Просмотр темы - При пропадании конекта между контролерами доменов.

[lalex Профиль СайтICQ]

Существует схема AD microsoft.com, контролер домена, он же хозяин схемы и всех ролей. существуют ещё несколько дочерних доменов domain1.microsoft.com, domain2.microsoft.com, domain3.microsoft.com все сервера под управлением Windows 2000 AS (SP4). при длительном (12-24 часов) пропадании конекта между хозяином инфраструктуры, т.е. контролером microsoft.com и контролером домена domain1.microsoft.com пользователи из домена domain1.microsoft.com не могут зарегистрироваться в своём домене и попасть на шареные ресурсы. насколько я понимаю такое поведение контролеров неправильное, т.е. получается при некоторых коллизиях в сети пользователи просто перестанут регистрироваться. а как производить ремонт роутеров? дргие какие-то плановые мероприятия? а если в конце-концов хозяин схемы на какое-то время окажется неработоспособен? как избежать ситуации в которой при пропадании связи между контролерами они оставались работоспособными и выполняли свои роли?

[domovoy]

lalex
Ну вообще то нужно правильно раздать роли между доменами, и делегировать полномочия. Ну и естественно репликация между доменами.
Почитай вот тут разбирается подробная схема.
Узлы Active Directory

[lalex Профиль СайтICQ]

Спасибо за ответ. у меня настроенно всё приблизительно так, как указанно в руководстве, но почему контролеры доменов domain1.microsoft.com, domain2.microsoft.com, domain3.microsoft.com периодически не могут установить связь с глобальным каталогом? связь между серверами 10 Mb/s и иногда в EventLog-е проскакивают сообщения такого характера: "LDAP через SSL будет недоступен, поскольку этот сервер не смог получить сертификат." (владельцем сертификатов является сервер глобального каталога) и после этого юзеры не пускаются.

[Crazyman Профиль СайтICQ]

Напиши номер и службу события, попробуем разобраться.

[lalex Профиль СайтICQ]

Тип события: Уведомления
Источник события: NTDS LDAP
Категория события: Интерфейс LDAP
Код события: 1220
Дата: 02.03.2004
Время: 9:13:47
Пользователь: Нет данных
Компьютер: DOMAIN2
Описание:
LDAP через SSL будет недоступен, поскольку этот сервер не смог получить сертификат.

насколько я понимаю, то интерфейс LDAP использует служба AD.

[domovoy]

lalex
Так сделай так что бы они держали сами копию глоб каталога, ну и свои соответственно, и тогда Сам основной сервер им нужен будет только при репликации для обновления схемы а юзвери у них будут у себя хранится и пускать будет в любом случае.

[lalex Профиль СайтICQ]

[konung Профиль]

lalex
Неужели до сих пор сам не нашел?

Суть проблемы банальна:
- при логоне в 2000 домен в нейтив-мод DC проверяет членство пользователя в универсальных группах
- как известно, членство в универсальных группах является атрибутом, хранимым на сервере ГК
- соотв. - при недоступности сервера ГК авторизация пользователя невозможна
- в WinSrv2003 введен специальный режим кеширования атрибутов ГК - в Вашем случае он был бы полезен (но это "лирика")

Для того, чтобы сделать DC сервером ГК, надо выбрать соотв. чекбокс в св-вах NTDS Settings DC (через консоль Sites & Services)

Microsoft рекомендует размещать сервер ГК в КАЖДОМ сайте. (это увеличивает трафик межсайтовой репликации, но уменьшает трафик при аутентификации, повышается общая надежность системы; при дизайне AD с несколькими доменами в любом случае рекомендуется иметь не менее 2 серверов ГК; при планировании их размещения - учитывать возможное наличие приложений, активно работающих с ГК (например, Exchange 2000/2003))