我为大约100人的公司处理大部分IT,分布在全球约五个站点。 我们使用Active Directory进行身份validation,主要通过LDAP将其提供给Linux(CentOS 5)系统。
在两个主要站点之间的IP隧道出现故障并且一个站点上的辅助域控制器无法与另一个站点上的主要域控制器联系的情况下,我们一直在经历一连串的事件。 看来,辅助域控制器会在几分钟内开始拒绝用户validation,从而失去与主节点的连接。
我们如何使次级域控制器对停机时间更有弹性? 有没有一种方法来caching整个目录和/或至less在本地保存足够的信息来维持多小时的断开连接?
(如果这有什么不同,我们都在一个单一的组织单位。)
(这里的服务器是Windows Server 2003 R2,不要以为我们是正确设置的,我是软件工程师,而不是IT专家)
我想通用组成员caching是你需要看看。
http://technet.microsoft.com/en-us/library/cc816797(WS.10).aspx
你只有100个用户。 所以你的活动目录很小。 只要确保您的网站在网站和服务中相应地分开,并使所有的远程分支机构全球目录。 在磁盘空间或CPU使用率或带宽上不会有额外的开销(按当今的标准)。 如果线路断开,用户仍然可以在域上进行身份validation。
这听起来像是Active Directory站点的一个很好的用例。 活动目录是如何将networking意识提供给树的结构的。 这里有几个答案如何处理网站,但这里是一个快速的总结。
您的域控制器是一样的(1),不像WinNT没有主/备份域控制器。 Active Directory使用IP子网来确定您属于哪个站点,这意味着您必须将其input到某个地方。 DC所在的站点由其IP子网决定。 如果数据中心位于不同的站点,则在站点之间build立一个复制策略,确定它们之间复制的频率。 默认情况下,此策略规定复制每4小时发生一次,并且很容易更改。
网站是如何让您的networking容忍广域网链接中的networking中断时间延长。 一般来说,如果你有一个广域网连接,并且该广域网连接另一端的办公室在停电期间不能停机,那么这个办公室同时需要一个站点和一个DC。 感谢在不同的网站,DC可以容忍长达4小时的停电,甚至不知不觉间发生了(2)。
如果您愿意将您的DC更新至2008年,则还有另一种select是只读DC。
(1)除非您正在运行Server 2008或更高版本,否则将引入只读域控制器。 但是你还没到。
(2)有些东西是立即复制的,如密码更改 ,但通过devise,它们是小事情。