Por que os clientes em sites de filial insistem em acessar o SYSVOL no HQ DC em vez do RODC das filiais?

3

Ainda estou coçando a cabeça sobre esta situação ...

Você vê, temos 3 RW DCs no HQ e 1 RODC em todos os sites de filial (mais de 50 locais).

Durante a inicialização, um script extrairá alguns arquivos de \example.com\SYSVOL\example.com\Common\Data

Mas temos sofrido sobrecarga de largura de banda. Uma análise de tráfego indicou que muitos clientes nos sites de filiais estavam tentando acessar o SYSVOL localizado nos DCs de RW.

Por exemplo: Se os DCs RW forem 10.1.0.15, 10.2.0.15 e 10.3.0.15, e o site 'X' tiver uma sub-rede de 10.27.0.0/16 (com seu RODC em 10.27.0.15), os clientes no site 'X' parece insistir em acessar \10.1.0.15\SYSVOL ou \10.2.0.15\SYSVOL ou \10.3.0.15\SYSVOL ; eles parecem estar ignorando completamente o RODC.

O que está acontecendo aqui? Onde devo começar a investigar o que deu errado?

BTW, eu já estou usando o DFS-R, e a replicação está acontecendo com sucesso; Posso colocar um pequeno arquivo 'canary' em um dos DCs do RW, e em poucos minutos todos os RODCs terão replicado com sucesso o arquivo 'canary'.

Informações adicionais : se eu tentar fazer nslookup example.com , obtenho apenas os endereços dos DCs de RW. Nenhum dos endereços dos RODCs aparece.

Pergunta secundária: E se eu adicionar os endereços dos RODCs manualmente ao DNS? Eu vou estar encrencado?

    
por pepoluan 17.10.2012 / 18:45

2 respostas

3

Você precisa definir esses sites e sub-redes em Sites e Serviços do Active Directory e atribuir os Controladores de Domínio Somente Leitura aos sites específicos.

    
por 17.10.2012 / 18:50
1

Será que você está vendo o comportamento descrito neste artigo , em que os clientes emitem solicitações de DNS sem o site quando o código do localizador DC é executado. Seria interessante detectar o tráfego que sai de um cliente quando ele inicializa para ver como são as consultas DNS vindas do cliente. A redação desse artigo é menos que útil ("Se esse problema ocorrer em um ambiente no qual somente os DCs do hub para os registros SRV sem site são registrados no DNS e se o site da filial remota do computador cliente estiver desconectado do site do hub , então o computador cliente não consegue localizar um DC. "), mas vale a pena tentar.

Suponho que você não alterou as configurações padrão "PreferLogonDC" e "SiteCostedReferrals" (ambas são padrões normais no W2K8). Se você tiver, procure alterá-las de volta para configurações sãs.

    
por 18.10.2012 / 05:35