Estou pensando que o armazenamento em cache do Universal Group Membership é o que você precisa analisar.
Eu cuido de grande parte da TI para uma empresa de cerca de 100 pessoas, espalhadas por cerca de cinco sites em todo o mundo. Estamos usando o Active Directory para autenticação, principalmente para sistemas Linux (CentOS 5) via LDAP.
Estamos sofrendo uma série de eventos em que o túnel de IP entre os dois principais sites fica inativo e o controlador de domínio secundário em um site não pode entrar em contato com o controlador de domínio primário no outro. Parece que o controlador de domínio secundário começa a negar a autenticação do usuário em minutos após perder a conectividade com o principal.
Como podemos tornar o controlador de domínio secundário mais resiliente ao tempo de inatividade? Existe uma maneira de armazenar em cache o diretório inteiro e / ou pelo menos manter informações suficientes localmente para sobreviver a uma desconexão de várias horas?
(Estamos todos em uma única unidade organizacional, se isso fizer alguma diferença.)
(Os servidores aqui são Windows Server 2003R2; não assuma que configuramos isso corretamente. Sou engenheiro de software e não especialista em TI.)
Você tem apenas 100 usuários. Portanto, o seu diretório ativo é pequeno. Apenas certifique-se de que seus sites sejam divididos de acordo com sites e serviços e faça todos os seus catálogos globais de filiais remotas. Não haverá sobrecarga adicional (pelos padrões atuais) no espaço em disco ou no uso da CPU ou na largura de banda. Se a linha ficar inativa, os usuários ainda poderão se autenticar no domínio.
Isso parece um bom caso de uso para os sites do Active Directory. Sites são como o Active Directory fornece reconhecimento de rede para a estrutura da árvore. Existem várias respostas aqui para saber como lidar com os Sites, mas aqui está um resumo rápido.
Seus controladores de domínio são todos iguais (1), ao contrário do WinNT, não há nenhum controlador de domínio primário / de backup. O Active Directory usa a sub-rede IP para determinar qual site você pertence, o que significa que você precisa inseri-lo em algum lugar. Em qual site um DC está, é determinado por sua sub-rede IP. Se os DCs estiverem em Sites diferentes, haverá uma Política de Replicação criada entre os sites que determina com que frequência a replicação acontece entre eles. Por padrão, esta política afirma que a replicação acontece a cada 4 horas e é facilmente alterada.
Sites são como você permite que sua rede tolere interrupções de rede estendidas em seus links WAN. Em geral, se você tiver um link de WAN e o escritório na outra extremidade desse link de WAN não puder diminuir durante a interrupção, esse escritório precisará de um site e de um controlador de domínio. Graças a estar em um site diferente, a DC poderá tolerar uma interrupção de até 4 horas sem perceber que aconteceu (2).
Se você estiver disposto a atualizar seus CDs para 2008, terá outra opção na forma de DCs somente de leitura.
(1) A menos que você esteja executando o Server 2008 ou melhor, quando os controladores de domínio somente leitura forem introduzidos. Mas você ainda não chegou lá.
(2) Há algumas coisas que são replicadas imediatamente, como a senha muda , mas pelo design elas são pequenas.