我负责一家约 100 名员工的公司的大部分 IT 工作,该公司分布在全球约 5 个站点。我们使用 Active Directory 进行身份验证,主要通过 LDAP 为 Linux (CentOS 5) 系统提供服务。
我们经历了一系列事件,两个主要站点之间的 IP 隧道出现故障,一个站点的辅助域控制器无法联系另一个站点的主域控制器。似乎辅助域控制器在与主域控制器失去连接后几分钟内就开始拒绝用户身份验证。
我们如何使辅助域控制器更能应对停机?有没有办法让它缓存整个目录和/或至少在本地保存足够的信息以应对长达数小时的断线?
(如果这有任何区别的话,我们都在一个组织单位中。)
(这里的服务器是 Windows Server 2003R2;不要假设我们设置正确。我是一名软件工程师,而不是 IT 专家。)
答案1
答案2
您只有 100 个用户。因此您的活动目录很小。只需确保您的站点在站点和服务中被相应地拆分,并使所有远程分支成为全局目录。磁盘空间、CPU 使用率或带宽不会产生额外开销(按今天的标准)。如果线路中断,用户仍然能够在域上进行身份验证。
答案3
这听起来像是 Active Directory 站点的一个很好的用例。站点是 Active Directory 如何将网络感知功能引入树的结构。这里有几个关于如何处理站点的答案,但这里是一个简短的总结。
您的域控制器都是平等的(1),与 WinNT 不同,没有主/备份域控制器。Active Directory 使用 IP 子网来确定您属于哪个站点,这意味着您必须在某处输入它。DC 位于哪个站点由其 IP 子网决定。如果 DC 位于不同的站点,则站点之间会建立复制策略,以确定它们之间复制的频率。默认情况下,此策略规定复制每 4 小时发生一次,并且很容易更改。
站点是您的网络能够容忍 WAN 链接中长时间的网络中断的方式。一般来说如果您有 WAN 链接,并且该 WAN 链接另一端的办公室在中断期间不能关闭,那么该办公室需要站点和 DC。由于位于不同的站点,DC 将能够容忍长达 4 小时的中断,甚至不会注意到它发生了(2)。
如果您愿意将您的 DC 更新到 2008,您还有另一种选择,即只读 DC。
(1) 除非您运行的是 Server 2008 或更高版本,否则将引入只读域控制器。但您还没有到达那里。
(2)有些东西会立即复制,比如密码变化,但根据设计,它们都是小东西。