Necesidad de otro controlador de dominio

Tengo dos controladores de dominio (Windows 2003) en un sitio donde reside la mayor parte del departamento que apoyo. Hay otro edificio (en otro sitio) donde también reside mi departamento, pero no tienen DC.

Esta es probablemente una pregunta clásica sobre si se debe instalar un DC adicional cuando una empresa se distribuye en varios sitios.

Hemos experimentado varios problemas, como secuencias de comandos de inicio de sesión que no asignan unidades y usuarios que no pueden iniciar sesión varias veces antes de que se les permita ingresar (a pesar de que están escribiendo la contraseña correcta).

Recibo diferentes errores en los clientes. Algunos de ellos son :

Netlogon, 5719 , Esta computadora no pudo configurar una sesión segura con un controlador de dominio en domain domain.com debido a lo siguiente: Actualmente no hay servidores de inicio de sesión disponibles para atender la solicitud de inicio de sesión. Esto puede conducir a problemas de autenticación. Asegúrese de que esta computadora esté conectada a la red. Si el prolema persiste, por favor, contacte a su administrador de dominio.

GroupPolicy, 1055, Error al procesar la directiva de grupo. Windows no pudo resolver el nombre de la computadora. Esto podría ser causado por uno de los siguientes: a) Error de resolución de nombre en el controlador de dominio actual. b) Latencia de replicación de Active Directory (una cuenta creada en otro controlador de dominio no se ha replicado en el controlador de dominio actual).

En los servidores sigo recibiendo estos errores:

Netlogon, 5722, La configuración de la sesión desde la computadora SOMEPCNAME no pudo autenticarse. Los nombres de las cuentas a las que se hace referencia en la base de datos de seguridad son SOMEPCNAME $. Se produjo el siguiente error: acceso denegado.

* (este error anterior se repite para la misma computadora. Probablemente solo necesite volver a agregar esto al dominio). *

NTDS Replication, 1864, este es el estado de replicación para la siguiente partición de directorio en el controlador de dominio local. Partición de directorio: CN = Esquema, CN = Configuración, DC = dominio, DC = com

Parece que este último tiene que ver con un DC que no se eliminó por completo. Cuando ejecuté dcdiag, demostró que estamos tratando de replicarnos con un servidor que ya no existe. Sin embargo, no creo que esto nos haga tener todos estos problemas de inicio de sesión.

Me pregunto si deberíamos instalar otro DC o probar otra cosa. Nuestros clientes ejecutan principalmente Windows 7, pero también hay algunos clientes XP y Vista.

El ancho de banda parece ser 37.4 Mbs entre PC en los diferentes sitios (recién verificado con esta utilidad iperf).

Cualquier ayuda es apreciada.

@gWaldo tiene una buena idea en términos de aumentar la confiabilidad y actualizar su DC obsoleto, pero es una "suposición" en cuanto a si solucionará el problema. @ Chris-S tiene razón al comentar que el ancho de banda (a primera vista) tampoco parece ser el problema.

Primero debe asegurarse de que la conexión WAN sea confiable, no tenga pérdida de paquetes y tenga un amplio ancho de banda disponible durante todo el día.

Además, un DC que no esté disponible no impedirá un inicio de sesión del cliente de Windows (suponiendo GPO predeterminados) porque las credenciales de caché en un dominio le permiten ingresar. Sería útil si publicara los errores reales que están obteniendo los usuarios.

Para las unidades asignadas, si se realizan mediante un script de inicio de sesión, entonces tiene poca o ninguna capacidad para ver los registros sobre esa información, pero lo movería funcionalmente a Preferencias de directiva de grupo que le permitirán asignar unidades, hacerlas persistentes y también iniciar sesión a los registros de eventos del cliente sobre cualquier problema. Sus problemas de mapeo podrían ser que no pueden obtener el script o que no pueden acceder a la unidad ... pero es difícil saberlo sin iniciar sesión.

Una vez más, mantener la corriente continua de DC y tener una en un sitio remoto es "mejor", pero solo está lanzando dardos al muro de este problema específico. He tenido entre 70 y 100 sitios remotos con velocidades de WAN mucho más bajas, sin DC remotos que funcionan bien siempre que la conexión sea confiable y tenga ancho de banda disponible.

Hay mucho espacio en su pregunta para que otros problemas causen problemas, pero en la superficie (si está bastante seguro de que todo lo demás funciona como se esperaba) parece que puede ser un buen caso para un dominio de solo lectura Controlador (RODC) .

Esto requeriría actualizar a Server 2008 para sus DC (lo cual es una buena idea, de todos modos; 2003 está llegando al final de su vida útil), y un poco de cuidado al configurar el RODC, pero podría resolver bien sus problemas.

Sí, podría configurar otro DC 2003 en la oficina remota, pero parece que no hay presencia de TI allí, por lo que un RODC puede ser "más seguro". Los RODC son buenos donde es posible que no tenga personal de TI, especialmente si no tiene un área segura para el servidor (sin sala de servidores / bastidores con cerradura, vecindario sombreado, etc.)

También tenga en cuenta que el mapeo de unidades a través de la red va a consumir ancho de banda, y por sí solo podría ser una causa importante de sus problemas. Puede valer la pena investigar una implementación local de una solución de almacenamiento (como servidores DFS o CIFS).

Si aún no lo ha hecho, separar su organización en función de su ubicación (ya sea por Sitios o solo unidades organizativas) también podría ayudarlo a administrar el tráfico y la experiencia del usuario.

Definitivamente, pondría otra CC en el sitio remoto para proporcionar algo de redundancia en caso de que falle la conexión entre los sitios.