Benötigen Sie einen anderen Domänencontroller

Ich habe zwei Domänencontroller (Windows 2003) an einem Standort, an dem sich der größte Teil der von mir unterstützten Abteilung befindet. Es gibt ein anderes Gebäude (an einem anderen Ort), in dem sich auch meine Abteilung befindet, aber sie haben keinen DC.

Dies ist wahrscheinlich eine klassische Frage, ob ein zusätzlicher DC installiert werden soll, wenn ein Unternehmen auf mehrere Standorte verteilt ist.

Es sind verschiedene Probleme aufgetreten, z. B. Anmeldeskripts, bei denen Laufwerke nicht zugeordnet werden, und Benutzer, die sich vor dem Einlassen nicht mehrmals anmelden (obwohl sie das richtige Kennwort eingeben).

Ich bekomme verschiedene Fehler auf den Clients. Einige von ihnen sind :

Netlogon, 5719 , Dieser Computer konnte aus folgenden Gründen keine sichere Sitzung mit einem Domänencontroller in domain domain.com einrichten: Derzeit sind keine Anmeldeserver verfügbar, um die Anmeldeanforderung zu bearbeiten. Dies kann zu Authentifizierungsproblemen führen. Stellen Sie sicher, dass dieser Computer mit dem Netzwerk verbunden ist. Wenn das Problem weiterhin besteht, wenden Sie sich an Ihren Domain-Administrator.

GroupPolicy, 1055, Die Verarbeitung der Gruppenrichtlinie ist fehlgeschlagen. Windows konnte den Computernamen nicht auflösen. Dies kann durch eine der folgenden Ursachen verursacht werden: a) Fehler bei der Namensauflösung auf dem aktuellen Domänencontroller. b) Active Directory-Replikationslatenz (ein auf einem anderen Domänencontroller erstelltes Konto wurde nicht auf den aktuellen Domänencontroller repliziert).

Auf den Servern erhalte ich immer wieder folgende Fehler:

Netlogon, 5722, Das Sitzungssetup vom Computer SOMEPCNAME konnte nicht authentifiziert werden. Die Namen der Konten, auf die in der Sicherheitsdatenbank verwiesen wird, lauten SOMEPCNAME $. Der folgende Fehler ist aufgetreten: Der Zugriff wird verweigert.

* (Dieser Fehler wiederholt sich immer wieder für denselben Computer. Wahrscheinlich muss er nur erneut zur Domäne hinzugefügt werden.) *

NTDS-Replikation, 1864, Dies ist der Replikationsstatus für die folgende Verzeichnispartition auf dem lokalen Domänencontroller. Verzeichnispartition: CN = Schema, CN = Konfiguration, DC = Domäne, DC = com

Letzteres scheint mit einem DC zu tun zu haben, der nicht vollständig entfernt wurde. Als ich dcdiag ausführte, zeigte sich, dass wir versuchen, mit einem Server zu replizieren, der nicht mehr existiert. Ich glaube nicht, dass dies zu all diesen Anmeldeproblemen führen würde.

Ich frage mich, ob wir einen anderen DC installieren oder etwas anderes ausprobieren sollen. Unsere Clients verwenden hauptsächlich Windows 7, aber es gibt auch einige XP- und Vista-Clients.

Die Bandbreite zwischen PCs an den verschiedenen Standorten scheint 37,4 MBit / s zu betragen (dies wurde nur mit diesem Dienstprogramm iperf überprüft).

Jede Hilfe wird geschätzt.

@gWaldo hat eine gute Idee, um die Zuverlässigkeit zu erhöhen und Ihren veralteten DC zu aktualisieren, aber es ist eine "Vermutung", ob das Problem dadurch behoben wird. @ Chris-S hat den richtigen Kommentar, dass die Bandbreite (auf den ersten Blick) auch nicht so klingt, als wäre es das Problem.

Zunächst sollten Sie sicherstellen, dass die WAN-Verbindung zuverlässig ist, keinen Paketverlust aufweist und den ganzen Tag über ausreichend Bandbreite zur Verfügung steht.

Auch ein nicht verfügbarer Domänencontroller verhindert nicht die Anmeldung eines Windows-Clients (unter der Annahme von Standard-Gruppenrichtlinienobjekten), da Sie durch Cache-Anmeldeinformationen in einer Domäne zugelassen werden. Es wäre hilfreich, wenn Sie die tatsächlichen Fehler veröffentlichen würden, die die Benutzer erhalten.

Wenn zugeordnete Laufwerke über ein Anmeldeskript erstellt werden, können Sie kaum oder gar keine Protokolle zu diesen Informationen anzeigen. Ich würde dies jedoch funktional in die Gruppenrichtlinieneinstellungen verschieben, mit denen Sie Laufwerke zuordnen, dauerhaft erstellen und auch protokollieren können zu den Client-Ereignisprotokollen bei allen Problemen. Ihre Zuordnungsprobleme können entweder darin bestehen, dass sie das Skript nicht abrufen können oder nicht auf das Laufwerk zugreifen können ... aber ohne Protokollierung schwer zu erkennen.

Auch hier ist es "besser", DCs Strom zu halten und einen an einem entfernten Standort zu haben, aber es wirft nur Pfeile gegen die Wand dieses speziellen Problems. Ich hatte 70-100 Remote-Standorte mit viel niedrigeren WAN-Geschwindigkeiten, ohne dass Remote-DCs einwandfrei funktionieren, solange die Verbindung zuverlässig war und über verfügbare Bandbreite verfügte.

In Ihrer Frage ist viel Platz, damit andere Probleme Probleme verursachen, aber an der Oberfläche (wenn Sie ziemlich sicher sind, dass alles andere wie erwartet funktioniert) scheinen Sie ein guter Fall für eine schreibgeschützte Domain zu sein Controller (RODC) .

Dies würde ein Upgrade auf Server 2008 für Ihre Domänencontroller erfordern (was ohnehin eine gute Idee ist; 2003 nähert sich dem Ende der Lebensdauer) und ein wenig Sorgfalt bei der Einrichtung des RODC, könnte jedoch Ihre Probleme gut lösen.

Ja, Sie könnten einfach einen weiteren 2003 DC im Remote-Büro einrichten, aber es scheint, dass dort keine IT-Präsenz vorhanden ist, sodass ein RODC möglicherweise „sicherer“ ist. RODCs eignen sich gut, wenn Sie möglicherweise kein IT-Personal haben, insbesondere wenn Sie keinen sicheren Bereich für den Server haben (kein Serverraum / abschließbare Racks, schattige Nachbarschaft usw.).

Beachten Sie auch, dass die Zuordnung von Laufwerken über das Netzwerk die Bandbreite verschlingt und für sich genommen eine Hauptursache für Ihre Probleme sein kann. Es kann sinnvoll sein, eine lokale Implementierung einer Speicherlösung (z. B. DFS- oder CIFS-Server) zu untersuchen.

Wenn Sie dies noch nicht getan haben, kann die Trennung Ihrer Organisation nach Standort (ob nach Standorten oder nur nach Organisationseinheiten) Ihnen auch bei der Verwaltung des Datenverkehrs und der Benutzererfahrung helfen.

Ich würde definitiv einen weiteren Gleichstrom am Remote-Standort installieren, um Redundanz zu gewährleisten, falls die Verbindung zwischen den Standorten fehlschlägt.