Нужен другой контроллер домена

У меня есть два контроллера домена (Windows 2003) на одном сайте, где находится большая часть отдела, который я поддерживаю. Есть еще одно здание (в другом месте), где также находится мой отдел, но у них нет DC.

Вероятно, это классический вопрос о том, стоит ли устанавливать дополнительный DC, когда компания распределена по нескольким сайтам.

Мы сталкивались с различными проблемами, такими как сценарии входа в систему, не сопоставляющие диски, и пользователи, которые не могли войти в систему несколько раз, прежде чем войти (даже если они вводят правильный пароль).

Я получаю разные ошибки на клиентов. Некоторые из них :

Netlogon, 5719 , Этому компьютеру не удалось настроить безопасный сеанс с контроллером домена в домене domain.com из-за следующего: в настоящее время нет серверов входа, доступных для обслуживания запроса входа. Это может привести к проблемам с аутентификацией. Убедитесь, что этот компьютер подключен к сети. Если проблема не устранена, обратитесь к администратору домена.

GroupPolicy, 1055, Обработка групповой политики не удалась. Windows не может разрешить имя компьютера. Это может быть вызвано одной из следующих причин: a) Ошибка разрешения имени на текущем контроллере домена. б) Задержка репликации Active Directory (учетная запись, созданная на другом контроллере домена, не реплицирована на текущий контроллер домена).

На серверах я получаю эти ошибки:

Netlogon, 5722, Настройка сеанса с компьютера SOMEPCNAME не прошла проверку подлинности. Имена учетных записей, на которые есть ссылка в базе данных безопасности, - SOMEPCNAME $. Произошла следующая ошибка: доступ запрещен.

* (эта ошибка повторяется для одного и того же компьютера. Возможно, нужно просто добавить это в домен.) *

Репликация NTDS, 1864, Это состояние репликации для следующего раздела каталога на локальном контроллере домена. Раздел каталога: CN = схема, CN = конфигурация, DC = домен, DC = com

Этот последний выглядит так, как будто он связан с DC, который не был полностью удален. Когда я запустил dcdiag, он показал, что мы пытаемся выполнить репликацию с сервером, который больше не существует. Я не думаю, что это вызвало бы у нас все эти проблемы со входом в систему.

Мне интересно, если мы должны установить другой DC или попробовать что-то еще. Наши клиенты работают в основном с Windows 7, но есть также клиенты с XP и Vista.

Полоса пропускания между компьютерами на разных сайтах составляет 37,4 Мбит (только что проверено с помощью этой утилиты iperf).

Любая помощь приветствуется.

У @gWaldo есть хорошая идея с точки зрения повышения надежности и обновления устаревшего DC, но это «предположение» относительно того, решит ли это проблему. @ Chris-S правильно в комментарии, что пропускная способность (на первый взгляд) не звучит так, как будто это проблема.

Во-первых, вы должны убедиться, что WAN-соединение надежно, не теряет пакетов и имеет достаточную пропускную способность в течение дня.

Кроме того, недоступность контроллера домена не предотвратит вход в систему клиента Windows (при условии использования объектов групповой политики по умолчанию), поскольку учетные данные кэша в домене позволяют вам войти. Это поможет, если вы опубликуете фактические ошибки, которые получают пользователи.

Для подключенных дисков, если они выполняются сценарием входа, у вас практически нет возможности просматривать какие-либо журналы с этой информацией, но я бы переместил это функционально в Предпочтения групповой политики, которые позволят вам сопоставить диски, сделать их постоянными, а также вести журнал. на клиентские журналы событий по любым вопросам. Ваши проблемы с отображением могут быть связаны с тем, что они не могут получить сценарий или не могут получить доступ к диску ... но это трудно определить без регистрации.

Опять же, держать текущий DC и иметь его на удаленном сайте «лучше», но просто бросать дротики в стену этой конкретной проблемы. У меня было 70-100 удаленных сайтов на гораздо более низких скоростях глобальной сети без каких-либо действий удаленного постоянного тока, если подключение было надежным и имело доступную пропускную способность.

В вашем вопросе достаточно места для того, чтобы другие проблемы вызывали проблемы, но на первый взгляд (если вы достаточно уверены, что все остальное работает как положено), вам кажется, что вы можете быть хорошим примером для домена только для чтения. Контроллер (RODC) .

Это потребует обновления до Server 2008 для ваших контроллеров домена (что в любом случае является хорошей идеей; 2003 год близится к концу), а также потребуется небольшая осторожность при настройке RODC, но это может решить ваши проблемы.

Да, вы можете просто установить еще один DC 2003 в удаленном офисе, но, похоже, там нет присутствия ИТ-специалистов, поэтому RODC может быть «безопаснее». Контроллеры RODC хороши там, где у вас может не быть ИТ-персонала, особенно если у вас нет безопасной и надежной зоны для сервера (нет серверной комнаты / запираемых стоек, затененных окрестностей и т. Д.)

Также имейте в виду, что сопоставление дисков по сети потребляет трафик и само по себе может стать основной причиной ваших проблем. Возможно, стоит изучить локальную реализацию решения для хранения (например, серверов DFS или CIFS).

Если вы еще этого не сделали, разделение вашей организации на основе местоположения (по сайтам или просто подразделениям) также может помочь вам в управлении трафиком и взаимодействием с пользователем.

Я бы определенно поставил другой dc на удаленный сайт, чтобы обеспечить некоторую избыточность в случае сбоя соединения между сайтами.