我有两个域控制器(Windows 2003)在我所支持的大多数部门所在的站点中。 我的部门也有另一个build筑(另一个地方),但是他们没有DC。
这可能是一个经典的问题,当一个公司分布在多个站点时是否安装额外的DC。
我们遇到过各种问题,例如login脚本没有映射驱动器,用户在进入之前无法login(即使他们正在input正确的密码)。
我在客户端上收到不同的错误。 其中一些是:
Netlogon,5719 ,由于以下原因,此计算机无法与域domain.com中的域控制器build立安全会话:当前没有可用于login请求的login服务器。 这可能会导致身份validation问题。 确保这台电脑连接到networking。 如果问题仍然存在,请联系您的域pipe理员。
GroupPolicy,1055,组策略的处理失败。 Windows无法parsing计算机名称。 这可能是由以下其中一种情况导致的:a)当前域控制器上的名称parsing失败。 b)Active Directory复制延迟(在另一个域控制器上创build的帐户尚未复制到当前域控制器)。
在服务器上,我不断收到这些错误:
Netlogon,5722,从计算机SOMEPCNAME的会话设置无法进行身份validation。 安全数据库中引用的帐户的名称是SOMEPCNAME $。 发生以下错误:访问被拒绝。
*(上面的错误不断重复同一台计算机。可能只需要重新添加到域。)*
NTDS复制,1864,这是本地域控制器上以下目录分区的复制状态。 目录分区:CN =架构,CN =configuration,DC =域,DC = com
这最后一个看起来好像是一个没有完全删除的DC。 当我运行dcdiag时,它表明我们正试图复制一个不存在的服务器。 我不认为这会导致我们有这些login问题。
我想知道如果我们应该安装另一个DC或尝试别的东西。 我们的客户主要运行Windows 7,但也有一些XP和Vista客户端。
不同站点上的PC之间的带宽看起来是37.4 Mbs(只需通过此实用程序进行validation)。
任何帮助表示赞赏。
在提高可靠性和更新过时的DC方面,@ gWaldo有一个好主意,但是这个“猜测”是否能解决问题。 @ Chris-S的评论是正确的,带宽(乍一看)听起来不像是问题。
首先,您应该确保广域网连接可靠,无丢包,全天有足够的可用带宽。
此外,DC不可用也不会阻止Windows客户端login(假设默认GPO),因为域中的caching凭据允许您进入。如果您发布了用户正在获取的实际错误,这将有所帮助。
对于映射的驱动器,如果它们是通过login脚本完成的,那么您几乎没有能力查看关于该信息的任何日志,但是我会将其从function上移到组策略首选项,这将允许您映射驱动器,使其持久化并logging向客户端事件日志logging任何问题。 您的映射问题可能是他们无法获取脚本,或者他们无法访问驱动器…但很难说没有日志logging。
同样,保持DC电stream并在远程站点保持一个“更好”,但只是扔在这个特定问题的墙上飞镖。 我有70-100个远程站点在低得多的WAN速度下,只要连接可靠并具有可用带宽,远程DC就没有问题。
在你的问题中,还有很多空间可以解决其他问题,但是从表面上看(如果你确信所有的东西都按预期工作的话),你听起来像是一个只读域的好例子控制器(RODC) 。
这将需要升级到您的区域服务器2008年(这是一个好主意,无论如何,这是一个好主意,2003年即将报废),并设置RODC一点点照顾,但它可以很好地解决您的问题。
是的,你可以在远程办公室安装另外一台2003 DC,但听起来好像没有IT存在,所以RODC可能更“安全”。 如果你没有IT人员,RODC是很好的,特别是如果你没有一个安全的服务器区域(没有服务器房间/可locking的机架,阴暗的邻居等)
另外请记住,驱动器在networking上的映射将消耗带宽,并且本身可能是您的问题的主要原因。 调查存储解决scheme(如DFS或CIFS服务器)的本地实施可能是值得的。
如果还没有,根据位置(无论是通过站点还是OU)分离您的组织还可以帮助您pipe理stream量和用户体验。
如果站点之间的连接失败,我肯定会在远程站点放置另一个直stream电源以提供一些冗余。