Como eu faço no controlador de domínio ser usado mais para fazer logon do que outro controlador de domínio na mesma rede?

3

Atualmente, estou trabalhando em um ambiente em que há 2 DCs em execução e outro DC que é um backup, mas está em execução também, de modo que, se os outros 2 falharem, o backup terá tudo necessário para ser executado com êxito.

O problema que estou encontrando atualmente (realmente não é um problema muito grande, apenas o cliente gostaria que ele fosse executado de uma determinada maneira) é que, quando alguns usuários fazem login, eles estão recebendo suas diretivas de grupo da Recuperação de Desastres DC. A razão pela qual isso está acontecendo é porque eles estão todos na mesma rede com a mesma máscara de sub-rede, etc.

A minha pergunta é: existe alguma forma de, quando um utilizador iniciar sessão, o computador estar mais inclinado a ir para os 2 DC's principais do que para o Disaster Recovery DC?

Seria com as métricas do roteamento, ou há uma certa parte do servidor que eu posso ligar e torná-lo o servidor mais "dominante".

Os servidores são servidores do Windows 2k8 em execução como VMs. Qualquer informação mais necessária eu posso conseguir.

Obrigado!

    
por Joe Archer 26.10.2012 / 18:13

3 respostas

5

Seu cliente está fazendo errado. Não existe um DC de "recuperação de desastre". para todos os efeitos, todos os DCs são iguais. Você está permitindo que a falta de compreensão de seu cliente conduza esse cenário quando você deveria educá-lo. Sem entrar nos caprichos dos detentores de papéis FSMO, catálogos globais, autenticação e autorização AD, cobertura do Site, replicação, etc., etc. e todos os outros detalhes minuciosos da função e operação do AD, simplesmente direi que você não precisa de um DC de "recuperação de desastres"; que o termo "DC de recuperação de desastre" é anátema para as pessoas que entendem o funcionamento da DA; e que você deve parar imediatamente e se instruir sobre os pontos mais delicados do Active Directory antes de prosseguir com qualquer modificação.

    
por 26.10.2012 / 18:40
5

Se você estiver realmente usando o segundo DC como um DC de "recuperação de desastre", mova-o para um segundo site em Serviços e Sites do AD. Isso fará com que os clientes se autentiquem no DC "mais próximo". Eu normalmente configuro dois CDs para recuperação de desastres, mas permito que os clientes usem os dois.

Se você estiver extraindo GPOs diferentes do servidor de DR, algo está muito errado com sua configuração. Os GPOs devem ser sincronizados em todos os servidores dentro de minutos após serem alterados.

    
por 26.10.2012 / 19:20
3

Você pode alterar os pesos das entradas em _msdcs.seudominio.com para tornar o Disaster Recovery DC menos preferido. Por padrão, eles terão o mesmo peso e os clientes farão round-robin entre eles.

Eu não recomendo manualmente futzing com suas entradas de DNS do controlador de domínio no entanto. Seria mais limpo mover o DR DC para um site separado no ADSS.

    
por 26.10.2012 / 18:25