我对众多的 Active Directory 组件感到困惑,希望能得到某人的意见或更正。
在我们的工作场所,我们过去为每个不同的办公地点设置单独的活动目录域和站点。每个地点还有一对负责该地点的域控制器,该地点内的任何站点都会使用这些域控制器来管理身份验证、GPO 等。
最近,作为另一个项目的一部分,我们将所有域压缩到旧的顶级域中。A/D 中的站点保持不变,但每个单独的用户帐户、计算机等都已移至顶级域中。每对本地 DC 都已弃用,只剩下一个属于顶级域的 DC。
完成此操作后,我们遇到了 DC 之间的复制速度非常慢的问题。第二个问题是各个站点或用户似乎在向他们喜欢的任何 DC 进行身份验证。在单个站点上,我发现用户在一个站点上进行身份验证,从另一个站点接收 DNS,并从其他地方提取 GPO(我可能搞混了,但您明白我的意思)。似乎给定站点会联系哪个 DC 基本上是随机的,即使所有 DC 仍然是正确 A/D“站点”的成员。
为了解决这个问题,我们让所有 DC 的成员都位于同一个“顶级”站点,这样复制基本上是即时的。让这么多 DC 不断地相互复制听起来可能有点令人讨厌,但我们运行的是一个相当小的设置,所以没有什么大问题。
我的问题是,我们是不是哪里出错了?我目前正在进行 SCCM 安装,直到现在我才发现,这(说得委婉一点)不是 Microsoft 推荐的做法。我主要担心的是:
1)这会给我们以后的生活带来麻烦吗,尤其是当我们正试图建立一个稳定的 SCCM 安装时。
2) 有人能解释一下为什么 DC 似乎随机地受到身份验证请求的攻击,即使我们将它们放在相应的 A/D 站点中(据我所知,这应该优先处理来自同一站点内的站点的本地请求)。
谢谢!
答案1
这个问题实在太多了,难以用一个问题就能解决。
首先,不要在 AD 未正常工作的情况下开始设置 SCCM。是的,如果您不先修复 AD,以后就会遇到麻烦。
其次,将您的 DC 全部移至同一站点并不是一个好的开始。将 DC 移回 AD 中的各自站点,确保您的子网定义和分配正确。如果您想要管理复制,请查看定义特定站点连接器以满足您的需求。在采取一些激烈的行动(使用 dcdiag/etc 进行故障排除)之前,请查看修复复制问题。确保您的 DNS 干净且正常工作。查看您的 DHCP 设置,以确保将正确的 DNS 服务器分配给工作站。确保您的 DC 设置了正确的 DNS 服务器。
如果您想超越这一点,请寻找一个有信誉的供应商与您合作,以打造正确的环境。