Necessidade de outro controlador de domínio

8

Eu tenho dois controladores de domínio (Windows 2003) em um site onde reside a maior parte do departamento que suporte. Há outro prédio (em outro local) onde meu departamento também reside, mas eles não têm CD.

Essa é provavelmente uma pergunta clássica sobre a instalação de um controlador de domínio adicional quando uma empresa está espalhada por vários sites.

Estamos enfrentando vários problemas, como scripts de login, que não mapeiam unidades e usuários que não conseguem fazer login várias vezes antes de serem autorizados a entrar (mesmo digitando a senha correta).

Estou recebendo erros diferentes nos clientes. Alguns deles são :

Netlogon, 5719 , Este computador não pôde configurar uma sessão segura com um controlador de domínio no domínio domain.com devido ao seguinte: Atualmente, não há servidores de logon disponíveis para atender à solicitação de logon. Isso pode levar a problemas de autenticação. Verifique se este computador está conectado à rede. Se o problema persistir, por favor, contate o administrador de seu domínio.

GroupPolicy, 1055, O processamento da Diretiva de Grupo falhou. O Windows não conseguiu resolver o nome do computador. Isso pode ser causado por um dos seguintes procedimentos: a) Falha na resolução de nomes no controlador de domínio atual. b) Latência de replicação do Active Directory (uma conta criada em outro controlador de domínio não foi replicada no controlador de domínio atual).

Nos servidores, continuo recebendo esses erros:

Logon de rede, 5722, Falha na instalação da sessão do computador SOMEPCNAME. O nome da (s) conta (s) mencionada (s) no banco de dados de segurança é SOMEPCNAME $. Ocorreu o seguinte erro: Acesso negado.

* (este erro acima continua repetindo para o mesmo computador. Provavelmente, você só precisa adicioná-lo novamente ao domínio.) *

Replicação NTDS, 1864, é o status de replicação da seguinte partição de diretório no controlador de domínio local. Partição de diretório: CN = Esquema, CN = Configuração, DC = domínio, DC = com

Este último parece ter a ver com um DC que não foi completamente removido. Quando executei o dcdiag, ele mostrou que estamos tentando replicar com um servidor que não existe mais. Eu não acho que isso nos levaria a ter todos esses problemas de logon.

Gostaria de saber se devemos instalar outro controlador de domínio ou tentar outra coisa. Nossos clientes executam principalmente o Windows 7, mas também existem alguns clientes XP e Vista.

A largura de banda parece ter 37,4 Mbs entre PCs nos diferentes sites (apenas verificado com este utilitário iperf).

Qualquer ajuda é apreciada.

windows-server-2003 active-directory domain-controller windows James
fonte
Qualquer coisa acima de 10 Mb com latência razoável deve ser rápida o suficiente para que você não "precise" de um controlador de domínio no outro local. Eu verificaria problemas na rede primeiro, mas você pode querer um controlador de domínio por lá por vários motivos.
21412 Chris Smith S
Obrigado pela contribuição. Eu sinto que essa largura de banda é mais do que adequada, mas algo (provavelmente a rede) continua interferindo no processo de logon.
James
Se você não conseguir se autenticar na conexão, suspeito que a replicação na conexão seja um desafio igualmente difícil.
10132 Jim B

Respostas:

2

O @gWaldo tem uma boa ideia em termos de aumento da confiabilidade e atualização do seu CD desatualizado, mas é um "palpite" para resolver o problema. @ Chris-S está correto ao comentar que a largura de banda (à primeira vista) também não parece ser o problema.

Primeiro, você deve garantir que a conexão WAN seja confiável, sem perda de pacotes e com ampla largura de banda disponível ao longo do dia.

Além disso, um controlador de domínio não estar disponível não impedirá o logon do cliente Windows (assumindo GPOs padrão) porque as credenciais de cache em um domínio permitem a entrada. Seria útil se você publicasse os erros reais que os usuários estão recebendo.

Para unidades mapeadas, se elas forem feitas por script de logon, você terá pouca ou nenhuma capacidade de ver logs sobre essas informações, mas eu as moveria funcionalmente para Preferências de Diretiva de Grupo que permitirão mapear unidades, torná-las persistentes e também registrar nos logs de eventos do cliente em qualquer problema. Seus problemas de mapeamento podem ser: eles não podem obter o script ou não podem acessar a unidade ... mas são difíceis de entender sem fazer logon.

Mais uma vez, manter a DC atualizada e ter uma em local remoto é "melhor", mas está apenas jogando dardos na parede desse problema específico. Eu tive de 70 a 100 sites remotos em velocidades WAN muito mais baixas, sem que os controladores remotos controlassem, desde que a conexão fosse confiável e tivesse largura de banda disponível.

Bret Fisher
fonte
1
Obrigado por suas idéias. Continuo recebendo erros de diretiva de grupo NTK kcc, netlogon e grupo, conforme descrito acima. Estamos executando o domínio no modo misto 2000. Parece que é hora de atualizar.
James
Se o seu controlador de domínio mais antigo estiver executando o 2003, você poderá atualizar o modo de floresta e domínio para o nativo do 2003 agora. O modo misto 2000 geralmente é ruim, pois permite controladores de domínio NT 4, o que é inseguro e não destinado a redes modernas.
Bret Fisher
Poderia haver alguma possibilidade de os usuários não conseguirem logar ou trocar o 2003 ficando bagunçados se eu mudar para o 2003 nativo? O Exchange provavelmente será mais feliz em nativo, mas apenas verificando. Obrigado.
James
nada é certo, mas não é a única razão pela qual consigo pensar em 2000 misturados: NT4 DC's. Sua versão de floresta / domínio não está relacionada (diretamente) à forma como as coisas se autenticam ... está relacionada à maneira como os controladores de serviço conversam entre si e aos novos recursos do Active Directory.
Bret Fisher
7

Há muito espaço em sua pergunta para que outros problemas causem problemas, mas aparentemente (se você tiver certeza de que tudo está funcionando como o esperado), parece que pode ser um bom argumento para um domínio somente leitura Controlador (RODC) .

Isso exigiria a atualização para o Server 2008 para seus controladores de domínio (que é uma boa idéia; pelo menos, 2003 está chegando ao fim da vida útil) e um pouco de cuidado na configuração do RODC, mas isso pode resolver seus problemas também.

Sim, você pode simplesmente configurar outro controlador de domínio de 2003 no escritório remoto, mas parece que não há uma presença de TI lá; portanto, um RODC pode ser mais seguro. Os RODCs são bons onde você pode não ter uma equipe de TI, especialmente se você não tiver uma área segura para o servidor (sem sala de servidores / racks com trava, vizinhança sombria, etc.)

Lembre-se também de que o mapeamento de unidades na rede consumirá largura de banda e, por si só, pode ser uma das principais causas de seus problemas. Pode valer a pena investigar uma implementação local de uma solução de armazenamento (como servidores DFS ou CIFS).

Se você ainda não o fez, separar sua organização com base no local (por Sites ou apenas OUs) também pode ajudá-lo a gerenciar o tráfego e a experiência do usuário.

gWaldo
fonte
Parece uma boa ideia. Atualizar para um domínio de 2008 parece ser um projeto maior do que eu esperava. Obrigado pela sugestão!
James
Na verdade, atualizar o AD é menos importante do que atualizar o Windows para 2008; é bem simples, embora eu recomendo ler os documentos e fazer uma lista de verificação antes de iniciá-la. Da mesma forma com o RODC; não é difícil, mas existe um procedimento a seguir.
gWaldo
2
O suporte principal do @gWaldo terminou no ano passado para o Windows 2k3 - ele não está apenas perto da EOL, já está na fase de suporte estendido.
Jim B
Obrigado; Não tinha vontade de procurar o status de suporte. #lifeistooshort
gWaldo
0

Definitivamente, eu colocaria outro controlador de domínio no site remoto para fornecer alguma redundância caso a conexão entre os sites falhasse.

Mitch
fonte