目前執行 dcdiag /a 都發生了 EventID: 0x80000025 錯誤
新的主要源頭 AD repadmin /showrepl 有出現 嘗試失敗，結果是 1722 (0x6ba):RPC伺服器無法使用 的錯誤
備源機沒有發生問題
所以是因為我當時測試DFS的時候出問題導致的嗎?
因為這三台AD SERVER都是上禮拜才剛上架的新AD....

我猜跟 DFS 無關; 如果是新建的, 建議重裝, 裝好之後放置 72hr 都不要去動他也不要設定 DFS, 然後跑上面的測試, 看看是哪裡出問題?

你這三台的 DNS Server 怎麼設定? 指向誰?

這三台前面是廠商協助架設的 廠商當下測試皆正常
不過廠商推薦可以架設DFS之後就走了 我自己嘗試架服務就變現在這樣QQ
DNS之前我們是有一台DNS SERVER AD全都會指向他
但廠商有發現 DNS SERVER無法解析到AD的 _msdcs 所以把三台新的ADDC都先把DNS指向到舊的兩台AD上

廠商當下測試皆正常

他們有測試 dcdiag 和 repadmin 嗎?
有先放置 72hr 之後才測試嗎?

AD 有些問題需要隔 24hr 以上才會開始浮現, 馬上測試看不出來.

我的 AD Installation 驗收標準:
1.安裝完畢後, 先放置72hr不動
2.每一台都執行 dcdiag /a 不能有錯誤
3.每一台都執行 repadmin /showrepl 不能有錯誤
4.每一台的 Event log 都不能出現紅黃色事件
5.找一台 Client 電腦加入 AD 可成功
6.變更一組 GPO 派送到 Client 電腦成功
7.若有多台DC的話, 關掉一台 DC, 加入第二台電腦
8.觀察 GPO 是否也成功派送給第二台電腦
9.開啟上面關掉的 DC, 隔 24hr 之後, 刪掉上面第二台電腦
10, 隔24hr再查一次 dcdiag, repadmin event log, 是否全部都沒錯誤?

基本上, 光驗收程序我就要跑一周.

但廠商有發現 DNS SERVER無法解析到AD的 _msdcs 所以把三台新的ADDC都先把DNS指向到舊的兩台AD上

那這兩台舊的 DNS Server 是讀取誰的 AD Repository?

1. 舊的兩台AD,新的三台不同步?
2. 新的三台AD會跟舊的兩台同步?

最後, 如果你以前沒有3年以上 DFS 查修經驗的話, 我會建議不要輕易去碰 DFS;
廠商會建議你裝, 是因為將來你可能要花錢請它們來查修 (我通常報一天三萬元)

隨便問一個:

如果 DFS 複寫到一半卡住的話, 你要怎麼找出是卡在哪一個檔案過不去?

(不止這題, 我手上還有很多狀況題可以出...生命中有許多美好事物, 但 DFS 不是 )

廠商建置後大概過了一周來檢查基本設定的時候有做了基本檢查
當時看是沒有錯誤
目前我們是五台AD皆在線上
DNS SERVER還在等原廠過來看是哪邊的問題，但其他網路廠商看了之後是推薦我們換掉 畢竟型號太舊了 可能是因為這樣導致
2台舊的DNS互指
3台新的是指向到舊的兩台AD
新的三台上使用 nslookup 檢查也正常
nslookup

set type=SRV
_ldap._tcp.dc._msdcs.yourdomain.local

如果不建議使用 DFS的話
有其他推薦的方法來提供檔案的派送嗎?
因為以前只有一台AD主機在做這件事 有時候派送防毒或更新的時候會卡住
所以想說要能夠多台SERVER來做HA跟分攤流量 (公司內部大約3000台電腦)
公司內又沒有多的設備能做FILE SERVER.....
AD更新聽前輩說也是爭取了好幾年上面才終於同意更新

依照這樣描述, 你們需要一個 Infra 架構師先做好基礎規劃, 不能把 Cx30 的架構放大到 Cx3000 就期待他照樣運作.

一項一項來解:

有做了基本檢查

上面說過, 我的「基本檢查」=dcdiag+repadmin+event log,
但我沒看到你們的「基本檢查」包含哪些項目?

除非你們的「基本檢查」可信度能高過我的, 否則仍建議採用我的方式做檢查.

五台AD皆在線上

這五台都有跑過我上面的「基本檢查」嗎? 還是只跑了新裝的三台?
在 AD 環境中的所有 Domain Controller Server, 應該都要有相同的檢查結果, 才能稱為: AD 在健康狀態, 只要有任何一台表現不一樣, AD 都會有問題.

DNS SERVER還在等原廠過來看是哪邊的問題

其實不用等他來看 DNS Server, 光看 dcdiag /a + event log 的內容, 就應該要猜出 90% 的問題.

除非廠商能很明確說出: 他去看 DNS 是因為-->看到 Event log 出現 ID XXXX 訊息, 這樣我才會相信他已經找到根因, 知道該從 DNS 去解決....

否則, 去看 DNS 這件事情, 頂多只是亂槍打鳥, 隨機挑選一個可能出問題的地方去看. 運氣好可以猜中, 運氣不好的話....他下一個要猜哪裡?

沒看到 Event log 之前, 我不會隨便鎖定查修的目標. AD 的守備範圍很大, 並不是你把所有設定看過一遍, 就一定能夠解決問題的.

(下續....)

只有一台AD主機在做這件事 有時候派送防毒或更新的時候會卡住

這是我看到最嚴重的問題: 你們拿 AD 主機來做其他的事情.

依據微軟的官方文件(Best Practices for Securing Active Directory): AD 的 DC Server 只能用來做 AD 服務, 上面不能安裝任何其他服務 (參閱 Use secure administrative hosts 這段):

These hosts don't run nonadministrative software like email applications, web browsers, or productivity software like Microsoft Office.

上面我看到派送防毒和更新這兩件事情, 分開來談:

派送防毒:
假設你是用防毒中控台在派送, 那這個防毒中控台不應該安裝在任何一台 AD 的 Doamin Controller 主機內.

很多人不知道 AD 其實是非常忙碌的, 加上你們有 C3000 用戶, 然後又沒提到 AD Site, 我就假設他們通通都集中到同一個 Site 內的 DC? 這樣的負擔對 DC 已經非常重了...

然後防毒中控台是一個超級重拖的應用 (假設你不是用雲端中控台的話), 你們又把他跟負擔很重的 DC 放在一起....看到這裡, 大概 99% 的人都會反駁: 可是我去看主機的 CPU/RAM 用量都還很少啊! 怎麼會負荷重呢?

感覺不重對吧? 那請問:
這個時候, AD Service 的 Response Time 是多少?

微軟設計 AD 的時候, 是以 150ms 為單一傳輸的最高容忍延遲, 當你單向資訊超過這個時間 (不是只算中間傳遞而已, 還包含: 雙方打包/解包, 得到回應的時間), AD 就有可能遺失資訊, 而且 AD 的設計, 是沒有太多復原能力的, 當她遺失資訊時候, 幾乎都要靠人工去修復. 問題是: 你知道遺失了甚麼嗎? FSMO 五大角色的 ADSI 裡面有數千個項目, 你可知有哪一個掉了, 沒有同步到?

不要覺得 AD 都會自己把遺失的資料撿回來, 實情是他就不會去撿...

所以, 盡量維持 DC 輕量化, 只跑 AD Service 不要跑其他的.

這是 Chatgpt 算出來 3000 人的 AD 架構,
請留意一下 DC 的數量和硬體規格, 你會驚訝:
https://chatgpt.com/share/68260e63-da94-8002-b5a6-1d931b916bef
(他還主動分拆成 5 個 Site 喔, 但我沒看到你們拆分 Site, 所以會更重)

我當然有更經濟型的設計方法, 但那就是顧問費的價值.

(下續....)

更新的時候會卡住

更新是指: 用戶端的 Windows 更新嗎?
由於沒有說明, 就假設你們依循傳統: 透過 WSUS Server 更新.

然後你們把 WSUS Server 安裝在 DC 裡面?

WSUS 同樣是一個操死主機的大服務, 上面提過的事情, 在這裡也會同樣發生, 所以當你把這兩個裝在一起的時候, AD 就很難有個正常的表現.

附帶一提, WSUS 未來很可能被棄用:
微軟準備棄用Windows Server Update Services
你們或許要開始考慮用其他的解決方案, 例如 (我隨便舉例):
什麼是 Windows Update 客戶端原則？

正確的解決方案:

1.找一個微軟 Infra 專家, 設計正確的 AD 拓樸架構
2.DC 主機上不要跑任何其他的服務
3.確保所有 DC 的 Event log 都沒有紅黃色事件
4.檔案派送問題, 用其他的主機來管理 (但不要用 DFS)

我可以保證, 依照上面方法設計部署的話, AD 的 SLA 可達到 99% 以上
(我對客戶承諾的 SLA 都有 99.5% 以上, 做不到要罰錢, 所以我不會砸自己的腳)

如果你們有外包廠商在服務, 請他們依據上述要求來設計系統, 如果超過預算, 也請他們提供解法, 但所有解法都必須符合以上四項驗收標準.

設計不出來的廠商, 沒有資格被稱為: 微軟專家.
(你可能會遇到很多廠商拒絕以上要求, 但我知道國內至少3家以上做得到)

歡迎廠商挑戰以上說法, 當然, 提供說法的人, 也要對實際部署的 SLA 負責.

dcdiag /a
目前看全部的 AD 都有大量的 EventID: 0x80000025 錯誤訊息
"金鑰發佈中心 (KDC) 在處理另一個票證的要求時，發現未包含要求票證之帳戶的相關資訊的票證。這會防止執行安全性檢 查，而且可能會開啟安全性弱點。如需深入了解，請參閱 https://go.microsoft.com/fwlink/?linkid=2173051。"
這個部分可能會等下周廠商過來的時候再提出，請他確認原因跟排解

repadmin /showrepl
目前看到只有一台因為這周有一些原因暫時先關機的 AD 會跳錯誤訊息 沒有其他錯誤訊息

event log
目前事件檢視器裡面沒有看到重大告警
不過還是有一些稽核失敗的通知

當時會猜 DNS SERVER 是不是有問題的原因是
再新 AD 上架之前，偶爾就會發生公司內使用者電腦汰換後，新主機無法進入 domain 的狀況 (DNS 主要設為: DNS SERVER 次要設為: 主要 AD SERVER)
有發現 DNS 設定改成主要設為 AD SERVER ，不指向到 DNS SERVER 之後就能夠正常進入網域
廠商第一次來建置的時候有幫忙排查，那時候排查出來是 DNS SERVER 無法正常讀取到 AD 內的 "_msdcs" 導致的問題，兩台舊 AD 當時也是如果把主要 DNS 設為 DNS SERVER 的話就會發生互相 _msdcs 解析失敗的狀況，也是把兩台舊 AD 的 DNS 改為互指之後才正常
DNS SERVER 是 Infoblox 的很舊的版本，以前離職的前輩也沒有交接怎麼設定，只能跟 DNS 原廠慢慢討論是哪邊設定有問題

的確dfs的同步很差，我只敢拿來做共用目錄的設定(依登入使用者來呈現共用的資料夾這個蠻好用的)，同步的話就用其它程式替代了