Interações de domínio / domínio do Active Directory

Navegue suas respostas
2

Estou com um problema em torno da miríade de componentes do Active Directory, e espero obter algumas opiniões ou correções de alguém.

Em nosso local de trabalho, costumamos ter domínios e sites de diretórios ativos individuais para cada escritório diferente que possuímos. Cada local também tinha um par de controladores de domínio que era responsável por esse local e seria usado por qualquer estação nesse local para gerenciar autenticação, GPOs etc.

Recentemente, como parte de outro projeto, condensamos todos os nossos domínios em nosso antigo domínio de nível superior. Os sites em A / D permaneceram os mesmos, mas cada conta de usuário individual, computador, etc. foi movida para o domínio de nível superior. Cada par de DCs locais foi preterido para apenas um DC que era membro do domínio de nível superior.

Depois de terminar isso, nos deparamos com problemas em que estávamos obtendo uma replicação muito lenta entre os CDs. A questão secundária disso era que estações individuais ou usuários pareciam estar se autenticando contra qualquer DC que eles sentissem. Em uma única estação, descobri que o usuário foi autenticado em relação a um, estava recebendo DNS de outro e retirando GPOs de algum outro lugar (posso estar misturando isso, mas você entendeu). Parecia ser essencialmente aleatório que a DC seria contatada por uma determinada estação, mesmo que todos os DCs ainda fossem membros dos "sites" A / D apropriados.

Para remediar esse problema, fizemos todos os membros do DC do mesmo site de "nível superior" para que a replicação fosse essencialmente instantânea. Pode parecer um pouco estranho ter tantos DCs se reproduzindo perpetuamente uns para os outros, mas nós executamos uma configuração bem pequena, então não houve grandes preocupações.

Minha pergunta é: nós erramos em algum lugar? Atualmente estou trabalhando em uma instalação do SCCM, e só agora estou descobrindo que isso é (para colocar de ânimo leve) não a maneira recomendada da Microsoft para fazer as coisas. Minhas principais preocupações são:

1) Isso vai nos morder mais tarde, especialmente com a gente estar no meio de tentar instalar uma instalação estável do SCCM.

2) Alguém pode explicar por que os DCs foram atingidos aparentemente aleatoriamente por solicitações de autenticação, mesmo que os tivéssemos nos sites A / D correspondentes (o que, até onde eu sei, deve dar prioridade a solicitações locais de estações? dentro do mesmo site).

Obrigado!

    
por AtomicReaction 03.12.2013 / 18:20

1 resposta

2

Há um pouco demais para lidar com isso em uma única pergunta.

Primeiro, não comece a configurar o SCCM sem que o AD funcione corretamente. Sim, ele vai te morder mais tarde na estrada se você não corrigir o AD primeiro.

Segundo, mover seus DCs para o mesmo site não é um bom começo. Mova os DCs de volta para seus respectivos sites no AD, verifique se suas sub-redes estão definidas e atribuídas corretamente. Se você quiser gerenciar a replicação, dê uma olhada na definição de conectores de site específicos para atender às suas necessidades. Dê uma olhada na correção dos problemas de replicação antes de fazer algo drástico (dcdiag / etc para solucionar problemas). Verifique se o seu DNS está limpo e funcionando. Dê uma olhada nas configurações do DHCP para certificar-se de que os servidores DNS apropriados estejam sendo atribuídos às estações de trabalho. Certifique-se de que seus controladores de domínio estejam configurados com os servidores DNS corretos.

Se você quiser ir além disso, encontre um fornecedor respeitável para trabalhar com o seu, a fim de obter o ambiente certo.

    
por 03.12.2013 / 18:35

Tags

É seguro fazer um instantâneo de um RAID mdadm com apenas xfs_freeze? Problemas na montagem do compartilhamento NFS autenticado por Kerberos no CentOS 6.4