我有一个问题,围绕着无数的Active Directory组件,我希望能从某人那里得到一些意见或更正。
在我们的工作场所,我们曾经为每个不同的办公地点设有单独的活动目录域和站点。 每个位置还有一对域控制器负责该位置,并且该位置内的任何站点将使用该控制器来pipe理身份validation,GPO等。
最近,作为另一个项目的一部分,我们将所有的域名压缩到旧的顶级域名中。 A / D中的站点保持不变,但是每个用户帐户,计算机等都被移到顶层域名中。 每一对本地DC都被弃用,只有一个DC是顶级域名的成员。
完成之后,我们遇到了在DC之间非常慢地复制的问题。 这个问题的第二个问题是个人站点或用户似乎正在对他们感觉的任何DC进行身份validation。 在单个站点上,我发现用户通过身份validation,正在接收来自另一个站点的DNS,并将GPO从其他地方(我可能将其混合起来,但您明白了)启动。 即使所有的区议会仍然是适当的A / D“地点”的成员,这个区域似乎基本上是随机的。
为了解决这个问题,我们让所有区议会的同一个“顶级”网站的成员,使复制本质上是瞬时的。 让许多区议会永远相互复制,听起来可能有些蹊跷,但是我们只做了一个相当小的调整,所以没有任何重大问题。
我的问题是,我们在某个地方出了问题吗? 我目前正在进行SCCM安装,直到现在我才发现这是微软推荐的方式。 我主要关心的是:
1)这是否会在后来咬我们,特别是在我们正在试图build立一个稳定的SCCM安装。
2)任何人都可以解释为什么区议会被validation请求看似随意地打了一针,即使我们在他们相应的A / D站点有他们(据我所知,这应该给予他们同一站点的本地请求的优先权现场)。
谢谢!
在一个单一的问题上真的有点太多了。
首先,不要让AD正常工作而开始设置SCCM。 是的,如果你先不修理广告,它会在晚些时候咬你。
其次,把你所有的DC都搬到同一个地方并不是一个好的开始。 将DC移回到AD中各自的站点,确保你的子网是正确定义和分配的。 如果要pipe理复制,请查看定义特定站点连接器以满足您的需求。 看看在做一些激烈的事情之前修复复制问题(dcdiag / etc进行故障排除)。 确保你的DNS是干净的,并且正在工作。 看看你的DHCP设置,以确保正确的DNS服务器被分配到工作站。 确保您的DC设置了正确的DNS服务器。
如果你想超越这一点,找一个有信誉的供应商与您合作,以确保您的环境正确。