Necessidade de outro controlador de domínio

Eu tenho dois controladores de domínio (Windows 2003) em um site onde reside a maior parte do departamento que suporte. Há outro prédio (em outro local) onde meu departamento também reside, mas eles não têm CD.

Essa é provavelmente uma pergunta clássica sobre a instalação de um controlador de domínio adicional quando uma empresa está espalhada por vários sites.

Estamos enfrentando vários problemas, como scripts de login, que não mapeiam unidades e usuários que não conseguem fazer login várias vezes antes de serem autorizados a entrar (mesmo digitando a senha correta).

Estou recebendo erros diferentes nos clientes. Alguns deles são :

Netlogon, 5719 , Este computador não pôde configurar uma sessão segura com um controlador de domínio no domínio domain.com devido ao seguinte: Atualmente, não há servidores de logon disponíveis para atender à solicitação de logon. Isso pode levar a problemas de autenticação. Verifique se este computador está conectado à rede. Se o problema persistir, por favor, contate o administrador de seu domínio.

GroupPolicy, 1055, O processamento da Diretiva de Grupo falhou. O Windows não conseguiu resolver o nome do computador. Isso pode ser causado por um dos seguintes procedimentos: a) Falha na resolução de nomes no controlador de domínio atual. b) Latência de replicação do Active Directory (uma conta criada em outro controlador de domínio não foi replicada no controlador de domínio atual).

Nos servidores, continuo recebendo esses erros:

Logon de rede, 5722, Falha na instalação da sessão do computador SOMEPCNAME. O nome da (s) conta (s) mencionada (s) no banco de dados de segurança é SOMEPCNAME $. Ocorreu o seguinte erro: Acesso negado.

* (este erro acima continua repetindo para o mesmo computador. Provavelmente, você só precisa adicioná-lo novamente ao domínio.) *

Replicação NTDS, 1864, é o status de replicação da seguinte partição de diretório no controlador de domínio local. Partição de diretório: CN = Esquema, CN = Configuração, DC = domínio, DC = com

Este último parece ter a ver com um DC que não foi completamente removido. Quando executei o dcdiag, ele mostrou que estamos tentando replicar com um servidor que não existe mais. Eu não acho que isso nos levaria a ter todos esses problemas de logon.

Gostaria de saber se devemos instalar outro controlador de domínio ou tentar outra coisa. Nossos clientes executam principalmente o Windows 7, mas também existem alguns clientes XP e Vista.

A largura de banda parece ter 37,4 Mbs entre PCs nos diferentes sites (apenas verificado com este utilitário iperf).

Qualquer ajuda é apreciada.

O @gWaldo tem uma boa ideia em termos de aumento da confiabilidade e atualização do seu CD desatualizado, mas é um "palpite" para resolver o problema. @ Chris-S está correto ao comentar que a largura de banda (à primeira vista) também não parece ser o problema.

Primeiro, você deve garantir que a conexão WAN seja confiável, sem perda de pacotes e com ampla largura de banda disponível ao longo do dia.

Além disso, um controlador de domínio não estar disponível não impedirá o logon do cliente Windows (assumindo GPOs padrão) porque as credenciais de cache em um domínio permitem a entrada. Seria útil se você publicasse os erros reais que os usuários estão recebendo.

Para unidades mapeadas, se elas forem feitas por script de logon, você terá pouca ou nenhuma capacidade de ver logs sobre essas informações, mas eu as moveria funcionalmente para Preferências de Diretiva de Grupo que permitirão mapear unidades, torná-las persistentes e também registrar nos logs de eventos do cliente em qualquer problema. Seus problemas de mapeamento podem ser: eles não podem obter o script ou não podem acessar a unidade ... mas são difíceis de entender sem fazer logon.

Mais uma vez, manter a DC atualizada e ter uma em local remoto é "melhor", mas está apenas jogando dardos na parede desse problema específico. Eu tive de 70 a 100 sites remotos em velocidades WAN muito mais baixas, sem que os controladores remotos controlassem, desde que a conexão fosse confiável e tivesse largura de banda disponível.

Há muito espaço em sua pergunta para que outros problemas causem problemas, mas aparentemente (se você tiver certeza de que tudo está funcionando como o esperado), parece que pode ser um bom argumento para um domínio somente leitura Controlador (RODC) .

Isso exigiria a atualização para o Server 2008 para seus controladores de domínio (que é uma boa idéia; pelo menos, 2003 está chegando ao fim da vida útil) e um pouco de cuidado na configuração do RODC, mas isso pode resolver seus problemas também.

Sim, você pode simplesmente configurar outro controlador de domínio de 2003 no escritório remoto, mas parece que não há uma presença de TI lá; portanto, um RODC pode ser mais seguro. Os RODCs são bons onde você pode não ter uma equipe de TI, especialmente se você não tiver uma área segura para o servidor (sem sala de servidores / racks com trava, vizinhança sombria, etc.)

Lembre-se também de que o mapeamento de unidades na rede consumirá largura de banda e, por si só, pode ser uma das principais causas de seus problemas. Pode valer a pena investigar uma implementação local de uma solução de armazenamento (como servidores DFS ou CIFS).

Se você ainda não o fez, separar sua organização com base no local (por Sites ou apenas OUs) também pode ajudá-lo a gerenciar o tráfego e a experiência do usuário.

Definitivamente, eu colocaria outro controlador de domínio no site remoto para fornecer alguma redundância caso a conexão entre os sites falhasse.