مشکل با RODC
سلام دوستان عزیز :
من یک شبکه دارم که یک نقطه مرکزی داره با 17 تا شعبه در استان های مختلف ، در نقطه مرکزی یک Domain Controller دارم با تقریباً 200 کاربر ، در نفطه مرکزی مشکلی با Active Directory ندارم مشکلی که دارم در شعبه ها هست.تقریباً مشکل ارتباطی هم ندارم ، چون بین مشهد و شعبه ها DMVPN راه اندازی کردم و شعبه ها از 2 الی 3 خط ارتباطی استفاده می کنند ( MPLS // Intranet // internet ) که در صورت قطعی از خط دیگه استفاده میکنند و قطعی کم بوجود می آید. شعبه ها هم بین هم ترافیکی ندارند و همه فقط با شعبه اصلی ارتباط دارند. میخوام شعبه ها هم بیان و زیر مجموعه Domain Controller مشهد بشن که برای این کار اول اومدم Forest ایجاد کردم و User برای کاربران شعبه ها تعریف کردم ، مشکلی که داشتم این بود Replication بین این Domain ها زیاد شد و ترافیک خیلی زیادی تو شبکه داشتم ، و با توجه به اینکه پهنای باند زیادی رو اشغال میکنه این کار خیلی مشکل بوجود می آورد برام . من میخوام ترافیک بین Domain ها رو به حداقل برسونم ، برای این اومد و در مشهد که شعبه اصلی ام هست برای هر شعبه یک OU ساختم و User هاشونو اونجا تعریف کردم و در هر شعبه هم یک windows 2008 R2 نصب کردم و بصورت RODC راه اندازی کردم. حالا یک نسخه کپی از Domain اصلی به صورت Read Only در هر شعبه دارم ، فکر کردم که این کارو بکنم تا RODC از Domain اصلی Update شود و کاربران از RODC استفاده کنند برای ورود به شبکه.در این حالت یک مشکل اساسی دارم فقط ، آن هم اینه که هر کاربر برای Log in شدن به شبکه الان به RODC توجهی نمی کنه و به Domain اصلی که در مشهد هست وصل میشه و اگر Domain اصلی در دسترس نباشه وارد نمیشه :
- حالا من با توجه به این مسائل چه کار باید بکنم ؟
- کسی تجربه این کارو آیا داره ؟
ممنون میشم کمکم کنید
13 پاسخ
همونطو که ali__arak عزیز گفتن باید به تعداد سرورهایی که در مناطق مختلف دارید site ایجاد کنید و سرور مورد نظر رو به داخل Site مربوطه انتقال بدید ، از نظر Active Directory همه این سرورها در یک نقطه فیزیکی قرار دارند بنابراین مشکلی به عنوان کندی رو اکتیودایرکتوری درک نمیکنه چون میگه محل فیزیکی یکجا هست ، بعد از اینکه Site رو ایجاد کردید براحتی می تونید زمان Replication هم برای site ها در نظر بگیرید که خیالتون بابت کندی ترافیک هم راحت بشه ، ممنون از ali__arak که به نکته مهمی اشاره کرد.
با تشکر از راهنمایی هایی که انجام دادید.
کارهایی که گفتین را انجام دادم ، تقریباً برای Log in کردن مشکلی نیست از نظر User , Pass .
فقط برای Group Policy مشکل دارم ، اگر PDC در دسترس نباشه Group Policy را از RODC نمی پرسه .
Group Policy ها هم همگی Update میشوند سریع در RODC از روی PDC .
--برای این چه کار باید بکنم ؟ که از RODC بپرسه و به PDC وصل نشود
دقت کنید که مفهوم RODC به این شکل نیست که تا شما راه اندازیش کنید شروع به کار و فعالیت کنه در واقع مثل یک سرور Passive در ابتدای کار فعالیت می کنه و از خودش اختیاری نداره ، شما باید براش تعیین کنید که چه کاربرهایی باید درش Cache بشن تا بتونه به اونها بصورت Local سرویس بده در غیر اینصورت درخواست های شما رو RODC دریافت می کنه و بلافاصله به سمت Primary DC شما Forward می کنه و مشکل شما هم دقیقا همین هست زمانیکه به سمت Primary DC اطلاعات احراز هویت شما ارسال میشه اگر لینک شما در دسترس نباشه قاعدتا کاربر شما امکان ورود به سیستم رو نخواهد داشت ، برای رفع این مشکل کافیه اینکار رو انجام بدید :
- وارد کنسول Active Directory Users and Computers موجود در RODC بشید.
- در OU ای که به نام Domain Controllers هست RODC رو پیدا کنید و ازش Properties بگیرید.
- در تب Password Replication Policy دو گروه را مشاهده می کنید که به نام های Allowed RODC Password Replication Group و Denied RODC Password Replication Group نمایش داده شدن ، کاربرهای شما می تونن عضو هر کدوم از این گروه ها باشند.
- کاربرهای قسمت مربوطه رو به گروه Allowed RODC Password Replication Group اضافه کنید.
- کار شما تمام شده اما اگر دوست داشتید می تونید دکمه Prepopulate Password رو هم کلیک کنید.
توجه کنید که RODC کلا برای تعداد کاربرای بالا مورد استفاده قرار نمی گیره و شما در مواقعی که در شعبات شما تعداد کامپیوترها و کاربرای کمی دارید ( مثلا 10 تا 50 تا ) از این قابلیت استفاده می کنید ، ترجیجا در چنین مواقعی از ساختار Child و Parent استفاده میشده که خودش برای سناریوی شما راهکارهای مختلفی داره ، به هر حال مشکل شما از این روش حل میشه و RODC رمز کاربرای شما رو Cache خواهد کرد و دیگه سراغ PDC نخواهد رفت.
@ AM Virgo
درسته متوجه شدید ، اول اومدم یک Forest ایجاد کردم بعد رفتم یه سمت RODC
Client ها رو هم Join کردم به Domian اصلی که همان PDC میشه در واقع ، که یک نسخه کپی در شعبه ها هم هست ازش الان .
Preferred DNS Server را RODC هر شعبه دادم و Alternate DNS Server را هم PDC دادم .
@ ali_arak :
@ علی نخعی و @ UNITY :
1- من برای هر شعبه یک Group ساختم و User ها رو به اون ربط دادم.
2-در Active Directory Users and Computers که در PDC هست در Password Replication Policy اون Group را Add کردم.
@UNITY در شعبه ها تعداد کاربران کم هست و مشکلی از اون لحاظ ندارم .
همونطو که ali_arak عزیز گفتن باید به تعداد سرورهایی که در مناطق مختلف دارید site ایجاد کنید
با تشکر از جناب ali_arak و دوست خوبم مهندس نصیری، من جسارتا جمله بالا رو کمی اصلاح کنم تا ابهامی پیش نیاد:
جناب iranianmahdi شما به ازا هر شعبتون (تعداد دفاترتون در شهر های مختلف) باید یک site بسازید و سرور های موجود در هر دفتر را باید عضو Site اختصاص داده شده به نام اون دفتر کنید.
با این کار همانطور که دوستان اشاره کردند، شما می تونید Replication بین شعب و حتی Replication بین سرور های داخل یک Site را نیز مدیریت کنید.
فقط دوستان من یک مشکل دیگرم دارم این وسط به غیر از Password ، کاربر که Log on میکنه برای Group Policy هم خیلی معطل میکنه ،یک جورایی اصلاً کاری با RODC نداره . فکر میکنم RODC اختیاری از خودش نداره و فقط به صورت یک Backup هست الان .نباید Delegate کنم بهش چیزی ؟؟*
با سلام
ابتدا با تنظیم RODC به عنوان DNS شعب و قرار دادن آی پی مربوطه به عنوان DNS روی کلاینتها از Ping نام سرور DNS مطمئن شوید که ارتباط هست و DNS کار میکند اگر این مورد درست بود و البته مطمئن بودید که تنظیمات RODC و PDC را درست انجام دادید باید به کنسول DNS رفته و تمام رکوردهای مربوطه را دستی پاک کنید . یک موضوع دیگر را باید در نظر داشت و آن اینکه RODC بصورت پیشفرض پسورد را Replicate نمیکند برای این منظور باید تنظیمات Password replication Policies انجام دهید البته میتوانید از Credential caching هم استفاده کنید که یک بار که کاربران Log on کردند دفعات بعد از Cache خود RODC استفاده میکنند که در این مورد هم استحضار دارید که باید قبلش کاربرانی را که میخواهید پسورد آنها cache شود برای RODC تعریف کنید .
1. بخش اول سوالتون کمی مبهم هستش؟ اگر من اشتباه برداشت کردم، شما اصلاح کنید:
شما برای الباقی شعبتون اومدید ، Child Domain جدید ایجاد کردید؟ و به علت ترافیک فراوان تصمیم به راه اندازی RODC کردید؟
2. برای بهره مندی از RODC در شعب، سیستم های موجود را Join به RODC کردید یا خیر؟
3. در تنظیمات کارت شبکه، در قسمت آدرس DNS، آی پی DNS، آی پی RODC را وارد کردید؟
- در گروه Allowed کاربرایی که می خواین رو وارد کنید.
- در همان Properties گروه Allowed گزینه ای هست به نام Populate اون رو بزنید.
- در قسمت Members همین Allowed توجه کنید که Domain Computers هم وجود داشته باشه یا Computerهایی که در هر RODC هستن.
اینها رو انجام بدید ، کمی صبر کنید ... گر صبر کنید درست خواهد شد به امید خدا
با عرض سلام وخسته نباشد
منم دقیقا همین مشکل دارم فقط توی لاگین کردن سرور بمحض قطع ارتباط با شعبه امکان لاگین کردن برای بعضی از سیستم ها داخل همان شعبه وجود ندارد ومهمتر از همه من یک پوشه در rocd شعبه شیر کردم که کاربران همان شعبه دسترسی داشته باشن وبعضی از سیستم های همان شعبه به لاگین می کنن دسترسیشون به پوشه شیر وجد ندارد ممنون میشم اگر راهنمای بفرمائید
windows server 2008r2
and
windowsxp
سلام
شما موقعی که site and services را کانفیگ نکنید Replication بین دامین کنترلرها به صورت RPC خواهد بود و باز هم ترافیک شما بالا خواهد بود شما باید شعبات را در sub net های مختلف قرار دهید و site and services را کانفیگ کنید و در شعبات child domain controller یا additional domain controller را نصب کنید و Replication بین آنها را از نوع IP یا SMTP قرار دهید با این کار شما می توانید مثلا تعیین کنید هر 4 ساعت یکبار
Replication انجام شود
شما که هیچ کانفیگی روی site and services انجام ندادید فقط همون Default-first-site-name که خود سیستم ساخته است وجود دارد شما باید شعبات را در سایت های مختلف قرار دهید و site link آنها را تعیین کنید شما گفتید به خاطر بالا رفتن ترافیک RODC را در شعبات قرار دادید ولی با این کانفیگ باز هم Replication بین PDC و RODC از نوع RPC خواهد بود این لینک را مشاهده کنید
و چرا از رنج آی پی public برای شعبات استفاده کرده اید