是否有任何具体的方式让机器在他们自己的网站上进行全球目录authentication? 我有一个站点,机器通常由远程站点的GC(通过4MB私有WAN链路连接)validation,而不是本地的。
我已经尝试设置强制机器进入特定站点的组策略选项,而不是通过子网确定站点。
我想这不应该是这样的问题,因为组策略仍然会从其站点的本地\\ domain \ sysvol共享中检索。
实际上,我们发现组策略也可能从远程域控制器中提取,远远低于身份validation。 即使在一个wan链接上,login过程中的身份validation也应该相对较快。 在工作站login过程中应用用户组策略会明显变慢,并且机器组策略默认每90分钟重新应用一次。
有些人已经成功地调整了名为DNSAvoidRegisterRecords的registry设置。 然而,在调查这个之前,你应该首先validation你所有的域名和站点的dnslogging和区域是否正确,并且正确更新,工作站正在使用他们的本地dns服务器,并且你没有一个可能使这个更复杂的configuration,例如作为具有多个网卡的dc。 您还应设置数据包捕获以确认何时使用远程直stream电的频率,以及validation任何更改的结果。
如果本地站点中的域控制器不可用或没有响应,则此行为可能正常,则客户端应尝试使用另一个dc。 有一件事你不想要的是只有一个可用的直streamconfiguration。
有关适用于域控制器和全局编录的DNSlogging的说明,请参阅:
如何优化驻留在其他站点中的域控制器或全局编录的位置
http://support.microsoft.com/kb/306602
这通常可以通过不注册某些logging,手动指定具有所需优先级的其他dc / gc特定logging来完成。 DNS优先级指示客户端使用dc / gc的最低优先级SRVlogging,除非低优先级服务器没有响应。
以下文章介绍了调整域控制器的DNS权重和SRVlogging的优先级的典型用法:
http://technet.microsoft.com/en-us/library/cc787370%28WS.10%29.aspx
您在“Active Directory站点和服务”pipe理单元中正确设置了您的站点和子网吗?
如果您没有安装网站,则AD将认为所有机器都在同一个站点上,所以机器将围绕域中的任何服务器进行robbin身份validation。
一旦您设置您的网站,并将子网关联到他们,这种行为将停止。
由于网站和服务设置正确 – 如果客户端无法连接到本地数据中心,您将在您的网站之外对DC进行身份validation的唯一原因是。
我会: