web-dev-qa-db-ja.com

別のドメインコントローラーが必要

私がサポートする部門のほとんどが存在する1つのサイトに2つのドメインコントローラー(Windows 2003)があります。私の部署もある別の建物(別の場所)がありますが、DCはありません。

これはおそらく、会社が複数のサイトに分散している場合に、追加のDCをインストールするかどうかという古典的な質問です。

ログインスクリプトがドライブをマッピングしない、ユーザーがログインする前に何度かログインに失敗するなど、さまざまな問題が発生しています(正しいパスワードを入力している場合でも)。

クライアントでさまざまなエラーが発生します。そのうちのいくつかは:

Netlogon、5719、このコンピューターは、次の理由により、ドメインdomain.comのドメインコントローラーとの安全なセッションをセットアップできませんでした。ログオン要求を処理するために使用できるログオンサーバーがありません。これにより、認証の問題が発生する可能性があります。このコンピューターがネットワークに接続されていることを確認してください。問題が解決しない場合は、ドメイン管理者に連絡してください。

GroupPolicy、1055、グループポリシーの処理に失敗しました。 Windowsはコンピューター名を解決できませんでした。これは、次のいずれかが原因である可能性があります。a)現在のドメインコントローラーでの名前解決の失敗。 b)Active Directoryレプリケーションレイテンシ(別のドメインコントローラーで作成されたアカウントは、現在のドメインコントローラーにレプリケートされていません)。

サーバー上でこれらのエラーが発生し続けます:

Netlogon、5722、コンピューターSOMEPCNAMEからのセッションセットアップが認証に失敗しました。セキュリティデータベースで参照されているアカウントの名前はSOMEPCNAME $です。次のエラーが発生しました:アクセスが拒否されました。

*(この上記のエラーは同じコンピューターで繰り返されます。おそらくこれをドメインに再度追加する必要があります。)*

NTDSレプリケーション、1864、これは、ローカルドメインコントローラー上の次のディレクトリパーティションのレプリケーションステータスです。ディレクトリパーティション:CN =スキーマ、CN =構成、DC =ドメイン、DC = com

この最後の1つは、完全に削除されなかったDCに関係しているようです。dcdiagを実行すると、もう存在しないサーバーで複製しようとしていることがわかりました。 。しかし、これによってこれらすべてのログオンの問題が発生することはないと思います。

別のDCをインストールするか、他の何かを試す必要があるかどうか疑問に思っています。クライアントは主にWindows 7を実行しますが、XPおよびVistaクライアントもあります。

異なるサイトのPC間の帯域幅は37.4Mbsのようです(このユーティリティiperfで確認したばかりです)。

どんな助けでも大歓迎です。

8
James

@gWaldoは、信頼性を高め、古いDCを更新するという点で優れたアイデアを持っていますが、問題が解決するかどうかについては「推測」です。 @ Chris-Sは、帯域幅(一見)も問題のようには聞こえないというコメントで正しいです。

まず、WAN接続が信頼でき、パケット損失がなく、1日を通して十分な利用可能な帯域幅があることを確認する必要があります。

また、DCが利用できない場合でも、ドメインのキャッシュ資格情報を使用できるため、Windowsクライアントのログイン(デフォルトのGPOを想定)が妨げられることはありません。ユーザーが取得している実際のエラーを投稿すると役立ちます。 。

マップされたドライブの場合、ログインスクリプトによって実行された場合、その情報に関するログを表示する機能はほとんどまたはまったくありませんが、ドライブをマップし、永続化し、ログに記録できるようにするグループポリシー設定に機能的に移動しますクライアントイベントに問題があればログに記録します。マッピングの問題は、スクリプトを取得できないか、ドライブにアクセスできない可能性がありますが、ログを記録しないとわかりません。

繰り返しになりますが、DCを最新の状態に保ち、リモートサイトに配置する方が「優れています」が、この特定の問題の壁にダーツを投げているだけです。私は70〜100のリモートサイトをはるかに低いWAN速度で使用しており、接続が信頼でき、使用可能な帯域幅がある限り、リモートDCは問題なく動作します。

2
Bret Fisher

あなたの質問には、他の問題が問題を引き起こしている可能性がたくさんありますが、表面的には(他のすべてが期待どおりに機能しているとかなり確信している場合)、あなたは 読み取り専用ドメインコントローラー(RODC)

これには、DC用にServer 2008にアップグレードする必要があり(とにかく、これは良い考えです。2003は寿命に近づいています)、RODCの設定には少し注意が必要ですが、問題をうまく解決できる可能性があります。

はい、リモートオフィスに別の2003 DCを設定することもできますが、そこにはITプレゼンスがないように思われるため、RODCの方が「安全」である可能性があります。RODCはどこにでも適しています。特にサーバー用の安全で安全な領域がない場合(サーバールーム/ロック可能なラックがない、日陰の近所など)、ITスタッフがいない可能性があります。

また、ネットワークを介したドライブのマッピングは帯域幅を消費し、それ自体が問題の主な原因になる可能性があることにも注意してください。ストレージソリューション(DFSまたはCIFSサーバーなど)のローカル実装を調査することは価値があるかもしれません。

まだ行っていない場合は、場所(サイトまたはOUのみ)に基づいて組織を分離することも、トラフィックとユーザーエクスペリエンスの管理に役立ちます。

7
gWaldo

サイト間の接続が失敗した場合に冗長性を提供するために、リモートサイトに別のDCを確実に配置します。

0
Mitch