Pregunta Necesidad de otro controlador de dominio


Tengo dos controladores de dominio (Windows 2003) en un sitio donde reside la mayor parte del departamento que admito. Hay otro edificio (en otro sitio) donde también reside mi departamento, pero no tienen DC.

Esta es probablemente una pregunta clásica sobre si instalar un controlador de dominio adicional cuando una compañía está distribuida en varios sitios.

Hemos estado experimentando varios problemas, como los scripts de inicio de sesión que no asignan unidades y los usuarios que no logran iniciar sesión varias veces antes de que se les permita ingresar (aunque estén escribiendo la contraseña correcta)

Estoy recibiendo diferentes errores en los clientes. Algunos de ellos son :

Netlogon, 5719, Esta computadora no pudo configurar una sesión segura con un controlador de dominio en dominio dominio.com debido a lo siguiente: Actualmente no hay servidores de inicio de sesión disponibles para atender la solicitud de inicio de sesión. Esto puede conducir a problemas de autenticación. Asegúrese de que esta computadora esté conectada a la red. Si el prolema persiste, por favor, contacte a su administrador de dominio.

GroupPolicy, 1055, El procesamiento de la Política de Grupo falló. Windows no pudo resolver el nombre de la computadora. Esto podría ser causado por uno o más de los siguientes: a) Error de resolución de nombre en el controlador de dominio actual. b) Latencia de replicación de Active Directory (una cuenta creada en otro controlador de dominio no se ha replicado en el controlador de dominio actual).

En los servidores sigo recibiendo estos errores: 

Netlogon, 5722, La configuración de sesión desde la computadora SOMEPCNAME no pudo autenticarse. El nombre (s) de la (s) cuenta (s) a las que se hace referencia en la base de datos de seguridad es SOMEPCNAME $. El siguiente error ha ocurrido: Acceso denegado.

* (este error anterior sigue repitiéndose para la misma computadora. Probablemente solo sea necesario volver a agregar esto al dominio.) *

Replicación de NTDS, 1864, Este es el estado de replicación para la siguiente partición de directorio en el controlador de dominio local. Partición de directorio: CN = Esquema, CN = Configuración, DC = dominio, DC = com

Este último parece que tiene que ver con un DC que no se eliminó por completo. Cuando ejecuté dcdiag, se mostró que estamos intentando replicar con un servidor que ya no existe. Sin embargo, no creo que esto nos haga tener todos estos problemas de inicio de sesión.

Me pregunto si deberíamos instalar otro DC o probar algo más. Nuestros clientes ejecutan principalmente Windows 7, pero también hay algunos clientes XP y Vista.

El ancho de banda parece ser de 37,4 Mbs entre PC en los diferentes sitios (solo se verificó con esta utilidad iperf).

Cualquier ayuda es apreciada.


8
2018-02-10 14:15


origen


Cualquier cosa por encima de 10Mb con una latencia razonable debe ser lo suficientemente rápida para que no "necesite" un DC en la otra ubicación. Primero verificaría si hay problemas en la red, pero es posible que desee un DC allí por una variedad de razones de todos modos. - Chris S
Gracias por el aporte. Siento que este ancho de banda es más que adecuado, pero algo (lo más probable es que la red) interfiera con el proceso de inicio de sesión. - James
Si no puede autenticarse a través de la conexión, sospecho que la replicación a través de la conexión sería un desafío igualmente difícil. - Jim B


Respuestas:


@gWaldo tiene una buena idea en términos de aumentar la confiabilidad y actualizar su DC obsoleto, pero es una "suposición" de si solucionará el problema. @ Chris-S tiene razón al comentar que el ancho de banda (a primera vista) tampoco parece ser el problema.

Primero debe asegurarse de que la conexión WAN sea confiable, que no tenga pérdida de paquetes y que tenga un ancho de banda amplio disponible durante todo el día.

Además, un DC que no esté disponible no impedirá el inicio de sesión de un cliente de Windows (suponiendo que los GPO sean predeterminados) porque las credenciales de caché en un dominio le permiten ingresar. Le ayudaría si publicara los errores reales que están obteniendo los usuarios.

Para las unidades asignadas, si se realizan mediante secuencias de comandos de inicio de sesión, entonces tiene poca o ninguna capacidad para ver los registros sobre esa información, pero la movería funcionalmente a las Preferencias de directiva de grupo, lo que le permitirá asignar unidades, hacerlas persistentes y también registrar a los registros de eventos del cliente en cualquier problema. Sus problemas de asignación podrían ser que no pueden obtener la secuencia de comandos o que no pueden acceder a la unidad ... pero es difícil saberlo sin iniciar sesión.

Nuevamente, mantener el DC actual y tener uno en el sitio remoto es "mejor", pero simplemente está lanzando dardos al muro de este problema específico. He tenido de 70 a 100 sitios remotos con velocidades de WAN mucho más bajas, sin que los DC remotos actúen bien siempre y cuando la conexión fuera confiable y tuviera ancho de banda disponible.


2
2018-02-10 17:02



Gracias por sus ideas. Sigo recibiendo errores NTDS kcc, netlogon y políticas de grupo como se describe anteriormente. Estamos ejecutando el dominio en 2000 en modo mixto. Parece que es hora de actualizar. - James
Si su DC más antiguo está ejecutando 2003, puede actualizar el modo de bosque y dominio a 2003 nativo en este momento. 2000 El modo mixto es generalmente malo, ya que permite controladores de dominio NT 4, lo cual es inseguro y no está pensado para redes modernas. - Bret Fisher
¿Podría haber alguna posibilidad de que los usuarios no puedan iniciar sesión o intercambiarse en 2003 sin que se produzca un error si cambio a Native 2003? El intercambio será probablemente más feliz en nativo, pero solo comprobando. Gracias. - James
nada es seguro, pero no es la única razón por la que puedo pensar en permanecer mezclado en 2000 con NT4 DC. Su versión de bosque / dominio no está relacionada (directamente) con la forma en que se autentican las cosas ... está relacionada con la forma en que DC se comunica entre sí y las nuevas características de Active Directory. - Bret Fisher


Hay un montón de espacio en su pregunta para que otros problemas causen problemas, pero en la superficie (si está bastante seguro de que todo lo demás está funcionando como se esperaba) parece que puede ser un buen caso para un problema. Controlador de dominio de solo lectura (RODC).

Esto requeriría una actualización a Server 2008 para sus controladores de dominio (lo que es una buena idea, de todos modos, 2003 está llegando al final de su vida útil), y un poco de cuidado al configurar el RODC, pero podría resolver bien sus problemas.

Sí, podría configurar otro DC de 2003 en la oficina remota, pero parece que no hay presencia de TI allí, por lo que un RODC puede ser "más seguro". Los RODC son buenos donde puede que no tenga personal de TI, especialmente si no tiene un área segura para el servidor (no hay sala de servidores / racks con cerradura, vecindarios con sombra, etc.)

También tenga en cuenta que la asignación de unidades a través de la red consumirá ancho de banda, y por sí misma podría ser una causa importante de sus problemas. Puede valer la pena investigar una implementación local de una solución de almacenamiento (como los servidores DFS o CIFS).

Si aún no lo ha hecho, separar su organización según la ubicación (ya sea por Sitios o solo por OU) también podría ayudarlo a administrar el tráfico y la experiencia del usuario.


7
2018-02-10 14:23



Esto suena como una muy buena idea. La actualización a un dominio de 2008 parece un proyecto más grande de lo que esperaba. ¡Gracias por la sugerencia! - James
En realidad, la actualización de AD es menos importante que la actualización de Windows a 2008; es bastante simple, aunque recomiendo leer los documentos y hacer una lista de verificación antes de comenzar. Igualmente con el RODC; No es difícil, pero hay un procedimiento a seguir. - gWaldo
El soporte general de @gWaldo finalizó el año pasado para Windows 2k3: no solo está cerca de EOL, ya está en la fase de soporte extendido. - Jim B
Gracias; No tenía ganas de mirar hacia arriba su estado de apoyo. #la vida es demasiado corta - gWaldo


Definitivamente pondría otro dc en el sitio remoto para proporcionar cierta redundancia en caso de que falle la conexión entre los sitios.


0
2018-02-10 14:22