7, mas também há alguns clientes XP e Vista.

A largura de banda parece ser de 37,4 Mbs entre PCs nos diferentes sites (apenas verificado com este utilitário iperf).

Qualquer ajuda é apreciada.

    
por James 10.02.2012 / 15:15

3 respostas

2

@gWaldo tem uma boa ideia em termos de aumentar a confiabilidade e atualizar seu DC desatualizado, mas é um "palpite" se isso resolverá o problema. @ Chris-S está correto em comentar que a largura de banda (à primeira vista) também não parece ser o problema.

Primeiro, você deve garantir que a conexão WAN seja confiável, não tenha perda de pacotes e tenha ampla largura de banda disponível ao longo do dia.

Além disso, um DC que não está disponível não impedirá um login do cliente Windows (assumindo GPOs padrão) porque as credenciais de cache em um domínio permitem que você entre. Seria útil se você postasse os erros reais que os usuários estão recebendo.

Para unidades mapeadas, se forem feitas pelo script de login, você terá pouca ou nenhuma capacidade de ver quaisquer logs sobre essas informações, mas eu as moverei para as Preferências de Diretiva de Grupo, que permitirão mapear unidades, torná-las persistentes e também registra nos logs de eventos do cliente sobre quaisquer problemas. Seus problemas de mapeamento podem ser ou eles não podem obter o script, ou eles não podem acessar a unidade ... mas é difícil dizer sem registrar.

Novamente, manter o DC atualizado e ter um no site remoto é "melhor", mas é apenas jogar dardos na parede desta edição específica. Eu tive 70-100 sites remotos em velocidades muito menores de WAN, sem que nenhum DC remoto agisse tão bem, desde que a conexão fosse confiável e tivesse largura de banda disponível.

    
por 10.02.2012 / 18:02
7

Há muito espaço na sua pergunta para outros problemas estarem causando problemas, mas na superfície (se você estiver bastante certo de que todo o resto está funcionando como esperado) você parece ser um bom caso para um < href="http://technet.microsoft.com/pt-br/library/cc732801%28WS.10%29.aspx"> RODC (controlador de domínio somente leitura) .

Isso exigiria a atualização para o Server 2008 para seus DCs (o que é uma boa ideia, de qualquer maneira; 2003 está se aproximando do fim da vida) e um pouco de cuidado ao configurar o RODC, mas poderia resolver bem seus problemas.

Sim, você poderia simplesmente configurar outro DC 2003 no escritório remoto, mas parece que não há uma presença de TI lá, portanto, um RODC pode ser "mais seguro". Os RODCs são bons onde você pode não ter uma equipe de TI, especialmente se você não tiver uma área segura para o servidor (nenhuma sala de servidores / racks com chave, vizinhança com sombra, etc)

Lembre-se também de que o mapeamento de unidades na rede consumirá largura de banda e, por si só, poderá ser uma das principais causas de seus problemas. Pode valer a pena investigar uma implementação local de uma solução de armazenamento (como servidores DFS ou CIFS).

Se você ainda não o fez, separar sua organização com base no local (seja por Sites ou apenas UOs) também poderá ajudar no gerenciamento do tráfego e da experiência do usuário.

    
por 10.02.2012 / 15:23
0

Eu definitivamente colocaria outra dc no site remoto para fornecer alguma redundância caso a conexão entre os sites falhasse.

    
por 10.02.2012 / 15:22