Benötigen Sie einen anderen Domänencontroller

8

Ich habe zwei Domänencontroller (Windows 2003) an einem Standort, an dem sich der größte Teil der von mir unterstützten Abteilung befindet. Es gibt ein anderes Gebäude (an einem anderen Ort), in dem sich auch meine Abteilung befindet, aber sie haben keinen DC.

Dies ist wahrscheinlich eine klassische Frage, ob ein zusätzlicher DC installiert werden soll, wenn ein Unternehmen auf mehrere Standorte verteilt ist.

Es sind verschiedene Probleme aufgetreten, z. B. Anmeldeskripts, bei denen Laufwerke nicht zugeordnet werden, und Benutzer, die sich vor dem Einlassen nicht mehrmals anmelden (obwohl sie das richtige Kennwort eingeben).

Ich bekomme verschiedene Fehler auf den Clients. Einige von ihnen sind :

Netlogon, 5719 , Dieser Computer konnte aus folgenden Gründen keine sichere Sitzung mit einem Domänencontroller in domain domain.com einrichten: Derzeit sind keine Anmeldeserver verfügbar, um die Anmeldeanforderung zu bearbeiten. Dies kann zu Authentifizierungsproblemen führen. Stellen Sie sicher, dass dieser Computer mit dem Netzwerk verbunden ist. Wenn das Problem weiterhin besteht, wenden Sie sich an Ihren Domain-Administrator.

GroupPolicy, 1055, Die Verarbeitung der Gruppenrichtlinie ist fehlgeschlagen. Windows konnte den Computernamen nicht auflösen. Dies kann durch eine der folgenden Ursachen verursacht werden: a) Fehler bei der Namensauflösung auf dem aktuellen Domänencontroller. b) Active Directory-Replikationslatenz (ein auf einem anderen Domänencontroller erstelltes Konto wurde nicht auf den aktuellen Domänencontroller repliziert).

Auf den Servern erhalte ich immer wieder folgende Fehler:

Netlogon, 5722, Das Sitzungssetup vom Computer SOMEPCNAME konnte nicht authentifiziert werden. Die Namen der Konten, auf die in der Sicherheitsdatenbank verwiesen wird, lauten SOMEPCNAME $. Der folgende Fehler ist aufgetreten: Der Zugriff wird verweigert.

* (Dieser Fehler wiederholt sich immer wieder für denselben Computer. Wahrscheinlich muss er nur erneut zur Domäne hinzugefügt werden.) *

NTDS-Replikation, 1864, Dies ist der Replikationsstatus für die folgende Verzeichnispartition auf dem lokalen Domänencontroller. Verzeichnispartition: CN = Schema, CN = Konfiguration, DC = Domäne, DC = com

Letzteres scheint mit einem DC zu tun zu haben, der nicht vollständig entfernt wurde. Als ich dcdiag ausführte, zeigte sich, dass wir versuchen, mit einem Server zu replizieren, der nicht mehr existiert. Ich glaube nicht, dass dies zu all diesen Anmeldeproblemen führen würde.

Ich frage mich, ob wir einen anderen DC installieren oder etwas anderes ausprobieren sollen. Unsere Clients verwenden hauptsächlich Windows 7, aber es gibt auch einige XP- und Vista-Clients.

Die Bandbreite zwischen PCs an den verschiedenen Standorten scheint 37,4 MBit / s zu betragen (dies wurde nur mit diesem Dienstprogramm iperf überprüft).

Jede Hilfe wird geschätzt.

windows-server-2003 active-directory domain-controller windows James
quelle
Alles über 10 MB mit angemessener Latenz sollte schnell genug sein, damit Sie am anderen Standort keinen DC "benötigen". Ich würde zuerst nach Problemen im Netzwerk suchen, aber vielleicht möchten Sie dort aus verschiedenen Gründen einen DC.
Chris S
Danke für die Eingabe. Ich bin der Meinung, dass diese Bandbreite mehr als ausreichend ist, aber etwas (höchstwahrscheinlich das Netzwerk) stört den Anmeldevorgang immer wieder.
James
Wenn Sie sich nicht über die Verbindung authentifizieren können, ist die Replikation über die Verbindung vermutlich eine ebenso schwierige Herausforderung.
Jim B

Antworten:

2

@gWaldo hat eine gute Idee, um die Zuverlässigkeit zu erhöhen und Ihren veralteten DC zu aktualisieren, aber es ist eine "Vermutung", ob das Problem dadurch behoben wird. @ Chris-S hat den richtigen Kommentar, dass die Bandbreite (auf den ersten Blick) auch nicht so klingt, als wäre es das Problem.

Zunächst sollten Sie sicherstellen, dass die WAN-Verbindung zuverlässig ist, keinen Paketverlust aufweist und den ganzen Tag über ausreichend Bandbreite zur Verfügung steht.

Auch ein nicht verfügbarer Domänencontroller verhindert nicht die Anmeldung eines Windows-Clients (unter der Annahme von Standard-Gruppenrichtlinienobjekten), da Sie durch Cache-Anmeldeinformationen in einer Domäne zugelassen werden. Es wäre hilfreich, wenn Sie die tatsächlichen Fehler veröffentlichen würden, die die Benutzer erhalten.

Wenn zugeordnete Laufwerke über ein Anmeldeskript erstellt werden, können Sie kaum oder gar keine Protokolle zu diesen Informationen anzeigen. Ich würde dies jedoch funktional in die Gruppenrichtlinieneinstellungen verschieben, mit denen Sie Laufwerke zuordnen, dauerhaft erstellen und auch protokollieren können zu den Client-Ereignisprotokollen bei allen Problemen. Ihre Zuordnungsprobleme können entweder darin bestehen, dass sie das Skript nicht abrufen können oder nicht auf das Laufwerk zugreifen können ... aber ohne Protokollierung schwer zu erkennen.

Auch hier ist es "besser", DCs Strom zu halten und einen an einem entfernten Standort zu haben, aber es wirft nur Pfeile gegen die Wand dieses speziellen Problems. Ich hatte 70-100 Remote-Standorte mit viel niedrigeren WAN-Geschwindigkeiten, ohne dass Remote-DCs einwandfrei funktionieren, solange die Verbindung zuverlässig war und über verfügbare Bandbreite verfügte.

Bret Fisher
quelle
1
Vielen Dank für Ihre Erkenntnisse. Ich erhalte weiterhin NTDS-kcc-, Netlogon- und Gruppenrichtlinienfehler, wie oben beschrieben. Wir führen die Domain im gemischten Modus 2000 aus. Es klingt wie es Zeit ist, ein Upgrade durchzuführen.
James
Wenn auf Ihrem ältesten DC 2003 ausgeführt wird, können Sie den Gesamtstruktur- und Domänenmodus jetzt auf 2003 native aktualisieren. Der 2000 Mixed-Modus ist im Allgemeinen schlecht, da er NT 4-Domänencontroller zulässt, die unsicher sind und nicht für moderne Netzwerke gedacht sind.
Bret Fisher
Könnte es eine Möglichkeit geben, dass Benutzer sich nicht anmelden oder 2003 austauschen können, wenn ich zu Native 2003 wechsle? Exchange wird in Native wahrscheinlich glücklicher sein, aber nur überprüfen. Vielen Dank.
James
Nichts ist sicher, aber nein, der einzige Grund, warum ich mir vorstellen kann, 2000 gemischt zu bleiben, sind NT4-DCs. Ihre Gesamtstruktur- / Domänenversion hängt nicht (direkt) davon ab, wie sich die Dinge authentifizieren. Sie hängt davon ab, wie DCs miteinander kommunizieren und welche neuen Funktionen Active Directory bietet.
Bret Fisher
7

In Ihrer Frage ist viel Platz, damit andere Probleme Probleme verursachen, aber an der Oberfläche (wenn Sie ziemlich sicher sind, dass alles andere wie erwartet funktioniert) scheinen Sie ein guter Fall für eine schreibgeschützte Domain zu sein Controller (RODC) .

Dies würde ein Upgrade auf Server 2008 für Ihre Domänencontroller erfordern (was ohnehin eine gute Idee ist; 2003 nähert sich dem Ende der Lebensdauer) und ein wenig Sorgfalt bei der Einrichtung des RODC, könnte jedoch Ihre Probleme gut lösen.

Ja, Sie könnten einfach einen weiteren 2003 DC im Remote-Büro einrichten, aber es scheint, dass dort keine IT-Präsenz vorhanden ist, sodass ein RODC möglicherweise „sicherer“ ist. RODCs eignen sich gut, wenn Sie möglicherweise kein IT-Personal haben, insbesondere wenn Sie keinen sicheren Bereich für den Server haben (kein Serverraum / abschließbare Racks, schattige Nachbarschaft usw.).

Beachten Sie auch, dass die Zuordnung von Laufwerken über das Netzwerk die Bandbreite verschlingt und für sich genommen eine Hauptursache für Ihre Probleme sein kann. Es kann sinnvoll sein, eine lokale Implementierung einer Speicherlösung (z. B. DFS- oder CIFS-Server) zu untersuchen.

Wenn Sie dies noch nicht getan haben, kann die Trennung Ihrer Organisation nach Standort (ob nach Standorten oder nur nach Organisationseinheiten) Ihnen auch bei der Verwaltung des Datenverkehrs und der Benutzererfahrung helfen.

gWaldo
quelle
Das klingt nach einer wirklich guten Idee. Ein Upgrade auf eine Domain von 2008 scheint ein größeres Projekt zu sein, als ich es mir erhofft hatte. Danke für den Vorschlag!
James
Tatsächlich ist das Aktualisieren von AD weniger wichtig als das Aktualisieren von Windows auf 2008. Es ist ziemlich einfach, obwohl ich empfehle, die Dokumente zu lesen und eine Checkliste zu erstellen, bevor Sie sie starten. Ebenso mit dem RODC; Es ist nicht schwer, aber es gibt ein Verfahren zu befolgen.
GWaldo
2
Der @ gWaldo-Mainstream-Support für Windows 2k3 wurde letztes Jahr beendet - er befindet sich nicht nur in der Nähe von EOL, sondern befindet sich bereits in der erweiterten Support-Phase.
Jim B
Vielen Dank; Ich hatte keine Lust, den Support-Status nachzuschlagen. #lifeistooshort
gWaldo
0

Ich würde definitiv einen weiteren Gleichstrom am Remote-Standort installieren, um Redundanz zu gewährleisten, falls die Verbindung zwischen den Standorten fehlschlägt.

Mitch
quelle