Como forçar as máquinas em um site do AD a se autenticarem em um GC em seu próprio site

2

Existe alguma maneira específica de fazer com que as máquinas sejam autenticadas no Catálogo Global em seu próprio site? Eu tenho um site onde as máquinas são frequentemente autenticadas por um GC em um site remoto (conectado por meio de um link WAN privado de 4 MB), em vez de seu local.

Eu tentei definir a opção de política de grupo que força as máquinas em um site específico, em vez de determinar o site por meio de sua sub-rede.

Acho que não deve ser um problema, pois as políticas de grupo ainda serão recuperadas do compartilhamento local \\ domain \ sysvol de seu site.

    
por Daniel.S 03.02.2010 / 07:02

2 respostas

1

Na verdade, descobrimos que as políticas de grupo também podem ser extraídas de um controlador de domínio remoto, que é muito mais lento que a autenticação. Mesmo em um link wan, a autenticação durante um logon deve ser relativamente rápida. A aplicação de políticas de grupo de usuários durante um logon de estação de trabalho seria notavelmente mais lenta, e as políticas de grupo de máquinas são reaplicadas a cada 90 minutos por padrão.

Algumas pessoas tiveram sucesso ajustando uma configuração de registro chamada DNSAvoidRegisterRecords. Antes de investigar isso, no entanto, você deve primeiro verificar se todos os registros e zonas do DNS do domínio e do site estão corretos e atualizados adequadamente, se as estações de trabalho estão usando o servidor de dns local e se você não tem uma configuração que possa complicar isso, como um dc com várias placas de rede. Você também deve configurar uma captura de pacote para confirmar quando e com que freqüência os CCs remotos estão sendo usados e para validar o resultado de quaisquer alterações.

Esse comportamento pode ser normal se o controlador de domínio no site local não estiver disponível ou não estiver respondendo, os clientes devem tentar usar outro dc. Uma coisa que você não quer é uma configuração com apenas um dc disponível.

Para obter uma descrição dos registros DNS que se aplicam a controladores de domínio e catálogos globais, consulte:

Como otimizar a localização de um controlador de domínio ou catálogo global que resida em outro site em link

Geralmente, isso pode ser feito não registrando alguns registros, especificando manualmente outros registros específicos de dc / gc, com a prioridade desejada. A prioridade do DNS direciona os clientes a usar o registro SRV de menor prioridade para um dc / gc, a menos que os servidores de baixa prioridade não estejam respondendo.

O artigo a seguir descreve um uso típico de ajuste de peso do DNS e prioridade de registros SRV para controladores de domínio:

link

    
por 03.02.2010 / 13:01
4

Você tem seus sites e sub-redes configurados corretamente em "Sites e serviços do Active Directory "Snap-in?

Se você não tiver a configuração de sites, as máquinas apenas farão a autenticação do robbin contra qualquer servidor no domínio, já que o AD acha que todas as máquinas estão no mesmo site.

Depois de configurar seus sites e associar as sub-redes a eles, esse comportamento será interrompido.

Como os sites e serviços são configurados corretamente - a única razão pela qual você estaria trabalhando contra um DC fora de seu site seria se o cliente não conseguisse se conectar a um DC local.

Eu gostaria de:

  • Verifique se nenhum firewall está bloqueando as portas do AD
  • Execute o dcdiag nos DCs
  • Executa o netdiag nos DCs
  • Verifique se há erros no log dos serviços de diretório.
por 03.02.2010 / 07:08