[РЕШЕНО] Долгий вход в систему в удаленном офисе

[Fray]

Итак, описываю ситуацию.

Есть удаленный офис на 20-25 компов + сервер.
На сервере поднят DNS-сервер с копией зон. Контроллеры домена находятся на другой площадке, связанной с данным офисом через vpn-туннель.
Проблема в следующем: с недавнего времени (именно с недавнего) в удаленном офисе почти все (опять же, "почти") компьютеры стали очень долго заходить в систему - минут по 15 висит "Применение параметров компьютера". При этом DNS-сервера (и их "локальный" и основные) компьютеры видят.

Сервер - Windows 2003 R2
Клиенты - в основном Win XP, несколько Win 7 (на Win 7 пока не наблюдалась проблема)

Контроллер домена там поднять пока не получится, по причине того, что есть еще одна удаленная площадка с контроллером, которая не видит данный офис. То есть, будут ошибки репликации или еще что.

Какие могут быть причины?

PS: Если нужны какие-нибудь дополнительные данные - предоставлю.

[shs]

Контроллер домена там поднять пока не получится, по причине того, что есть еще одна удаленная площадка с контроллером, которая не видит данный офис. То есть, будут ошибки репликации или еще что.

Какие могут быть причины?

Например, попытка входа через DC, расположенный на площадке, "которая не видит данный офис"

http://shss.wordpress.com/2009/12/09/optimal-topology-ad-site/

[shs]

PS: Если нужны какие-нибудь дополнительные данные - предоставлю.

А что в логах проблемных клиентов?

[Fray]

Например, попытка входа через DC, расположенный на площадке, "которая не видит данный офис"

А почему они пытаются войти именно через тот DC? Тот DC не имеет никаких FSMO-ролей кроме GC.

А что в логах проблемных клиентов?

Покажу чуть позже. Сейчас нет свободных компов для тестов.

[Retif]

На сервере поднят DNS-сервер с копией зон. Контроллеры домена находятся на другой площадке, связанной с данным офисом через vpn-туннель.

Контроллер домена там поднять пока не получится, по причине того, что есть еще одна удаленная площадка с контроллером, которая не видит данный офис.

Не понял, что мешает поднять контроллер-то? 

[Fray]

Не понял, что мешает поднять контроллер-то?

есть еще одна удаленная площадка с контроллером, которая не видит данный офис.

будут ошибки репликации или еще что.

[Retif]

Fray, я читал это, но не понимаю, почему. Что значит не видит этот офис? А с сайтами что у тебя, один сайт на площадку или как?

[Fray]

Fray, я читал это, но не понимаю, почему. Что значит не видит этот офис? А с сайтами что у тебя, один сайт на площадку или как?

Один сайт на все площадки.
На основной площадке есть два контроллера со всеми ролями. На одной удаленной - еще один контроллер с DNS и GC. На проблемной площадке - просто сервер с DNS.
Эти две удаленных друг друга не видят. Пока.

[shs]

А почему они пытаются войти именно через тот DC? Тот DC не имеет никаких FSMO-ролей кроме GC.

Я дал ссылку на свой бложек, а там, ссылка на статью в журнале, где популярно изложено, почему такое может быть. Например, один из DC не ответил в течение заданного таймаута (ну, перегружен был запросами, да мало ли, что).

Кроме того, неизвестно имеется ли у тебя разбивка на сайты или нет? (хотя, даже в  случае граммотной разбивки на сайты возможны обращения к "нежелательным" DC. Именно эти случаи и разобраны в статье. Читать обязательно!)

[Fray]

* Fray ушел читать...

[shs]

Один сайт на все площадки

В этом случае клиент может с первого раза попасть на недоступный DC/
Надо бить на сайты, как минимум

А проблема репликации, связанная с тем, что некоторые площадки не видят друг друга, решается при помощи мостов межсайтовых связей (надейюсь не ошибся в названии).

[Retif]

мостов межсайтовых связей (надейюь не ошибся в названии).

Лучше по-английски пиши названия эти, а то по-русски все не пойми как оно

[shs]

мостов межсайтовых связей (надейюь не ошибся в названии).

Лучше по-английски пиши названия эти, а то по-русски все не пойми как оно

site link bridge

[Retif]

На основной площадке есть два контроллера со всеми ролями. На одной удаленной - еще один контроллер с DNS и GC. На проблемной площадке - просто сервер с DNS.Эти две удаленных друг друга не видят. Пока.

Площадка 1 - основная.
Площадка 2 - удаленная с DC
Площадка 3 - удаленная без DC

Площадка 1 видит 2 и 3 и наоборот, а 2 и 3 друг друга не видят, так? Ничего страшного, основную же площадку видят, это главное. Можно смело поднять контроллер,  через основную площадку общаться будут.
На сайти разбивать однозначно, компьютер при логоне пытается подключиться в первую очередь к контроллеру в своем сайте.

[Fray]

> _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs
Server:  npr-dc02.neoprint.local
Address:  192.168.240.38

_ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.neoprint.local      SRV serv
ice location:
          priority       = 0
          weight         = 100
          port           = 389
          svr hostname   = npr-dc02.neoprint.local
_ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.neoprint.local      SRV serv
ice location:
          priority       = 0
          weight         = 100
          port           = 389
          svr hostname   = npr-dc01.neoprint.local
_ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.neoprint.local      SRV serv
ice location:
          priority       = 0
          weight         = 100
          port           = 389
          svr hostname   = kld-dc.neoprint.local
npr-dc02.neoprint.local internet address = 192.168.240.38
npr-dc01.neoprint.local internet address = 192.168.240.36
kld-dc.neoprint.local   internet address = 192.168.200.4

Так, а как можно поменять priority и weight? То есть, если я сделаю один из контроллеров более приоритетным, то клиенты будут в первую очередь стучаться к нему?