我們有北中高三地辦公室,如圖所示。
https://drive.google.com/open?id=1Y6YH6BNXmaarM9sLD-X_tbIptg1vpERQ
伺服器群在台北,一般PC在台中、高雄,DC分別是台北一台、台中兩台、高雄兩台。
台北到台中、台中到高雄兩條連線都是雙向100Mb,上班時間頻寬最多約吃50~60%左右。
之前只有台中(兩台DC)及高雄(一台DC)辦公室時,在台中做的AD帳號建立、變更或Exchage信箱、通訊錄新增異動最多15分鐘就能生效(高雄用戶端)
因上面長官整併要求,台中跟高雄的機房IP需採用新規則,所以台中跟高雄的DC都改成雙IP,直到主要伺服器群移到台北後才將舊IP移除。但自從改成雙IP後,AD帳號同步似乎就變得很慢,常常在台中建的帳號要過30分~1小時才能在高雄DC上看到。
後來新增了台北的站台及一台Win2012R2的DC後,整個帳號同步就變得更慢了,在台北DC做的變更,往往要一、兩個小時才會在高雄生效。在同站台的DC上新增使用者後,必須等上快兩小時才能在同站台的 Exchange 新增使用者信箱清單中看到新使用者出現。
但改回新單一IP後以上延遲的狀況也沒太大改善。
我的問題是
希望有網友能指點一下解決的方向,感謝。
台中跟高雄的DC都改成雙IP
在微軟 AD 的世界裡, 一台 DC 有多個 IP 的狀況, 稱為 Dual-home 或者是 Multi-Home 環境...
但是微軟的 DC, 並未針對這樣的環境來設計考量, 也無法正常處理在此環境下的 DC 功能, 所以一但你的 DC 上了 Multi-home 之後, 會產生許多各種奇怪的問題, 而且很難解, 這些紀錄在 Google 上面都可以找得到:
Google: ad dc multihome
難解的原因是: 微軟將 DC 的 IP 散落在 AD Schema 裡面到處紀錄, 但是當你變更 IP 的時候, 他並沒有將這些散落四處的紀錄, 也一併更新完. 所以不需要到 Multi-home 程度, 光是原有正常的 DC 換一個 IP, 就足以引發大災難.
此外, 有些紀錄欄位只允許存放 1 個 IP, 所以 Multi-home 多 IP 根本記不進去, 於是你的 Client 很可能就會抓到錯誤的 IP 而無法通訊; 或者, DC 每過幾分鐘就去更新他的 IP, 造成欄位內的 IP 一直在變動, Client 不一定拿到跟他相同的網段.
在實務上, 對於 DC 變更 IP, 我們的做法很保守:
這樣就會有一台新 IP 的 DC 出現, 而且舊的 IP 也不會存在. 這是最不容易踩到 DC 雷坑的做法.
至於需要在多網段內使用 DC,也不會採用 Multi-home,而是:
在中間的過程, 可以兩個網段都並存沒問題(在兩台 DC 上, 不是同在一台 DC 上), 事後只留下新的 IP.
還有一點要注意:
被退網域的 DC, 原本的電腦名稱(Computer Name), 不要再拿到其他地方給其他電腦使用, 否則同樣會出現很多靈異事件, 讓你解不出來..
對於 DC 變更 IP, 我們的做法很保守:
幸好看到雷神大大的文章
不然我就準備要踩雷了
我公司最近的狀況是
我公司共有3台DC,分屬兩個網段
關係企業有5台DC,分屬兩個網段
然後我公司有跟關係企業的DC 做信任
然後DC信任,大約2~3個月會失效一次的可能性,
最近才查到原來是我的第2個網段跟關係企業的第2個網段路由不通
(不要問我問什麼最近才查到,因為第三台DC不再我公司內,所以我從來沒看過也沒摸過實體)
但是我的第二個網段想跟關係企業的第二個網段互通,會有技術跟行政上的問題
所以原本想把第3台DC搬回我公司的第一個網段