iT邦幫忙

1

AD站台複寫疑問

我們有北中高三地辦公室,如圖所示。
https://ithelp.ithome.com.tw/upload/images/20190318/20107081PfQG4uOzEe.jpg
https://drive.google.com/open?id=1Y6YH6BNXmaarM9sLD-X_tbIptg1vpERQ
伺服器群在台北,一般PC在台中、高雄,DC分別是台北一台、台中兩台、高雄兩台。
台北到台中、台中到高雄兩條連線都是雙向100Mb,上班時間頻寬最多約吃50~60%左右。

之前只有台中(兩台DC)及高雄(一台DC)辦公室時,在台中做的AD帳號建立、變更或Exchage信箱、通訊錄新增異動最多15分鐘就能生效(高雄用戶端)

因上面長官整併要求,台中跟高雄的機房IP需採用新規則,所以台中跟高雄的DC都改成雙IP,直到主要伺服器群移到台北後才將舊IP移除。但自從改成雙IP後,AD帳號同步似乎就變得很慢,常常在台中建的帳號要過30分~1小時才能在高雄DC上看到。

後來新增了台北的站台及一台Win2012R2的DC後,整個帳號同步就變得更慢了,在台北DC做的變更,往往要一、兩個小時才會在高雄生效。在同站台的DC上新增使用者後,必須等上快兩小時才能在同站台的 Exchange 新增使用者信箱清單中看到新使用者出現。
但改回新單一IP後以上延遲的狀況也沒太大改善。

我的問題是

  1. 這種延遲現象是當初DC多IP的影響? 還是多站台的關係?
  2. 如果站台間連線是100Mb或是日後要升級的1Gb,是否可將站台間連線視為高速連線,而將這三個站台併成一個。這樣不知能不能解決AD帳號變更延遲的問題。

希望有網友能指點一下解決的方向,感謝。

看更多先前的討論...收起先前的討論...
harrytsai iT邦新手 5 級 ‧ 2019-03-18 09:02:52 檢舉
為什麼不做vpn?
setsuna iT邦新手 5 級 ‧ 2019-03-18 11:29:09 檢舉
抱歉,我沒講清楚,這兩條線都是VPN。
harrytsai iT邦新手 5 級 ‧ 2019-03-18 15:21:29 檢舉
dns的設定呢?
抱歉,我沒看清楚你的問題,原來是 dual home 的問題!
setsuna iT邦新手 5 級 ‧ 2019-03-23 10:06:14 檢舉
@harrytsai "dns的設定呢?"
抱歉,這是指什麼? 我看不大懂。

2 個回答

0
就酷
iT邦新手 5 級 ‧ 2019-03-18 10:49:20

可以看一下這篇,還有同一群組的其他文章

判斷成本 | Microsoft Docs

setsuna iT邦新手 5 級 ‧ 2019-03-18 11:30:26 檢舉

感謝,我先看一下。

4
raytracy
iT邦大神 1 級 ‧ 2019-03-18 14:26:08
台中跟高雄的DC都改成雙IP

在微軟 AD 的世界裡, 一台 DC 有多個 IP 的狀況, 稱為 Dual-home 或者是 Multi-Home 環境...

但是微軟的 DC, 並未針對這樣的環境來設計考量, 也無法正常處理在此環境下的 DC 功能, 所以一但你的 DC 上了 Multi-home 之後, 會產生許多各種奇怪的問題, 而且很難解, 這些紀錄在 Google 上面都可以找得到:
Google: ad dc multihome

難解的原因是: 微軟將 DC 的 IP 散落在 AD Schema 裡面到處紀錄, 但是當你變更 IP 的時候, 他並沒有將這些散落四處的紀錄, 也一併更新完. 所以不需要到 Multi-home 程度, 光是原有正常的 DC 換一個 IP, 就足以引發大災難.

此外, 有些紀錄欄位只允許存放 1 個 IP, 所以 Multi-home 多 IP 根本記不進去, 於是你的 Client 很可能就會抓到錯誤的 IP 而無法通訊; 或者, DC 每過幾分鐘就去更新他的 IP, 造成欄位內的 IP 一直在變動, Client 不一定拿到跟他相同的網段.

在實務上, 對於 DC 變更 IP, 我們的做法很保守:

  1. 先確認現有 DC 複寫正常, AD 無錯誤.
  2. 架一台新的 DC 指定新的 IP, 加入複寫
  3. 確認複寫完沒有錯誤, 隔 24hr 之後, 將舊的 DC 退網域

這樣就會有一台新 IP 的 DC 出現, 而且舊的 IP 也不會存在. 這是最不容易踩到 DC 雷坑的做法.

至於需要在多網段內使用 DC,也不會採用 Multi-home,而是:

  1. 在新網段架設新的 DC, 加入網域複寫
  2. 複寫都正常之後, 過 24hr 將舊網段的 DC 退網域

在中間的過程, 可以兩個網段都並存沒問題(在兩台 DC 上, 不是同在一台 DC 上), 事後只留下新的 IP.

還有一點要注意:
被退網域的 DC, 原本的電腦名稱(Computer Name), 不要再拿到其他地方給其他電腦使用, 否則同樣會出現很多靈異事件, 讓你解不出來..

看更多先前的回應...收起先前的回應...
就酷 iT邦新手 5 級 ‧ 2019-03-18 16:11:41 檢舉

/images/emoticon/emoticon12.gif

對於 DC 變更 IP, 我們的做法很保守:
幸好看到雷神大大的文章
不然我就準備要踩雷了

我公司最近的狀況是
我公司共有3台DC,分屬兩個網段
關係企業有5台DC,分屬兩個網段
然後我公司有跟關係企業的DC 做信任
然後DC信任,大約2~3個月會失效一次的可能性,
最近才查到原來是我的第2個網段跟關係企業的第2個網段路由不通
(不要問我問什麼最近才查到,因為第三台DC不再我公司內,所以我從來沒看過也沒摸過實體)
但是我的第二個網段想跟關係企業的第二個網段互通,會有技術跟行政上的問題
所以原本想把第3台DC搬回我公司的第一個網段

學習到了,謝謝詳細的解說!

setsuna iT邦新手 5 級 ‧ 2019-03-23 10:27:26 檢舉

感謝raytracy的解說。
這些訣竅我會好好地記錄下來,感謝。

事實上我在決定執行雙IP政策前有提出過疑慮,但我google到的文章缺乏明確且實際有造成重大故障的案例,因此最終還是執行了。加新DC退舊DC的做法,因政策的關係非常難以執行,要這麼做起碼花上半年以上的時間跑各種流程及加退機審核,而改IP的期限大概只有三個月不到。

其餘還有很多事一言難盡,但現在已經是這樣的狀況了,希望raytracy大或其他網友能提供我挽救的方法或方向。

感謝。

raytracy iT邦大神 1 級 ‧ 2019-03-25 11:07:52 檢舉

每台 DC 上面都跑一次 dcdiag /a 把出現的錯誤通通修正完, 大概有 99% 的問題就會自動消失...

我要發表回答

立即登入回答