Besoin d'un autre contrôleur de domaine

8

J'ai deux contrôleurs de domaine (Windows 2003) sur un seul site où réside la plupart des services que je soutiens. Il y a un autre bâtiment (sur un autre site) où réside également mon service, mais ils n'ont pas de DC.

Il s'agit probablement d'une question classique de savoir s'il faut installer un contrôleur de domaine supplémentaire lorsqu'une entreprise est répartie sur plusieurs sites.

Nous avons rencontré divers problèmes tels que les scripts de connexion ne mappant pas les lecteurs et les utilisateurs ne se connectant pas plusieurs fois avant d'être autorisés (même s'ils tapent le bon mot de passe).

Je reçois des erreurs différentes sur les clients. Certains d'entre eux sont :

Netlogon, 5719 , Cet ordinateur n'a pas pu configurer une session sécurisée avec un contrôleur de domaine dans le domaine domain.com en raison des éléments suivants: Il n'y a actuellement aucun serveur d'ouverture de session disponible pour traiter la demande d'ouverture de session. Cela peut entraîner des problèmes d'authentification. Assurez-vous que cet ordinateur est connecté au réseau. Si le problème persiste, veuillez contacter votre administrateur de domaine.

GroupPolicy, 1055, Le traitement de la stratégie de groupe a échoué. Windows n'a pas pu résoudre le nom de l'ordinateur. Cela peut être dû à l'un des éléments suivants: a) Échec de la résolution de noms sur le contrôleur de domaine actuel. b) Latence de réplication Active Directory (un compte créé sur un autre contrôleur de domaine n'a pas été répliqué sur le contrôleur de domaine actuel).

Sur les serveurs, je reçois toujours ces erreurs:

Netlogon, 5722, La configuration de la session à partir de l'ordinateur SOMEPCNAME n'a pas pu s'authentifier. Le nom du ou des comptes référencés dans la base de données de sécurité est SOMEPCNAME $. L'erreur suivante s'est produite: l'accès est refusé.

* (cette erreur ci-dessus se répète pour le même ordinateur. Il suffit probablement de l'ajouter à nouveau au domaine.) *

Réplication NTDS, 1864, Il s'agit de l'état de réplication de la partition d'annuaire suivante sur le contrôleur de domaine local. Partition d'annuaire: CN = schéma, CN = configuration, DC = domaine, DC = com

Ce dernier semble avoir à voir avec un DC qui n'a pas été complètement supprimé. Lorsque j'ai exécuté dcdiag, cela a montré que nous essayons de répliquer avec un serveur qui n'existe plus. Je ne pense pas que cela nous causerait cependant tous ces problèmes de connexion.

Je me demande si nous devrions installer un autre DC ou essayer autre chose. Nos clients utilisent principalement Windows 7, mais il existe également des clients XP et Vista.

La bande passante semble être de 37,4 Mo entre les PC des différents sites (vient d'être vérifiée avec cet utilitaire iperf).

Toute aide est appréciée.

windows-server-2003 active-directory domain-controller windows James
la source
Tout ce qui dépasse 10 Mo avec une latence raisonnable devrait être suffisamment rapide pour que vous n'ayez pas "besoin" d'un DC à l'autre emplacement. Je vérifierais d'abord les problèmes dans le réseau, mais vous voudrez peut-être un contrôleur de domaine pour diverses raisons de toute façon.
Chris S
Merci pour la contribution. Je pense que cette bande passante est plus que suffisante mais quelque chose (très probablement le réseau) continue d'interférer avec le processus de connexion.
James
Si vous ne pouvez pas vous authentifier via la connexion, je soupçonne que la réplication via la connexion serait un défi tout aussi difficile.
Jim B

Réponses:

2

@gWaldo a une bonne idée en termes d'augmentation de la fiabilité et de mise à jour de votre DC obsolète, mais c'est une "supposition" pour savoir si cela résoudra le problème. @ Chris-S a raison de dire que la bande passante (à première vue) ne semble pas non plus être le problème.

Vous devez d'abord vous assurer que la connexion WAN est fiable, sans perte de paquets et avec une large bande passante disponible tout au long de la journée.

De plus, un contrôleur de domaine non disponible n'empêchera pas une connexion client Windows (en supposant que les objets de stratégie de groupe par défaut) parce que les informations d'identification du cache sur un domaine vous permettent d'entrer. Cela aiderait si vous publiez les erreurs réelles que les utilisateurs obtiennent.

Pour les lecteurs mappés, s'ils sont effectués par un script de connexion, vous avez peu ou pas de possibilité de voir les journaux sur ces informations, mais je les déplacerais fonctionnellement dans les préférences de stratégie de groupe qui vous permettront de mapper les lecteurs, de les rendre persistants et de journaliser également dans les journaux des événements client sur tous les problèmes. Vos problèmes de mappage pourraient être soit qu'ils ne peuvent pas obtenir le script, soit qu'ils ne peuvent pas accéder au lecteur ... mais difficile à dire sans se connecter.

Encore une fois, garder DC à jour et en avoir un sur un site distant est "mieux" mais jette simplement des fléchettes sur le mur de ce problème spécifique. J'ai eu 70 à 100 sites distants sur des vitesses WAN beaucoup plus faibles sans aucun acte de DC distant, tant que la connexion était fiable et avait une bande passante disponible.

Bret Fisher
la source
1
Merci pour vos idées. Je continue à obtenir des erreurs NTDS kcc, netlogon et de stratégie de groupe comme décrit ci-dessus. Nous exécutons le domaine en mode mixte 2000. Il semble qu'il soit temps de mettre à niveau.
James
Si votre plus ancien contrôleur de domaine exécute 2003, vous pouvez mettre à niveau le mode forêt et domaine vers 2003 natif dès maintenant. 2000 Le mode mixte est généralement mauvais car il autorise les contrôleurs de domaine NT 4, ce qui n'est pas sûr et n'est pas destiné aux réseaux modernes.
Bret Fisher
Pourrait-il y avoir une possibilité que les utilisateurs ne soient pas en mesure de se connecter ou d'échanger 2003 se gâcher si je passe en 2003 natif? Exchange sera probablement plus heureux en natif, mais juste en vérifiant. Merci.
James
rien n'est certain, mais la seule raison pour laquelle je peux penser à rester 2000 mélangé est NT4 DC. Votre version de forêt / domaine n'est pas liée (directement) à la façon dont les choses s'authentifient ... elle est liée à la façon dont les DC se parlent et aux nouvelles fonctionnalités d'Active Directory.
Bret Fisher
7

Il y a beaucoup de place dans votre question pour que d'autres problèmes causent des problèmes, mais en surface (si vous êtes assez certain que tout le reste fonctionne comme prévu), vous semblez être un bon cas pour un domaine en lecture seule Contrôleur (RODC) .

Cela nécessiterait une mise à niveau vers Server 2008 pour vos contrôleurs de domaine (ce qui est une bonne idée, de toute façon; 2003 approche de la fin de la vie), et un peu de soin lors de la configuration du contrôleur de domaine en lecture seule, mais cela pourrait bien résoudre vos problèmes.

Oui, vous pouvez simplement configurer un autre contrôleur de domaine 2003 dans le bureau distant, mais il semble qu'il n'y ait pas de présence informatique là-bas, donc un RODC peut être «plus sûr». Les RODC sont bons lorsque vous n'avez pas de personnel informatique, surtout si vous ne disposez pas d'un espace sûr et sécurisé pour le serveur (pas de salle de serveurs / racks verrouillables, quartier ombragé, etc.)

Gardez également à l'esprit que le mappage des disques sur le réseau va consommer de la bande passante et pourrait en soi être une cause majeure de vos problèmes. Il peut être utile d'étudier une implémentation locale d'une solution de stockage (comme les serveurs DFS ou CIFS).

Si vous ne l'avez pas déjà fait, la séparation de votre organisation en fonction de l'emplacement (que ce soit par sites ou uniquement par unités d'organisation) pourrait également vous aider à gérer le trafic et l'expérience utilisateur.

gWaldo
la source
Cela semble être une très bonne idée. La mise à niveau vers un domaine 2008 semble être un projet plus important que ce que j'espérais. Merci pour la suggestion!
James
En fait, la mise à niveau d'AD est moins importante que la mise à niveau de Windows vers 2008; c'est assez simple, bien que je recommande de lire les documents et de faire une liste de contrôle avant de le démarrer. De même avec le RODC; ce n'est pas difficile, mais il y a une procédure à suivre.
gWaldo
2
Le support général @gWaldo a pris fin l'année dernière pour Windows 2k3 - ce n'est pas seulement près d'EOL, il est déjà dans la phase de support étendu.
Jim B
Merci; Je n'avais pas envie de chercher son statut de support. #lifeistooshort
gWaldo
0

Je mettrais certainement un autre CC sur le site distant pour fournir une certaine redondance en cas d'échec de la connexion entre les sites.

Mitch
la source