我有两个Active Directory服务器设置了复制,ad2和ad4。
ad4比ad2具有更高的延迟,因为它不在现场。
所有的客户都应该login并validation到ad2服务器。
问题是,每隔一段时间ad4将是login服务器
为login请求提供服务。
我可以告诉,因为login脚本显示消息对话框
广告服务器提供服务的login请求。
有没有阈值设置(用户数量,等待时间)
我可以在ad2和ad4上更改总是让ad2服务
login请求/身份validation?
听起来您需要使用“Active Directory站点和服务”pipe理单元来定义子网,具有良好连接的子网的物理位置(称为“站点”),以及站点之间的连接(称为“站点链接”)它们组成了Active Directory(AD)的物理networking,以便您的域控制器可以做出好的复制决策,并且客户端可以做出关于哪台服务器计算机用于服务login的良好决策。 如果没有对networking物理拓扑结构的描述,所有依赖与域控制器(DC)计算机通信的服务器和客户端操作系统的各个部分基本上都是“盲目的”,并且无法判断哪些DC在物理上是靠近的,从而更有效地沟通。
一旦你通知AD有关networking的物理布局,你应该发现事情“正常工作”更有效。 不要太担心为“用户数量”平衡负载 – 一旦你定义了网站和子网,这不会成为一个因素(除非你有一个非常糟糕的用户 – 域控制器比率或者login率很高)。 我认为你的大部分问题都来自于你没有告诉AD有关你的networking物理拓扑结构的事实。 (有一些更深入的“调整”,可以在DNS中执行,以影响特定站点内的数据中心的select,但基本上,客户“掷骰子”,并与他们的网站中的任何数据中心交stream。生产部署)。
所有这些与网站,网站链接和子网的调整实际上只是改变了存储在DNS中的内容。 客户使用DNS来确定他们位于哪个站点(通过查询他们的子网),一旦他们知道,他们使用DNS来定位DC进行通信。 执行此工作的实际DNSlogging是存储在“_msdcs.domain.com”DNS区域中的“SRV”资源logging(RR)。 显然,为了所有这些工作,客户端必须能够访问可以返回“_msdcs.domain.com”DNS区域logging的DNS服务器。 通常最好使用DC作为DNS服务器(因为微软已经使这种configuration“正常工作”),在客户端networkingconfiguration中不指定任何非基于DC的DNS服务器(即,不要将ISP DNS服务器作为DHCP范围内的“二级”DNS服务器或客户端/服务器上的“硬编码”),并且始终确保每个物理位置都有一个现场DNS服务器,以便WAN / VPN故障不会将所有DNS服务客户在那个物理位置。
我在这里假设你没有跨多个地点桥接一个IP子网。 如果你已经这样做了,那么将networking拓扑结构改为使用多个子网,而不是试图“破解”AD来处理这样一个奇怪的拓扑结构。
Robert Moir写了一个关于Active Directory网站对另一个问题“意味着什么”的很好的概述 。 我会看看那里。
除此之外,您还需要考虑在每个站点至less有一个DC作为全局编录 (GC)服务器。 将DC设置为GC的过程非常简单,您应该在每个站点中都有一个(即使您不一定了解他们的用途)。 把每一个DC都作为一个GC来挑选并不是最好的想法,尽pipe在一个和你一样小的环境中,它并没有太大的不同。 在较大的环境中,GC复制品不一定更好。
你所描述的很可能是完全正常的。 如果本地DC在短时间内没有响应,则客户端将联系域中的任何其他DC,而不pipe位置如何。 (Windows 2008有一个新的设置,使下一个最近的位置更有效率)。 实际上Windows客户端所遵循的algorithm非常复杂,称为DC定位器。
通过configuration站点和站点链接成本(如果您还没有这样做),以及使用_msdcs子域中的SRV DNSlogging的优先级和权重,可以使stream程更具有确定性。 客户端尝试以最低优先级联系服务器。 权重是从具有相同优先级的目标主机中select目标主机时使用的负载平衡机制。 客户随机select指定要联系的目标主机的SRVlogging,概率与权重成正比。
DNS返回与SRVlogging中的目标域匹配的IP地址列表(即指定域中的域控制器的IP地址),该列表按照优先级和权重进行sorting。 客户端按照返回的顺序ping每个IP地址。 ping是对端口389的UDP LDAP查询。客户端从列表中ping每个域控制器。 每次ping之后,客户端等待十分之一秒以响应ping(或之前的ping),然后ping下一个域控制器。 随机select域控制器提供了第一级负载平衡。 快速连续执行多个ping操作可确保发现algorithm在有限的时间内终止。
请注意,当客户端build立到DC的连接时,它会与该DC创build关联(有时称为“粘着”)。 Windows Vista / 2008和更高版本的客户端将默认每12小时尝试重新发现域控制器,并且可以使用组策略进行configuration。 还有一个修补程序可以为Windows XP / 2003启用此行为。
更多信息:
如何优化驻留在客户端站点之外的域控制器或全局编录的位置http://support.microsoft.com/kb/306602
SRV资源logging
http://technet.microsoft.com/en-us/library/cc961719.aspx
域控制器定位过程
http://technet.microsoft.com/en-us/library/cc978011.aspx
DsGetDcName函数
http://msdn.microsoft.com/en-us/library/windows/desktop/ms675983%28v=vs.85%29.aspx
启用客户端以查找下一个最近的域控制器
http://technet.microsoft.com/en-us/library/cc733142%28WS.10%29.aspx
定位器的types
http://technet.microsoft.com/en-us/library/cc978019.aspx
我将假设(也许不正确)你在远程站点有AD客户端,这就是为什么你在该站点有一个DC。 如果是这样,那么正如Evan所说,您将要为这两个站点/子网设置Active Directory站点和服务。 然后,KCC将根据ADS&Sconfiguration在DC之间构build一个复制拓扑。 现在,您可能已经获得了基于站点内复制拓扑而不是站点间复制拓扑的遍历WAN的复制stream量。
每个客户端的DC定位器会在最近的站点中find一个DC进行身份validation。 确保将远程站点上的DCconfiguration为GC(或在远程站点的NTDS站点设置中启用通用组成员身份caching)。
如果我错了,而且远程站点没有AD客户端,那么为什么在远程站点有一个DC?