Necessità di un altro controller di dominio

Ho due controller di dominio (Windows 2003) in un sito in cui risiede la maggior parte del dipartimento che supporto. C'è un altro edificio (in un altro sito) dove risiede anche il mio dipartimento, ma non hanno DC.

Questa è probabilmente una classica domanda se installare un controller di dominio aggiuntivo quando un'azienda è distribuita su più siti.

Abbiamo riscontrato vari problemi come gli script di accesso che non mappano le unità e gli utenti che non riescono ad accedere più volte prima di essere ammessi (anche se stanno digitando la password giusta).

Ricevo diversi errori sui client. Alcuni di loro sono :

Netlogon, 5719 , Questo computer non è stato in grado di impostare una sessione protetta con un controller di dominio in domain domain.com a causa di quanto segue: Attualmente non sono disponibili server di accesso per soddisfare la richiesta di accesso. Ciò può causare problemi di autenticazione. Assicurarsi che questo computer sia connesso alla rete. Se il problema persiste, contatta il tuo amministratore di dominio.

GroupPolicy, 1055, L'elaborazione di Criteri di gruppo non è riuscita. Windows non è riuscito a risolvere il nome del computer. Ciò potrebbe essere causato da uno dei seguenti elementi: a) Errore nella risoluzione dei nomi nel controller di dominio corrente. b) Latenza della replica di Active Directory (un account creato su un altro controller di dominio non è stato replicato sul controller di dominio corrente).

Sui server continuo a ricevere questi errori:

Netlogon, 5722, Impossibile configurare l'autenticazione della sessione dal computer SOMEPCNAME. Il nome (i) degli account a cui fa riferimento il database di sicurezza è SOMEPCNAME $. Si è verificato il seguente errore: accesso negato.

* (questo errore precedente continua a ripetersi per lo stesso computer. Probabilmente è sufficiente aggiungerlo nuovamente al dominio.) *

Replica NTDS, 1864, questo è lo stato della replica per la seguente partizione di directory sul controller di dominio locale. Partizione di directory: CN = Schema, CN = Configuration, DC = domain, DC = com

Quest'ultimo sembra avere a che fare con un DC che non è stato completamente rimosso. Quando ho eseguito dcdiag, ha dimostrato che stiamo cercando di replicare con un server che non esiste più. Non penso che questo ci causerebbe comunque tutti questi problemi di accesso.

Mi chiedo se dovremmo installare un altro controller di dominio o provare qualcos'altro. I nostri client eseguono principalmente Windows 7, ma ci sono anche alcuni client XP e Vista.

La larghezza di banda sembra essere di 37,4 Mb tra i PC sui diversi siti (appena verificato con questa utility iperf).

Qualsiasi aiuto è apprezzato.

@gWaldo ha una buona idea in termini di aumento dell'affidabilità e aggiornamento del controller di dominio obsoleto, ma è una "ipotesi" se risolverà il problema. @ Chris-S ha ragione nel commentare che la larghezza di banda (a prima vista) non sembra neanche il problema.

Innanzitutto è necessario assicurarsi che la connessione WAN sia affidabile, che non abbia perdita di pacchetti e che sia disponibile un'ampia larghezza di banda durante il giorno.

Inoltre, un controller di dominio non disponibile non impedirà l'accesso a un client Windows (presupponendo oggetti Criteri di gruppo predefiniti) perché le credenziali della cache su un dominio ti consentono di accedere. Sarebbe utile se hai pubblicato gli errori effettivi che gli utenti stanno riscontrando.

Per le unità mappate, se sono eseguite dallo script di accesso, hai poca o nessuna possibilità di vedere alcun registro su tali informazioni, ma lo sposterei funzionalmente in Preferenze di Criteri di gruppo che ti permetteranno di mappare le unità, renderle persistenti e anche registrare al client eventi registra eventuali problemi. I tuoi problemi di mappatura potrebbero essere o non riescono a ottenere lo script o non possono accedere all'unità ... ma difficile da dire senza registrazione.

Ancora una volta, mantenere l'attuale DC e averne uno sul sito remoto è "migliore", ma sta semplicemente lanciando freccette contro il muro di questo problema specifico. Ho avuto 70-100 siti remoti a velocità WAN molto più basse senza che i controller di dominio remoti agissero bene finché la connessione era affidabile e disponeva di larghezza di banda disponibile.

C'è molto spazio nella tua domanda perché altri problemi possano causare problemi, ma in superficie (se sei abbastanza sicuro che tutto il resto funzioni come previsto) sembra che tu possa essere un buon caso per un dominio di sola lettura Controller (RODC) .

Ciò richiederebbe l'aggiornamento a Server 2008 per i controller di dominio (che è comunque una buona idea; il 2003 si sta avvicinando alla fine del ciclo di vita) e un po 'di attenzione nella configurazione del controller di dominio di sola lettura, ma potrebbe risolvere bene i tuoi problemi.

Sì, potresti semplicemente installare un altro DC 2003 nell'ufficio remoto, ma sembra che non ci sia una presenza IT lì, quindi un controller di dominio di sola lettura potrebbe essere "più sicuro". I controller di dominio di sola lettura sono utili laddove non si disponga di uno staff IT, soprattutto se non si dispone di un'area sicura per il server (nessuna sala server / rack bloccabili, quartiere ombreggiato, ecc.)

Inoltre, tieni presente che la mappatura delle unità in rete consumerà larghezza di banda e di per sé potrebbe essere una delle principali cause dei tuoi problemi. Potrebbe essere utile esaminare un'implementazione locale di una soluzione di archiviazione (come server DFS o CIFS).

Se non l'hai già fatto, separare la tua organizzazione in base alla posizione (sia per Siti o solo unità organizzative) potrebbe anche aiutarti a gestire il traffico e l'esperienza utente.

Vorrei sicuramente mettere un altro dc sul sito remoto per fornire un po 'di ridondanza se la connessione tra i siti fallisse.