Раотоспособность AD при падении одного из контроллеров / Windows

ReSQL.ru

Мобильная версия Контакт Правила FAQ Помощь

Гость

Войти | Регистрация | Профиль | Очистить

Новые сообщения | Избранное

Форумы | Пользователи | Статистика | Мод. лог | Поиск

Цитировать

Написать

Автор*:

Ввести пароль для входа

Тема*:

Сообщение

Данное сообщение тематическое

Сообщение содержит картинки или видео 18+

Автор:

ВНИМАНИЕ! На данном подфоруме действуют строгие правила. Удостоверьтесь, что ваше сообщение соответствует им!

Форум или тема закрыты для гостей. Необходима авторизация!

Загрузить последнюю сохраненную версию

Вложение:

Вставить как галерею

Максимальный размер вложений: 4,0 МБ, аудио/видео: 8,0 МБ. Картинки большего размера ужимаются, если возможно.

Введите код, изображенный на картинке. Если код нечитаемый, кликните картинку, чтобы загрузить другой вариант.

Отправляя сообщение, я выражаю свое согласие с правилами форума и принимаю пользовательское соглашение.

Доб. в избранное | Игнор. тему | Прикреп. тему | Пометить прочит. / непрочит. | Фильтр

Форумы / Windows [игнор отключен] [закрыт для гостей] / Раотоспособность AD при падении одного из контроллеров

42 сообщений из 42, показаны все 2 страниц

все

Раотоспособность AD при падении одного из контроллеров

#34468714

Vit@l

Участник

Откуда: Харьков Украина

Сообщения: 228

Рейтинг: 0 / 0

Добрый день коллеги. Столкнулся со следующей проблемой есть 2 контроллера Домена (для простоты понимания назовем одни PDC, второй BDC), curent functional domain level Windows Server 2003.
На обоих контроллерах поднят ДНС, который хранит свою базу в AD. Так же оба этих контроллера являются GLOBAL CATALOG. Но при недоступности контроллера (PDC) несущего роль RID,PDC-Emulator,Infrastructire. Пользователи неймоверно долго проходят авторизацию на серверах,хотя доступен контроллер BDC. Такое ощущение что они выгрибают данные из кэша.
Что это может быть и как с этим бороться??

Бесполезно рассказывать о высоком моральном облике коллектива человеку, имеющему доступ к логам прокси-сервера этого коллектива…

...

Рейтинг:

0 / 0

18.04.2007, 10:53:52

| Ответить | Цитировать | Написать

Раотоспособность AD при падении одного из контроллеров

#34468827

Biz©

Участник

Откуда: Snezhinsk

Сообщения: 5 700

Рейтинг: 0 / 0

...

Рейтинг:

0 / 0

18.04.2007, 11:12:36

| Ответить | Цитировать | Написать

Раотоспособность AD при падении одного из контроллеров

#34468887

Vit@l

Участник

Откуда: Харьков Украина

Сообщения: 228

Рейтинг: 0 / 0

Неймоверно это секунд 30.
Но!! Но инициализация вторичного ДНС происходит же не при каждой авторизации пользователя.

Вот логи сервака который неймоверно дуплит :(

Код: plaintext

1.
2.

"Сбой попытки проверить принадлежат ли учетные записи пользователя и компьютера одному лесу (Отсутствуют серверы, которые могли бы обработать запрос на вход в сеть. )."
-"Установка сеанса к контроллеру домена Windows NT или Windows 2000 \\pdc.trade.auto для домена TRADE не отвечает. Текущий вызов RPC от Netlogon на \\HELEN к \\pdc.trade.auto отменен."
-"The kerberos subsystem encountered a PAC verification failure.  This indicates that the PAC from the client helen$ in realm trade.auto had a PAC which failed to verify or was modified.  Contact your system administrator."

Бесполезно рассказывать о высоком моральном облике коллектива человеку, имеющему доступ к логам прокси-сервера этого коллектива…

...

Рейтинг:

0 / 0

18.04.2007, 11:23:33

| Ответить | Цитировать | Написать

Раотоспособность AD при падении одного из контроллеров

#34469039

MZH

Участник

Откуда: Moscow

Сообщения: 3 809

Рейтинг: 0 / 0

Проверь, что у клиентов оба контроллера указаны в качестве DNS-серверов.

...

Рейтинг:

0 / 0

18.04.2007, 11:50:04

| Ответить | Цитировать | Написать

Раотоспособность AD при падении одного из контроллеров

#34469117

Vit@l

Участник

Откуда: Харьков Украина

Сообщения: 228

Рейтинг: 0 / 0

Указанно...у меня подозрение что тут проблема с ролями...
Бесполезно рассказывать о высоком моральном облике коллектива человеку, имеющему доступ к логам прокси-сервера этого коллектива…

...

Рейтинг:

0 / 0

18.04.2007, 12:02:53

| Ответить | Цитировать | Написать

Раотоспособность AD при падении одного из контроллеров

#34469134

MZH

Участник

Откуда: Moscow

Сообщения: 3 809

Рейтинг: 0 / 0

По-моему, при аутентификации клиентов и поиске контроллеров роли не так резко участвуют.
Попробуй netdiag и dcdiag на обоих контроллерах.

...

Рейтинг:

0 / 0

18.04.2007, 12:05:13

| Ответить | Цитировать | Написать

Раотоспособность AD при падении одного из контроллеров

#34469271

Guset

Гость

Vit@lНеймоверно это секунд 30.
Но!! Но инициализация вторичного ДНС происходит же не при каждой авторизации пользователя.

При отсутствующем то PDC - это не долго.

Только что Вы имеете ввиду под ИНИЦИАЛИЗАЦИЯ ДНС - может регистрация пользователя в ДНС ?
(или все же имете ввиду что-то иное)
И может не АВТОРИЗАЦИЯ, а АУТЕНТИФИКАЦИЯ пользователя ?

И что Вы имете ввиду под каждой - на какие действия кроме LOGIN при включении у Вас происходит аутентификация ?

...

Рейтинг:

0 / 0

18.04.2007, 12:27:39

| Ответить | Цитировать | Написать

Раотоспособность AD при падении одного из контроллеров

#34469275

Biz©

Участник

Откуда: Snezhinsk

Сообщения: 5 700

Рейтинг: 0 / 0

Vit@lУказанно...у меня подозрение что тут проблема с ролями...
Бесполезно рассказывать о высоком моральном облике коллектива человеку, имеющему доступ к логам прокси-сервера этого коллектива…
а на bdc прописан днс на самого себя ?

...

Рейтинг:

0 / 0

18.04.2007, 12:28:08

| Ответить | Цитировать | Написать

Раотоспособность AD при падении одного из контроллеров

#34469285

MZH

Участник

Откуда: Moscow

Сообщения: 3 809

Рейтинг: 0 / 0

Для получения дополнительного материала включи на контроллерах аудит событий логона.

...

Рейтинг:

0 / 0

18.04.2007, 12:29:27

| Ответить | Цитировать | Написать

Раотоспособность AD при падении одного из контроллеров

#34469321

Biz©

Участник

Откуда: Snezhinsk

Сообщения: 5 700

Рейтинг: 0 / 0

MZHДля получения дополнительного материала включи на контроллерах аудит событий логона.
гхм ... вы часто встречали контроллеры с отключенным аудитом ?

...

Рейтинг:

0 / 0

18.04.2007, 12:35:49

| Ответить | Цитировать | Написать

Раотоспособность AD при падении одного из контроллеров

#34469336

Vit@l

Участник

Откуда: Харьков Украина

Сообщения: 228

Рейтинг: 0 / 0

Да на BDC DNS прописан самого на себя
Бесполезно рассказывать о высоком моральном облике коллектива человеку, имеющему доступ к логам прокси-сервера этого коллектива…

...

Рейтинг:

0 / 0

18.04.2007, 12:38:11

| Ответить | Цитировать | Написать

Раотоспособность AD при падении одного из контроллеров

#34469340

MZH

Участник

Откуда: Moscow

Сообщения: 3 809

Рейтинг: 0 / 0

Biz©гхм ... вы часто встречали контроллеры с отключенным аудитом ?
Боюсь удивить, но точно больше десятка раз видел отключение аудита в политиках контроллеров.

...

Рейтинг:

0 / 0

18.04.2007, 12:39:06

| Ответить | Цитировать | Написать

Раотоспособность AD при падении одного из контроллеров

#34469374

Biz©

Участник

Откуда: Snezhinsk

Сообщения: 5 700

Рейтинг: 0 / 0

Vit@lДа на BDC DNS прописан самого на себя
Бесполезно рассказывать о высоком моральном облике коллектива человеку, имеющему доступ к логам прокси-сервера этого коллектива…
гляньте живой ли на bdc сервис KDC и дайте результаты:
ipconfig /all с bdc и клиента
dcdiag и netdiag с bdc

...

Рейтинг:

0 / 0

18.04.2007, 12:44:03

| Ответить | Цитировать | Написать

Раотоспособность AD при падении одного из контроллеров

#34469450

Biz©

Участник

Откуда: Snezhinsk

Сообщения: 5 700

Рейтинг: 0 / 0

MZH Biz©гхм ... вы часто встречали контроллеры с отключенным аудитом ?
Боюсь удивить, но точно больше десятка раз видел отключение аудита в политиках контроллеров.
и как объяснялся сей факт ?
чот не могу придумать достойной причины ...

...

Рейтинг:

0 / 0

18.04.2007, 13:02:57

| Ответить | Цитировать | Написать

Раотоспособность AD при падении одного из контроллеров

#34469456

Vit@l

Участник

Откуда: Харьков Украина

Сообщения: 228

Рейтинг: 0 / 0

ipconfig /all c Вторичного контроллера (BDC)

Код: plaintext

1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.

Настройка протокола IP для Windows

   Имя компьютера  . . . . . . . . . : bdc
   Основной DNS-суффикс  . . . . . . : trade.auto
   Тип узла. . . . . . . . . . . . . : неизвестный
   IP-маршрутизация включена . . . . : нет
   WINS-прокси включен . . . . . . . : нет
   Порядок просмотра суффиксов DNS . : trade.auto

Local Area Connection - Ethernet адаптер:

   DNS-суффикс этого подключения . . :
   Описание  . . . . . . . . . . . . : AMD PCNET Family PCI Ethernet Adapter
   Физический адрес. . . . . . . . . :  00 -0C- 29 -F3- 42 -9E
   DHCP включен. . . . . . . . . . . : нет
   IP-адрес  . . . . . . . . . . . . :  10 . 0 . 1 . 4 
   Маска подсети . . . . . . . . . . :  255 . 255 . 0 . 0 
   Основной шлюз . . . . . . . . . . :  10 . 0 . 0 . 1 
   DNS-серверы . . . . . . . . . . . :  10 . 0 . 1 . 4 
                                        10 . 0 . 1 . 1

ipconfig /all c Клиента Helen

Код: plaintext

1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.

Настройка протокола IP для Windows

   Имя компьютера  . . . . . . . . . : helen
   Основной DNS-суффикс  . . . . . . : trade.auto
   Тип узла. . . . . . . . . . . . . : неизвестный
   IP-маршрутизация включена . . . . : нет
   WINS-прокси включен . . . . . . . : нет
   Порядок просмотра суффиксов DNS . : trade.auto

Local Area Connection - Ethernet адаптер:

   DNS-суффикс этого подключения . . :
   Описание  . . . . . . . . . . . . : Intel(R) PRO/ 1000  MT Desktop Adapter
   Физический адрес. . . . . . . . . :  00 - 30 - 48 - 70 -A4-3C
   DHCP включен. . . . . . . . . . . : нет
   IP-адрес  . . . . . . . . . . . . :  10 . 0 . 1 . 18 
   Маска подсети . . . . . . . . . . :  255 . 255 . 0 . 0 
   Основной шлюз . . . . . . . . . . :  10 . 0 . 0 . 1 
   DNS-серверы . . . . . . . . . . . :  10 . 0 . 1 . 1 
                                        10 . 0 . 1 . 4

Netdiag на резервном контроллере

Код: plaintext

1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
23.
24.
25.
26.
27.
28.
29.
30.
31.
32.
33.
34.
35.
36.
37.
38.
39.
40.
41.
42.
43.
44.
45.
46.
47.
48.
49.
50.
51.
52.
53.
54.
55.
56.
57.
58.
59.
60.
61.
62.
63.
64.
65.
66.
67.
68.
69.
70.
71.
72.
73.
74.
75.
76.

.....................................
 Computer Name: BDC
 DNS Host Name: bdc.trade.auto
 System info : Windows  2000  Server (Build  3790 )
 Processor : x86 Family  15  Model  3  Stepping  8 , GenuineIntel
 List of installed hotfixes :
 Q147222
Netcard queries test . . . . . . . : Passed
Per interface results:
 Adapter : Local Area Connection
 Netcard queries test . . . : Passed
 Host Name. . . . . . . . . : bdc
 IP Address . . . . . . . . :  10 . 0 . 1 . 4 
 Subnet Mask. . . . . . . . :  255 . 255 . 0 . 0 
 Default Gateway. . . . . . :  10 . 0 . 0 . 1 
 Dns Servers. . . . . . . . :  10 . 0 . 1 . 4 
   10 . 0 . 1 . 1 
 AutoConfiguration results. . . . . . : Passed
 Default gateway test . . . : Passed
 NetBT name test. . . . . . : Passed
 [WARNING] At least one of the < 00 > 'WorkStation Service', < 03 > 'Messen
r Service', < 20 > 'WINS' names is missing.
 WINS service test. . . . . : Skipped
 There are no WINS servers configured for this interface.
Global results:
Domain membership test . . . . . . : Passed
NetBT transports test. . . . . . . : Passed
 List of NetBt transports currently configured:
 NetBT_Tcpip_{BBE76407- 6708 -4A9A-8D28-5FD6A0724E18}
  1  NetBt transport currently configured.

Autonet address test . . . . . . . : Passed

IP loopback ping test. . . . . . . : Passed

Default gateway test . . . . . . . : Passed

NetBT name test. . . . . . . . . . : Passed
 [WARNING] You don't have a single interface with the <00> 'WorkStation Ser
ce', <03> 'Messenger Service', <20> 'WINS' names defined.

Winsock test . . . . . . . . . . . : Passed

DNS test . . . . . . . . . . . . . : Passed
 PASS - All the DNS entries for DC are registered on DNS server '10. 0 . 1 . 4 '
d other DCs also have some of the names registered.
 PASS - All the DNS entries for DC are registered on DNS server '10. 0 . 1 . 1 '
d other DCs also have some of the names registered.

Redir and Browser test . . . . . . : Passed
 List of NetBt transports currently bound to the Redir
 NetBT_Tcpip_{BBE76407-6708-4A9A-8D28-5FD6A0724E18}
 The redir is bound to 1 NetBt transport.
 List of NetBt transports currently bound to the browser
 NetBT_Tcpip_{BBE76407-6708-4A9A-8D28-5FD6A0724E18}
 The browser is bound to 1 NetBt transport.

DC discovery test. . . . . . . . . : Passed

DC list test . . . . . . . . . . . : Passed

Trust relationship test. . . . . . : Passed
 Secure channel for domain 'TRADE' is to '\\PDC.trade.auto'.

Kerberos test. . . . . . . . . . . : Passed

LDAP test. . . . . . . . . . . . . : Passed
Bindings test. . . . . . . . . . . : Passed

WAN configuration test . . . . . . : Skipped
 No active remote access connections.

Modem diagnostics test . . . . . . : Passed
IP Security test . . . . . . . . . : Skipped
 Note: run "netsh ipsec dynamic show /?" for more detailed information

The command completed successfully

DCDIAG на резервном контроллере BDC

Код: plaintext

Domain Controller Diagnosis

Performing initial setup:
   Done gathering initial info.

Doing initial required tests

   Testing server: Default-First-Site-Name\BDC
      Starting test: Connectivity
         ......................... BDC passed test Connectivity

Doing primary tests

   Testing server: Default-First-Site-Name\BDC
      Starting test: Replications
         ......................... BDC passed test Replications
      Starting test: NCSecDesc
         ......................... BDC passed test NCSecDesc
      Starting test: NetLogons
         ......................... BDC passed test NetLogons
      Starting test: Advertising
         Warning: BDC is not advertising as a time server.
         ......................... BDC failed test Advertising
      Starting test: KnowsOfRoleHolders
         ......................... BDC passed test KnowsOfRoleHolders
      Starting test: RidManager
         ......................... BDC passed test RidManager
      Starting test: MachineAccount
         ......................... BDC passed test MachineAccount
      Starting test: Services
         ......................... BDC passed test Services
      Starting test: ObjectsReplicated
         ......................... BDC passed test ObjectsReplicated
      Starting test: frssysvol
         ......................... BDC passed test frssysvol
      Starting test: frsevent
         ......................... BDC passed test frsevent
      Starting test: kccevent
         ......................... BDC passed test kccevent
      Starting test: systemlog
         ......................... BDC passed test systemlog
      Starting test: VerifyReferences
         ......................... BDC passed test VerifyReferences

   Running partition tests on : DomainDnsZones
      Starting test: CrossRefValidation
         ......................... DomainDnsZones passed test CrossRefValidation

      Starting test: CheckSDRefDom
         ......................... DomainDnsZones passed test CheckSDRefDom

   Running partition tests on : ForestDnsZones
      Starting test: CrossRefValidation
         ......................... ForestDnsZones passed test CrossRefValidation

      Starting test: CheckSDRefDom
         ......................... ForestDnsZones passed test CheckSDRefDom

   Running partition tests on : Schema
      Starting test: CrossRefValidation
         ......................... Schema passed test CrossRefValidation
      Starting test: CheckSDRefDom
         ......................... Schema passed test CheckSDRefDom

   Running partition tests on : Configuration
      Starting test: CrossRefValidation
         ......................... Configuration passed test CrossRefValidation
      Starting test: CheckSDRefDom
         ......................... Configuration passed test CheckSDRefDom

   Running partition tests on : trade
      Starting test: CrossRefValidation
         ......................... trade passed test CrossRefValidation
      Starting test: CheckSDRefDom
         ......................... trade passed test CheckSDRefDom

   Running enterprise tests on : trade.auto
      Starting test: Intersite
         ......................... trade.auto passed test Intersite
      Starting test: FsmoCheck
         ......................... trade.auto passed test FsmoCheck

...

Рейтинг:

0 / 0

18.04.2007, 13:03:53

| Ответить | Цитировать | Написать

Раотоспособность AD при падении одного из контроллеров

#34469488

MZH

Участник

Откуда: Moscow

Сообщения: 3 809

Рейтинг: 0 / 0

Biz©и как объяснялся сей факт ?
чот не могу придумать достойной причины ...
"Чтобы логи зря не захламлять, все равно от них пользы нет" ()

...

Рейтинг:

0 / 0

18.04.2007, 13:11:25

| Ответить | Цитировать | Написать

Раотоспособность AD при падении одного из контроллеров

#34469529

Biz©

Участник

Откуда: Snezhinsk

Сообщения: 5 700

Рейтинг: 0 / 0

автор Starting test: Advertising
Warning: BDC is not advertising as a time server.
......................... BDC failed test Advertising
сравните время на клиенте и сервере ибо не любит керберос большой разницы, а синхронизировать время клиент не может по указанной причине ...
чот с таймсервером случилось ...

...

Рейтинг:

0 / 0

18.04.2007, 13:20:51

| Ответить | Цитировать | Написать

Раотоспособность AD при падении одного из контроллеров

#34469545

Vit@l

Участник

Откуда: Харьков Украина

Сообщения: 228

Рейтинг: 0 / 0

В логах контроллера частенько появляются следующие события

Код: plaintext

The master browser has received a server announcement from the computer ROCK that believes that it is the master browser for the domain on transport NetBT_Tcpip_{F6A6BD4E- 8466 -4A94-BB5A. The master browser is stopping or an election is being forced.

Как этого избежать??

...

Рейтинг:

0 / 0

18.04.2007, 13:24:40

| Ответить | Цитировать | Написать

Раотоспособность AD при падении одного из контроллеров

#34469548

Biz©

Участник

Откуда: Snezhinsk

Сообщения: 5 700

Рейтинг: 0 / 0

MZH Biz©и как объяснялся сей факт ?
чот не могу придумать достойной причины ...
"Чтобы логи зря не захламлять, все равно от них пользы нет" ()
ноу комментс ...
им жить ...

...

Рейтинг:

0 / 0

18.04.2007, 13:25:29

| Ответить | Цитировать | Написать

Раотоспособность AD при падении одного из контроллеров

#34469555

rrrrrrrrrr

Участник

Откуда: РТ

Сообщения: 6 388

Рейтинг: 0 / 0

В политиках домена в конфигурации служб отключите Computer Browser на всех, кроме контроллеров. Только проблема все равно не в этом.

...

Рейтинг:

0 / 0

18.04.2007, 13:26:36

| Ответить | Цитировать | Написать

Раотоспособность AD при падении одного из контроллеров

#34469558

Biz©

Участник

Откуда: Snezhinsk

Сообщения: 5 700

Рейтинг: 0 / 0

Vit@lВ логах контроллера частенько появляются следующие события

Код: plaintext

The master browser has received a server announcement from the computer ROCK that believes that it is the master browser for the domain on transport NetBT_Tcpip_{F6A6BD4E- 8466 -4A94-BB5A. The master browser is stopping or an election is being forced.

Как этого избежать??
самое простое: через групповую политику запретить на всех клиентах службу computer browser ...

...

Рейтинг:

0 / 0

18.04.2007, 13:27:11

| Ответить | Цитировать | Написать

Раотоспособность AD при падении одного из контроллеров

#34469584

Guset

Гость

Vit@l…

Собственно надо посмотреть через Netmon - что происходит в сети (на клиенте хорошо бы) при аутентификации.

/PDC эмулятор несет на себе роли
-Мастер Времени
-Domain Master Browser

А так же без него не сможете кстати ни к одной оснастке подключиться (dsa.msc,dns.msc,...)

Хотя на вашу проблему отсутствие PDC сильного влияния оказать не должно, кроме как ,как раз задержек при логоне/

...

Рейтинг:

0 / 0

18.04.2007, 13:33:05

| Ответить | Цитировать | Написать

Раотоспособность AD при падении одного из контроллеров

#34469593

Vit@l

Участник

Откуда: Харьков Украина

Сообщения: 228

Рейтинг: 0 / 0

rrrrrrrrrr В политиках домена в конфигурации служб отключите Computer Browser на всех, кроме контроллеров. Только проблема все равно не в этом.
В чем тогда эта проблема, и насколько это критично???

...

Рейтинг:

0 / 0

18.04.2007, 13:34:33

| Ответить | Цитировать | Написать

Раотоспособность AD при падении одного из контроллеров

#34469641

Vit@l

Участник

Откуда: Харьков Украина

Сообщения: 228

Рейтинг: 0 / 0

Biz© автор Starting test: Advertising
Warning: BDC is not advertising as a time server.
......................... BDC failed test Advertising
сравните время на клиенте и сервере ибо не любит керберос большой разницы, а синхронизировать время клиент не может по указанной причине ...
чот с таймсервером случилось ...
Как вы посоветуете организавать синхронизацию времени?? Сейчас это сделано следующим образом. Есть cmd' шник, который выполняется на pdc каждые пол часа

Код: plaintext

1.
2.
3.
4.
5.
6.
7.

w32tm /resync
if not errorlevel  0  w32tm /resync /rediscover
timeout  10 

w32tm /resync /computer:bdc


timeout  1

Это было реализовано не мной, и как я понимаю это не совсем правильно...

...

Рейтинг:

0 / 0

18.04.2007, 13:46:40

| Ответить | Цитировать | Написать

Раотоспособность AD при падении одного из контроллеров

#34469765

Guset

Гость

Vit@l...

для клиентов через DHCP указать кто является сервером времени (например у вас PDC)
а на вашем BDC дать разок команду net time ....... с указанием тоже что сервер времени PDC

...

Рейтинг:

0 / 0

18.04.2007, 14:17:37

| Ответить | Цитировать | Написать

Раотоспособность AD при падении одного из контроллеров

#34469790

Biz©

Участник

Откуда: Snezhinsk

Сообщения: 5 700

Рейтинг: 0 / 0

с точки зрения клиента это выглядит так:
MS KB Article 307897If the computers belong to an Active Directory domain, the Windows Time service configures itself automatically by using the Windows Time service that is available on domain controllers. The Windows Time service configures a domain controller in its domain as a reliable time source and synchronizes itself periodically with this source.
кроме того, pdc-emulator - главный поставщик времени в домене, т.е. с него берут время и другие контроллеры домена ...
единственное что можно добавить - синхронизировать dc с ролью pdc-emulator с внешним источником точного времени (в интернете например)
вот у вас и запускается синхронизация pdc с внешним источником + принудительная синхронизация bdc с pdc ... последнее может как раз из-за того, что с сервисом времени в bdc проблемы ...

...

Рейтинг:

0 / 0

18.04.2007, 14:23:58

| Ответить | Цитировать | Написать

Раотоспособность AD при падении одного из контроллеров

#34469843

Biz©

Участник

Откуда: Snezhinsk

Сообщения: 5 700

Рейтинг: 0 / 0

2автор:
сама по себе работа синхронизации не так важна в контексте треда, важно чтобы время на клиенте и кд не сильно отличалось ... у вас на самом деле идёт сильное различие по времени ?
точную дельту мона узнать в default group policy .. по-дефолту = 5 мин.

...

Рейтинг:

0 / 0

18.04.2007, 14:37:32

| Ответить | Цитировать | Написать

Раотоспособность AD при падении одного из контроллеров

#34469933

Vit@l

Участник

Откуда: Харьков Украина

Сообщения: 228

Рейтинг: 0 / 0

А если использовать внешний сервер времени на BDC…или это противоречит технологии??

...

Рейтинг:

0 / 0

18.04.2007, 14:57:48

| Ответить | Цитировать | Написать

Раотоспособность AD при падении одного из контроллеров

#34469949

Guset

Гость

Vit@lА если использовать внешний сервер времени на BDC…или это противоречит технологии??

Можно конечно и его использовать и с ним синхронизировать и клиентам указать что он будет сервером времени.

Но лучше все же выполнять синхронизацию с тем DC который несет роль PDC.

...

Рейтинг:

0 / 0

18.04.2007, 15:00:40

| Ответить | Цитировать | Написать

Раотоспособность AD при падении одного из контроллеров

#34470233

Anatoly Podgoretsky

Участник

Сообщения: 63 997

Рейтинг: 0 / 0

Vit@lКак вы посоветуете организавать синхронизацию времени?? Сейчас это сделано следующим образом. Есть cmd' шник, который выполняется на pdc каждые пол часа
Использовать типовой механизм W32Time для этого достаточно его запустить из служб и отконфигурировать его в реестре, запустить на PDC и он будет и сервером для остальных компьютеров и клиентом NTP
Члены домена все равно берут время с него.
Если что то могу помочь с конфигурированием, но в TechNet есть подробная информация и на английсокм и на русском.
В качестве клиента поддерживает список источников времени, у меня например указано три источника, один из них постоянно неработающий time.microsoft.com
Даже если сингхронизации с Интернета, то это не важно, важно чтобы время было одинаковое в домене.

...

Рейтинг:

0 / 0

18.04.2007, 16:02:03

| Ответить | Цитировать | Написать

Раотоспособность AD при падении одного из контроллеров

#34472748

Vit@l

Участник

Откуда: Харьков Украина

Сообщения: 228

Рейтинг: 0 / 0

Anatoly Podgoretsky Vit@lКак вы посоветуете организавать синхронизацию времени?? Сейчас это сделано следующим образом. Есть cmd' шник, который выполняется на pdc каждые пол часа
Использовать типовой механизм W32Time для этого достаточно его запустить из служб и отконфигурировать его в реестре, запустить на PDC и он будет и сервером для остальных компьютеров и клиентом NTP
Члены домена все равно берут время с него.
Если что то могу помочь с конфигурированием, но в TechNet есть подробная информация и на английсокм и на русском.
В качестве клиента поддерживает список источников времени, у меня например указано три источника, один из них постоянно неработающий time.microsoft.com
Даже если сингхронизации с Интернета, то это не важно, важно чтобы время было одинаковое в домене. Если вам не доставит больших неудобств, помогите организовать синхронизацию времени.
С Уважением Виталий

...

Рейтинг:

0 / 0

19.04.2007, 13:59:03

| Ответить | Цитировать | Написать

Раотоспособность AD при падении одного из контроллеров

#34473901

Sergey Orlov

Участник

Откуда: СПб

Сообщения: 4 520

Рейтинг: 0 / 0

Сходи на http://www.networkdoc.ru, там есть статья где описаны детально все парметры.

...

Рейтинг:

0 / 0

19.04.2007, 18:15:59

| Ответить | Цитировать | Написать

Раотоспособность AD при падении одного из контроллеров

#34474259

Anatoly Podgoretsky

Участник

Сообщения: 63 997

Рейтинг: 0 / 0

Vit@lЕсли вам не доставит больших неудобств, помогите организовать синхронизацию времени.
Послал выписку из реестра на адрес в анкете.
Пока смотрел анкету потерял подготовленный ответ, приходится поновому писать.
Для подробной информации посмотри следующую статью W32Time , она очень подробная даже слишком, но понять можно, но вкратче достаточно изменить всего два параметра в реестре и после этого перезапустить службу Windows Time (обязательно)

Код: plaintext

1.
2.
3.
4.

HKLM\System\CurrentControlSet\W32Time

  Parameters - список внешних источников, достаточно одного если он стабильные, но не стоит делать более двух трех. При этом будут информационные сообщения об ошибках в журнале, их просто игнорировать.

  Type - NTP для PDC он будет являться источником точного времени для всего домена, включая остальные контроллеры. NT5DS для всех остальных.

Это все что нужно сделать и проверить на остальных контроллерах и серверах.

...

Рейтинг:

0 / 0

19.04.2007, 21:19:43

| Ответить | Цитировать | Написать

Раотоспособность AD при падении одного из контроллеров

#34474266

Anatoly Podgoretsky

Участник

Сообщения: 63 997

Рейтинг: 0 / 0

Упустил еще один важный флаг

Config\AnnounceFlag - 5 для PDC, 10 для остальных

...

Рейтинг:

0 / 0

19.04.2007, 21:25:53

| Ответить | Цитировать | Написать

Раотоспособность AD при падении одного из контроллеров

#34474273

Anatoly Podgoretsky

Участник

Сообщения: 63 997

Рейтинг: 0 / 0

И список в формате URL1,0x1 URL2,0x1 ...

...

Рейтинг:

0 / 0

19.04.2007, 21:31:27

| Ответить | Цитировать | Написать

Раотоспособность AD при падении одного из контроллеров

#34474862

Vit@l

Участник

Откуда: Харьков Украина

Сообщения: 228

Рейтинг: 0 / 0

Так а все же... Нужно ли совершать какте-либо действия, если контроллер т.н. PDC временно недоступен? И насколько это будет ощутимо пользователям?

...

Рейтинг:

0 / 0

20.04.2007, 09:29:27

| Ответить | Цитировать | Написать

Раотоспособность AD при падении одного из контроллеров

#34474983

Biz©

Участник

Откуда: Snezhinsk

Сообщения: 5 700

Рейтинг: 0 / 0

Vit@lТак а все же... Нужно ли совершать какте-либо действия, если контроллер т.н. PDC временно недоступен? И насколько это будет ощутимо пользователям?
если всё правильно настроено, то ничего делать не надо и для пользователя это прозрачно ...

...

Рейтинг:

0 / 0

20.04.2007, 10:08:37

| Ответить | Цитировать | Написать

Раотоспособность AD при падении одного из контроллеров

#34476382

Vit@l

Участник

Откуда: Харьков Украина

Сообщения: 228

Рейтинг: 0 / 0

Какие настройки должны быть на клиентах, которые входят в AD

...

Рейтинг:

0 / 0

20.04.2007, 15:21:38

| Ответить | Цитировать | Написать

Раотоспособность AD при падении одного из контроллеров

#34476810

Sergey Orlov

Участник

Откуда: СПб

Сообщения: 4 520

Рейтинг: 0 / 0

Какие настройки должны быть на клиентах, которые входят в AD?
Да никакие, точнее, все должно стоять по умолчанию, в результате этого, все клиентские компьютеры будут использовать в качестве источника времени контроллер домена, проверяющий их подлинность. То же самое происходит и на рядовых серверах. Все контроллеры домена используют в качестве источника хозяина операций основного КД(PDC), вот его и надо настроить на внешний источник времени в I-net'e. А сами контроллеры доменов в AD синхронизируются по иерархии леса.
Другими словами надо хозяина операций основного КД(PDC) синхронизировать с кем-нибудь, а на всех остальных запустить службу Windows Time(W32Time).

...

Рейтинг:

0 / 0

20.04.2007, 16:42:05

| Ответить | Цитировать | Написать

Раотоспособность AD при падении одного из контроллеров

#34477251

Anatoly Podgoretsky

Участник

Сообщения: 63 997

Рейтинг: 0 / 0

авторКакие настройки должны быть на клиентах, которые входят в AD
Никакие, все настроено по умолчанию, все рабочии станции и сервера, включая контроллеры используют NT5DS, какое либо изменение может привести к непредсказуемым последствиям.
Только один контроллер домена (он же PDC) должен брать время от внешнего источка, все остальные от него. А на PDC любой протокол, включая встроеные часы.

...

Рейтинг:

0 / 0

20.04.2007, 18:25:54

| Ответить | Цитировать | Написать

Раотоспособность AD при падении одного из контроллеров

#34480275

Vit@l

Участник

Откуда: Харьков Украина

Сообщения: 228

Рейтинг: 0 / 0

Anatoly Podgoretsky Vit@lЕсли вам не доставит больших неудобств, помогите организовать синхронизацию времени.
Послал выписку из реестра на адрес в анкете.
Пока смотрел анкету потерял подготовленный ответ, приходится поновому писать.
Для подробной информации посмотри следующую статью W32Time , она очень подробная даже слишком, но понять можно, но вкратче достаточно изменить всего два параметра в реестре и после этого перезапустить службу Windows Time (обязательно)

Код: plaintext

1.
2.
3.
4.

HKLM\System\CurrentControlSet\W32Time

  Parameters - список внешних источников, достаточно одного если он стабильные, но не стоит делать более двух трех. При этом будут информационные сообщения об ошибках в журнале, их просто игнорировать.

  Type - NTP для PDC он будет являться источником точного времени для всего домена, включая остальные контроллеры. NT5DS для всех остальных.

Это все что нужно сделать и проверить на остальных контроллерах и серверах.

Так и сделал...НО..при запросе времени с клиента вот что происходит
D:\Documents and Settings\vital>w32tm /monitor

Код: plaintext

1.
2.
3.
4.
5.
6.

pdc.trade.auto *** PDC *** [ 10 . 0 . 1 . 1 ]:
    ICMP: 3ms delay.
    NTP: + 0 .0000000s offset from pdc.trade.auto
        RefID: (unknown) [ 10 . 0 . 0 . 11 ]
BDC.trade.auto [ 10 . 0 . 1 . 4 ]:
    ICMP: 0ms delay.
    NTP: error ERROR_TIMEOUT - no response from server in 1000ms

Т.е. мой контроллер т.н. BDC не отдает времени...

...

Рейтинг:

0 / 0

23.04.2007, 13:59:58

| Ответить | Цитировать | Написать

Раотоспособность AD при падении одного из контроллеров

#34487520

Pain Of Salvation

Участник

Откуда: Москва

Сообщения: 303

Рейтинг: 0 / 0

Vit@lДобрый день коллеги. Столкнулся со следующей проблемой есть 2 контроллера Домена (для простоты понимания назовем одни PDC, второй BDC), curent functional domain level Windows Server 2003.
На обоих контроллерах поднят ДНС, который хранит свою базу в AD. Так же оба этих контроллера являются GLOBAL CATALOG. Но при недоступности контроллера (PDC) несущего роль RID,PDC-Emulator,Infrastructire. Пользователи неймоверно долго проходят авторизацию на серверах,хотя доступен контроллер BDC. Такое ощущение что они выгрибают данные из кэша.
Что это может быть и как с этим бороться??

Бесполезно рассказывать о высоком моральном облике коллектива человеку, имеющему доступ к логам прокси-сервера этого коллектива…

Может полезно будет, рекомендую посмотетреть :

Благодаря возможности удаленного поэлементного восстановления можно восстанавливать целые разделы каталога,выбранные объекты и отдельные атрибуты, не переводя AD в автономный режим :))

http://www.quest.com/recovery-manager-for-active-directory-forest-edition

Для аудита вещь,позволяет проверять все события, зарегистрированные на DC, выдавать по ним отчеты и рассылать уведомления, ну и отслеживать можно все подробные изменения в AD и групповой политике. ТАк же реагирует на нарушения политики безопасности и нежелательные изменения важных объектов , ну и тп.

http://www.quest.com/intrust_for_active_directory

Я ключи перешлю, если заинтересует .

...

Рейтинг:

0 / 0

25.04.2007, 18:07:32

| Ответить | Цитировать | Написать

42 сообщений из 42, показаны все 2 страниц

все

Форумы / Windows [игнор отключен] [закрыт для гостей] / Раотоспособность AD при падении одного из контроллеров

Читали тему (0):

Читали форум (0):

Пользователи онлайн (0):

start [/forum/topic.php?all=1&fid=26&tid=1507520]:	0ms
get settings:	8ms
get forum list:	9ms
check forum access:	2ms
check topic access:	2ms
track hit:	44ms
get topic data:	8ms
get forum data:	2ms
get page messages:	48ms
get tp. blocked users:	1ms
others:	229ms

total:	353ms

	Необходимые cookie
	Cookie для сбора статистики
	Cookie для маркетинга и рекламы