我在一个站点有两个域控制器 (Windows 2003),我所支持的部门大部分都驻扎在那里。我的部门也驻扎在另一栋大楼里(在另一个站点),但他们没有 DC。
当一家公司分布在多个站点时,这可能是是否需要安装额外的 DC 的一个经典问题。
我们遇到了各种问题,例如登录脚本未映射驱动器,以及用户在进入之前多次登录失败(即使他们输入了正确的密码)。
我在客户端上遇到了不同的错误。其中一些是:
Netlogon,5719,此计算机无法与域 domain.com 中的域控制器建立安全会话,原因如下:当前没有可用的登录服务器来处理登录请求。这可能会导致身份验证问题。请确保此计算机已连接到网络。如果问题仍然存在,请联系您的域管理员。
组策略,1055,组策略处理失败。Windows 无法解析计算机名称。这可能是由以下一个或多个原因造成的:a) 当前域控制器上的名称解析失败。b) Active Directory 复制延迟(在另一个域控制器上创建的帐户尚未复制到当前域控制器)。
在服务器上我不断收到这些错误:
Netlogon,5722,计算机 SOMEPCNAME 的会话设置无法验证。安全数据库中引用的帐户名称为 SOMEPCNAME$。发生以下错误:访问被拒绝。
*(上述错误在同一台计算机上不断重复出现。可能只需要将其重新添加到域中。)*
NTDS 复制,1864 年,这是本地域控制器上以下目录分区的复制状态。目录分区:CN=Schema,CN=Configuration,DC=domain,DC=com
最后一个问题似乎与未完全删除的 DC 有关。当我运行 dcdiag 时,它显示我们正在尝试与不再存在的服务器进行复制。不过,我认为这不会导致我们遇到所有这些登录问题。
我想知道我们是否应该安装另一个 DC 或尝试其他方法。我们的客户端主要运行 Windows 7,但也有一些 XP 和 Vista 客户端。
不同站点的 PC 之间的带宽看起来是 37.4 Mbs(刚刚使用此实用程序 iperf 进行了验证)。
任何帮助都将受到赞赏。
答案1
@gWaldo 在提高可靠性和更新过时的 DC 方面有一个很好的想法,但它是否能解决这个问题还只是“猜测”。@Chris-S 的评论是正确的,带宽(乍一看)听起来也不是问题所在。
首先,您应该确保 WAN 连接可靠、没有数据包丢失并且全天有足够的可用带宽。
此外,不可用的 DC 不会阻止 Windows 客户端登录(假设默认 GPO),因为域上的缓存凭据允许您进入。如果您发布用户遇到的实际错误,那将会有所帮助。
对于映射驱动器,如果它们是由登录脚本完成的,那么您几乎无法看到有关该信息的任何日志,但我会将其功能移至组策略首选项,这将允许您映射驱动器,使其持久化,并将任何问题记录到客户端事件日志中。您的映射问题可能是他们无法获取脚本,或者他们无法访问驱动器……但如果没有记录就很难分辨。
再次强调,保持 DC 的当前状态并在远程站点上安装一个 DC 是“更好的”做法,但这只会徒劳无功地解决这一特定问题。我曾有 70-100 个远程站点,WAN 速度要低得多,只要连接可靠且有可用带宽,没有远程 DC 也能正常工作。
答案2
你的问题中有很多其他问题导致问题的空间,但从表面上看(如果你相当确定其他一切都按预期进行),你听起来可能是一个很好的例子只读域控制器 (RODC)。
这将需要将您的 DC 升级到 Server 2008(无论如何,这是一个好主意;2003 即将走到尽头),并且在设置 RODC 时要小心一点,但它可以很好地解决您的问题。
是的,您可以在远程办公室设置另一个 2003 DC,但听起来那里没有 IT 人员,因此 RODC 可能“更安全”。RODC 非常适合没有 IT 人员的地方,尤其是当您没有安全可靠的服务器区域时(没有服务器机房/可上锁的机架、阴暗的街区等)
还要记住,通过网络映射驱动器会消耗带宽,这本身就可能是导致问题的主要原因。调查存储解决方案的本地实施(例如 DFS 或 CIFS 服务器)可能是值得的。
如果您还没有这样做,根据位置(无论是按站点还是仅按 OU)划分您的组织也可以帮助您管理流量和用户体验。
答案3
如果站点之间的连接出现故障,我肯定会在远程站点放置另一个直流电源,以提供一些冗余。