Как заставить машины на сайте AD проходить аутентификацию в GC на своем сайте
Есть ли какой-то конкретный способ заставить машины проходить аутентификацию в Глобальном каталоге на их собственном сайте? У меня есть сайт, где машины часто проходят проверку подлинности с помощью GC на удаленном сайте (подключенном через частную глобальную сеть 4 МБ), а не на локальном.
Я попытался установить параметр групповой политики, который заставляет компьютеры подключаться к определенному сайту, а не определять сайт через свою подсеть.
Я предполагаю, что это не должно быть такой проблемой, так как групповые политики все еще будут извлекаться из локального ресурса \\domain\sysvol их сайта.
2 ответа
На самом деле мы обнаружили, что групповые политики также могут быть получены с удаленного контроллера домена, что намного медленнее, чем аутентификация. Даже при слабом соединении аутентификация во время входа в систему должна быть относительно быстрой. Применение групповых политик пользователей во время входа на рабочую станцию будет заметно медленнее, а групповые политики компьютеров по умолчанию повторно применяются каждые 90 минут.
Некоторые люди успешно настроили параметр реестра DNSAvoidRegisterRecords. Однако, прежде чем исследовать это, вы должны сначала убедиться, что все записи и зоны DNS вашего домена и сайта корректны и корректно обновляются, рабочие станции используют свой локальный сервер ad dns и что у вас нет конфигурации, которая могла бы усложнить это, например, в качестве постоянного тока с несколькими сетевыми картами. Вам также следует настроить захват пакетов, чтобы подтвердить, когда и как часто используются удаленные контроллеры, и проверить результат любых изменений.
Такое поведение может быть нормальным, если контроллер домена на локальном сайте недоступен или не отвечает, клиенты должны попытаться использовать другой DC. Одна вещь, которую вы не хотите - это конфигурация с одним доступным постоянным током.
Описание записей DNS, которые применяются к контроллерам домена и глобальным каталогам, смотрите:
Как оптимизировать расположение контроллера домена или глобального каталога, которые находятся на другом сайте
http://support.microsoft.com/kb/306602
Обычно это можно сделать, не регистрируя некоторые записи, указав вручную другие записи, относящиеся к dc / gc, с желаемым приоритетом. Приоритет DNS предписывает клиентам использовать запись SRV с самым низким приоритетом для DC / GC, если серверы с низким приоритетом не отвечают.
В следующей статье описывается типичное использование настройки веса DNS и приоритета записей SRV для контроллеров домена:
http://technet.microsoft.com/en-us/library/cc787370%28WS.10%29.aspx
Правильно ли настроены ваши сайты и подсети в оснастке "Сайты и службы Active Directory"?
Если у вас нет настроенных сайтов, машины будут просто проходить проверку подлинности на робине на любом сервере в домене, поскольку AD считает, что все машины находятся на одном сайте.
Как только вы настроите свои сайты и свяжете с ними подсети, это поведение прекратится.
Так как сайты и службы настроены правильно, единственной причиной, по которой вы выполняете аутентификацию на контроллере домена за пределами вашего сайта, может быть то, что клиент не может подключиться к локальному контроллеру домена.
Я мог бы:
- Убедитесь, что брандмауэры не блокируют порты AD
- Запустите dcdiag на контроллерах домена
- Запустите netdiag на контроллерах домена
- Проверьте журнал службы каталогов на наличие ошибок.