Jam*_*mes 8 windows windows-server-2003 active-directory domain-controller
我在一个站点中有两个域控制器 (Windows 2003),我支持的大部分部门都位于该站点。我的部门也有另一栋大楼(在另一个地点),但他们没有 DC。
这可能是当公司分布在多个站点时是否安装额外 DC 的经典问题。
我们一直在遇到各种问题,例如登录脚本未映射驱动器和用户在被允许之前多次登录失败(即使他们输入了正确的密码)。
我在客户端上收到不同的错误。他们之中有一些是 :
Netlogon, 5719,由于以下原因,此计算机无法与域 domain.com 中的域控制器建立安全会话: 当前没有可用的登录服务器来为登录请求提供服务。这可能会导致身份验证问题。确保此计算机已连接到网络。如果问题仍然存在,请联系您的域管理员。
GroupPolicy, 1055,组策略处理失败。Windows 无法解析计算机名称。这可能是由以下多个原因之一引起的: a) 当前域控制器上的名称解析失败。b) Active Directory 复制延迟(在另一个域控制器上创建的帐户尚未复制到当前域控制器)。
在服务器上,我不断收到这些错误:
Netlogon, 5722, 来自计算机 SOMEPCNAME 的会话设置未能验证。安全数据库中引用的帐户名称是 SOMEPCNAME$。发生以下错误:访问被拒绝。
*(以上错误在同一台计算机上不断重复。可能只需要将其重新添加到域中。)*
NTDS 复制,1864,这是本地域控制器上以下目录分区的复制状态。目录分区:CN=Schema,CN=Configuration,DC=domain,DC=com
最后一个看起来与未完全移除的 DC 有关。当我运行 dcdiag 时,它显示我们正在尝试使用不再存在的服务器进行复制。我不认为这会导致我们遇到所有这些登录问题。
我想知道我们是否应该安装另一个 DC 或尝试其他的东西。我们的客户端主要运行 Windows 7,但也有一些 XP 和 Vista 客户端。
不同站点上的 PC 之间的带宽看起来为 37.4 Mbs(刚刚使用此实用程序 iperf 进行了验证)。
任何帮助表示赞赏。
您的问题中有很大的空间可以让其他问题导致问题,但从表面上看(如果您相当确定其他一切都按预期工作),您听起来可能是只读域的好例子控制器(RODC)。
这将需要为您的 DC 升级到 Server 2008(无论如何,这是一个好主意;2003 年即将结束),并且在设置 RODC 时需要稍加注意,但它可以很好地解决您的问题。
是的,您可以在远程办公室再设置一个 2003 DC,但听起来那里没有 IT 人员,因此 RODC 可能“更安全”。RODC 在您可能没有 IT 人员的情况下非常有用,尤其是如果您没有安全可靠的服务器区域(没有服务器机房/可上锁的机架、阴凉的街区等)
还要记住,通过网络映射驱动器会消耗带宽,而这本身可能是导致问题的主要原因。调查存储解决方案(例如 DFS 或 CIFS 服务器)的本地实施可能是值得的。
如果您还没有,根据位置(无论是站点还是仅 OU)分离您的组织也可以帮助您管理流量和用户体验。
@gWaldo 在提高可靠性和更新过时的 DC 方面有一个好主意,但对于它是否能解决问题还是一个“猜测”。@Chris-S 的评论是正确的,即带宽(乍一看)听起来也不是问题。
首先,您应该确保 WAN 连接可靠、无数据包丢失,并且全天有充足的可用带宽。
此外,不可用的 DC 不会阻止 Windows 客户端登录(假设默认 GPO),因为域上的缓存凭据可以让您进入。如果您发布了用户收到的实际错误,这将会有所帮助。
对于映射驱动器,如果它们是通过登录脚本完成的,那么您几乎无法看到有关该信息的任何日志,但我会将其功能移至组策略首选项,这将允许您映射驱动器,使它们持久化,并记录有关任何问题的客户端事件日志。您的映射问题可能是他们无法获取脚本,或者他们无法访问驱动器......但如果没有日志记录就很难分辨。
再次强调,保持 DC 的电流并在远程站点拥有一个“更好”,但这只是在这个特定问题上投掷飞镖。我有 70-100 个远程站点,WAN 速度要低得多,只要连接可靠并且有可用带宽,没有远程 DC 就可以正常工作。
| 归档时间: |
|
| 查看次数: |
2310 次 |
| 最近记录: |