none
关于AD的修复,管理,删除的一些问题 RRS feed

  • 问题

  • 你好微软:

                   因为客户的DC出现了复制问题,导致了一些故障的产生,受邀我将对客户的AD进行修复。

    客户情况如下:

    全国有北上广深4大区域,每个区域不少于2个DC。至少4个站点。其中上海站是主要的中心(五大角色均在上海)。其中每个区域是通过VPN相连。VPN为星状结构。所有的外地用户均连接到上海进行通信,外地之间互相不能直接通讯。

    由于历史原因,各个分站点间DC复制出现了很大问题,主要表现在密码账户不同步。而上海站由于管理得当几乎没有这种问题。

    我打算这么做:

    1.修改各个分站的DHCP设置将DNS指向上海主站(DCSH)。

    2.首先尝试正常删除分站DC如不正常,强行删除。只保留上海主站的两台DC。

    3.在DCSH清理残留的分站信息。清除完毕后进行同步。

    4.对主站 DCSH 进行修复。

    5.进入二期,重新规划分站,视情况放置RODC

    我可能遭遇的问题:

    1.修改各个分站的DHCP设置将DNS指向上海主站(DCSH)。  

    第二天上班后用户是否直接向主站DC拿信息

    4.对主站 DCSH 进行修复。

    我需要一些修复工具,和诊断工具

    以上


    颜梦雨 (攻城狮) yanmy@outlook.com

    2013年5月15日 2:27

答案

  • 你的问题1:修改各个分站的DHCP设置将DNS指向上海主站(DCSH)。第二天上班后用户是否直接向主站DC拿信息?

    回答:不是这么简单。参见DC Locator流程,注意关键字site

    How Domain Controllers Are Located in Windows
    http://support.microsoft.com/kb/247811

    Domain Controller Location Process
    http://technet.microsoft.com/en-us/library/cc978011.aspx

    Enabling Clients to Locate the Next Closest Domain Controller
    http://technet.microsoft.com/en-us/library/cc733142(v=ws.10).aspx

    ------------------------------------------------------------------------------------

    你的问题2:对主站 DCSH 进行修复。我需要一些修复工具,和诊断工具

    回答:诊断工具推荐微软技术支持常用的MPSReport。至于修复,要视你有哪些故障而定。


    2013年5月15日 4:02
  • 您好!                         

    请问您指的“分站客户端到一个指定的DC上拿信息是指客户端通过指定的DC登录域吗?

    如果是的话,我们建议您可以在性能较为强劲的域控制器上设置较小的priority值,而在另一台域控制器上设定较大的priority值。

    可以参考以下步骤来修改priority值:

    1 Click Start, click Run, type regedit and then press ENTER.
    2 In the Registry Editor, navigate to HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    3 Click Edit, click New, and then click DWORD value.4 For the new value name, type LdapSrvPriority, and press ENTER.
    4 Double-click the value name that you just typed to open the Edit DWORD Value dialog box.
    5 Enter a value from 0 through 65535. The default value is 0.7 Choose Decimal as the Base option, and then click OK.
    6 Click File, and then click Exit to close the Registry Editor.

    另外,您也可以通过划分站点的方式来实现这一目标。在服务器端,我们只能透过查看域控制器上的事件日志或是第三方的工具来检查哪些用户登陆。默认情况下,域控制器上会启用Account Logon Events以及Logon Events审核日志。有关详细信息,请参考:

    Audit logon events
    http://technet.microsoft.com/en-us/library/cc787567.aspx

    Audit account logon events
    http://technet.microsoft.com/en-us/library/cc787176.aspx[/url]

    另外,在客户端,我们可以使用命令“SET L”来查看当前这台客户机是由哪台域控制器进行验证登陆的。

    有关如何调整域控制器优先级的更多信息,请参考以下文章:
    Reducing the workload on the PDC emulator master
    [url]http://technet.microsoft.com/en-us/library/cc787370.aspx[/url]

    Change the weight for DNS SRV records in the registry
    [url]http://technet.microsoft.com/en-us/library/cc778225.aspx[/url]

    Change the priority for DNS SRV records in the registry
    http://technet.microsoft.com/en-us/library/cc781155.aspx

    希望我的回答对您有所帮助,如果您还有什么问题,请您再和我们联系。


    微软一站式示例脚本库: http://blogs.technet.com/b/onescript

    2013年5月15日 9:24
    版主
  • 换一个思路。

    我有分站BJ所属子网是192.168.1.0/24,BJ里面有两台故障DC(DCBJ1.DCBJ2)。对应的站点是BJ

    有主站SH所属子网是192.168.1.99/24,SH里面有两台健康的DC(DCSH1,DCSH2)。对应的站点是SH

    我实施以下操作

    更改子网192.168.1.0/24所对应站点,改为SH站点。然后站点BJ里没有任何所属子网。然后关机,关掉DCBJ1,DCBJ2.

    那么所有192.168.1.0/24里面的客户端是否都会直接去SH站点拿信息。



    颜梦雨 (攻城狮)yanmy@outlook.com



    这应该是一个非常合理的做法,完全利用到IP所属Site就近登录的原则。

    你实施下来后,有什么异常吗?

    2013年5月17日 7:45

全部回复

  • 你的问题1:修改各个分站的DHCP设置将DNS指向上海主站(DCSH)。第二天上班后用户是否直接向主站DC拿信息?

    回答:不是这么简单。参见DC Locator流程,注意关键字site

    How Domain Controllers Are Located in Windows
    http://support.microsoft.com/kb/247811

    Domain Controller Location Process
    http://technet.microsoft.com/en-us/library/cc978011.aspx

    Enabling Clients to Locate the Next Closest Domain Controller
    http://technet.microsoft.com/en-us/library/cc733142(v=ws.10).aspx

    ------------------------------------------------------------------------------------

    你的问题2:对主站 DCSH 进行修复。我需要一些修复工具,和诊断工具

    回答:诊断工具推荐微软技术支持常用的MPSReport。至于修复,要视你有哪些故障而定。


    2013年5月15日 4:02
  • 谢谢啊`···

    颜梦雨 (攻城狮)yanmy@outlook.com

    2013年5月15日 4:28
  • 那么请教 我如何能让分站客户端到一个指定的dc上拿信息?

    林功能级别和域功能级别都是2003


    颜梦雨 (攻城狮)yanmy@outlook.com

    2013年5月15日 6:02
  • 您好!                         

    请问您指的“分站客户端到一个指定的DC上拿信息是指客户端通过指定的DC登录域吗?

    如果是的话,我们建议您可以在性能较为强劲的域控制器上设置较小的priority值,而在另一台域控制器上设定较大的priority值。

    可以参考以下步骤来修改priority值:

    1 Click Start, click Run, type regedit and then press ENTER.
    2 In the Registry Editor, navigate to HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    3 Click Edit, click New, and then click DWORD value.4 For the new value name, type LdapSrvPriority, and press ENTER.
    4 Double-click the value name that you just typed to open the Edit DWORD Value dialog box.
    5 Enter a value from 0 through 65535. The default value is 0.7 Choose Decimal as the Base option, and then click OK.
    6 Click File, and then click Exit to close the Registry Editor.

    另外,您也可以通过划分站点的方式来实现这一目标。在服务器端,我们只能透过查看域控制器上的事件日志或是第三方的工具来检查哪些用户登陆。默认情况下,域控制器上会启用Account Logon Events以及Logon Events审核日志。有关详细信息,请参考:

    Audit logon events
    http://technet.microsoft.com/en-us/library/cc787567.aspx

    Audit account logon events
    http://technet.microsoft.com/en-us/library/cc787176.aspx[/url]

    另外,在客户端,我们可以使用命令“SET L”来查看当前这台客户机是由哪台域控制器进行验证登陆的。

    有关如何调整域控制器优先级的更多信息,请参考以下文章:
    Reducing the workload on the PDC emulator master
    [url]http://technet.microsoft.com/en-us/library/cc787370.aspx[/url]

    Change the weight for DNS SRV records in the registry
    [url]http://technet.microsoft.com/en-us/library/cc778225.aspx[/url]

    Change the priority for DNS SRV records in the registry
    http://technet.microsoft.com/en-us/library/cc781155.aspx

    希望我的回答对您有所帮助,如果您还有什么问题,请您再和我们联系。


    微软一站式示例脚本库: http://blogs.technet.com/b/onescript

    2013年5月15日 9:24
    版主
  • 换一个思路。

    我有分站BJ所属子网是192.168.1.0/24,BJ里面有两台故障DC(DCBJ1.DCBJ2)。对应的站点是BJ

    有主站SH所属子网是192.168.1.99/24,SH里面有两台健康的DC(DCSH1,DCSH2)。对应的站点是SH

    我实施以下操作

    更改子网192.168.1.0/24所对应站点,改为SH站点。然后站点BJ里没有任何所属子网。然后关机,关掉DCBJ1,DCBJ2.

    那么所有192.168.1.0/24里面的客户端是否都会直接去SH站点拿信息。



    颜梦雨 (攻城狮)yanmy@outlook.com



    2013年5月16日 7:35
  • 换一个思路。

    我有分站BJ所属子网是192.168.1.0/24,BJ里面有两台故障DC(DCBJ1.DCBJ2)。对应的站点是BJ

    有主站SH所属子网是192.168.1.99/24,SH里面有两台健康的DC(DCSH1,DCSH2)。对应的站点是SH

    我实施以下操作

    更改子网192.168.1.0/24所对应站点,改为SH站点。然后站点BJ里没有任何所属子网。然后关机,关掉DCBJ1,DCBJ2.

    那么所有192.168.1.0/24里面的客户端是否都会直接去SH站点拿信息。



    颜梦雨 (攻城狮)yanmy@outlook.com



    这应该是一个非常合理的做法,完全利用到IP所属Site就近登录的原则。

    你实施下来后,有什么异常吗?

    2013年5月17日 7:45
  • 换一个思路。

    我有分站BJ所属子网是192.168.1.0/24,BJ里面有两台故障DC(DCBJ1.DCBJ2)。对应的站点是BJ

    有主站SH所属子网是192.168.1.99/24,SH里面有两台健康的DC(DCSH1,DCSH2)。对应的站点是SH

    我实施以下操作

    更改子网192.168.1.0/24所对应站点,改为SH站点。然后站点BJ里没有任何所属子网。然后关机,关掉DCBJ1,DCBJ2.

    那么所有192.168.1.0/24里面的客户端是否都会直接去SH站点拿信息。



    颜梦雨 (攻城狮)yanmy@outlook.com



    这应该是一个非常合理的做法,完全利用到IP所属Site就近登录的原则。

    你实施下来后,有什么异常吗?

    还没呢,只是停留在脑海中。并且还在搭建实验环境。

    颜梦雨 (攻城狮)yanmy@outlook.com

    2013年5月17日 7:46