Domain controller keuze

Zijn beide domain controllers ook Global Catalog servers?
En hebben ze beide de correcte DNS entries?

Ongetwijfeld gaat er bij 1 van die zaken wat fout, anders zouden ze redelijk gelijkmatig belast moeten worden.
Is overigens wel een beetje AD basiskennis...

Clients en DC's staan ook in dezelfde site?

Wat leesvoer: Domain Controller Location Process

[ Voor 66% gewijzigd door Question Mark op 03-10-2006 13:31 ]

Neem aan dat DC1 dus ook een Global Catalog server is?
Anders is het logisch dat DC2 het meeste werk voor zijn rekening neemt.

Asteroid9 schreef op dinsdag 03 oktober 2006 @ 13:50:
Neem aan dat DC1 dus ook een Global Catalog server is?
Anders is het logisch dat DC2 het meeste werk voor zijn rekening neemt.

volgens mij is dat niet gerelateerd. maar misschien ook wel. Met meerdere sites, wordt de verdeling in sites and services gebruikt (hier hoeft geen gc te staan om toch de logins af te handelen). Binnen 1 site heb ik eigenlijk geen idee, misschien wel gewoon de server die het eerste reageert.

[ Voor 6% gewijzigd door Verwijderd op 03-10-2006 14:20 ]

Verwijderd schreef op dinsdag 03 oktober 2006 @ 14:20:
Binnen 1 site heb ik eigenlijk geen idee, misschien wel gewoon de server die het eerste reageert.

Enkele stappen uit de eerder geposte link:

• The Net Logon service sends a datagram to the discovered domain controllers ("pings#34; the computers) that register the name. For NetBIOS domain names, the datagram is implemented as a mailslot message. For DNS domain names, the datagram is implemented as an LDAP UDP search.
• Each available domain controller responds to the datagram to indicate that it is currently operational and then returns the information to DsGetDcName.
• The Net Logon service returns the information to the client from the domain controller that responds first.
• The Net Logon service caches the domain controller information so that it is not necessary to repeat the discovery process for subsequent requests. Caching this information encourages the consistent use of the same domain controller and, thus, a consistent view of Active Directory.

In het algemeen geld dus dat de machine die het eerst reageert gekozen wordt. Overigens kunnen er via de registry's van de betreffende DC's nog wat tweaks doorgevoerd worden om de "weight" en "priority" van de DNS SRV records nog te tweaken. Dit kan handig zijn in het geval van afwijkend performende hardware.

Over het algemeen kan gesteld worden dat de eerst reagerende server gekozen wordt. Dit kan veroorzaakt worden door snellere hardware, een algemeen lagere load op één van beide servers, of deze is qua netwerkaansluiting 'dichter' bij de clients geplaatst.

Verwijderd schreef op dinsdag 03 oktober 2006 @ 14:52:
DC1 is geen global catalog server.
Verder hebben we maar 1 domein en 1 site.

Het is sowieso verstandig om 2 GC's te hebben met berekking tot fault tolerance.

Zit er ook nog een "downside" aan het hebben van 2 GC`s?

In een single domain Forest niet. Bij een Forest, wat uit meerdere domains bestaat, heb je iets meer replicatie verkeer van-en-naar de GC's toe (omdat deze alle objecten in het gehele Forest kennen).

Aangezien je nu maar één DC hebt die GC is, heb je nu een SPOF. Als ik jouw was zou ik de andere DC zo spoedig mogelijk Global Catalog makenn

voor de zekerheid kun je controleren of "netdiag" en "dcdiag" fouten aangeven.

Question Mark schreef op woensdag 04 oktober 2006 @ 12:43:
In een single domain Forest niet. Bij een Forest, wat uit meerdere domains bestaat, heb je iets meer replicatie verkeer van-en-naar de GC's toe (omdat deze alle objecten in het gehele Forest kennen).

in een forest met meerdere domains, moeten of alle dc's gc zijn of in ieder geval de infrastructure master niet.

het replicatie argument is niet echt een issue. in principe kies je voor de oplossing die het minste netwerkverkeer oplevert (dit kan juist een GC zijn, maar ook universal group caching)

@TS: het lijkt er dus op dat 1 dc beter performed dan de andere.
En ja in jou geval GC aanzetten op beide machines.

[ Voor 20% gewijzigd door Verwijderd op 04-10-2006 16:00 ]

Verwijderd schreef op woensdag 04 oktober 2006 @ 15:57:
[...]
in een forest met meerdere domains, moeten of alle dc's gc zijn of in ieder geval de infrastructure master niet.

Dat weet ik

We hebben het hier echter over een single domain forest, en daar maakt de plaatsing van de IM niets uit. General recommendations for FSMO placement :

Two exceptions to the "do not place the infrastructure master on a global catalog server" rule are:

• Single domain forest:

In a forest that contains a single Active Directory domain, there are no phantoms, and so the infrastructure master has no work to do. The infrastructure master may be placed on any domain controller in the domain, regardless of whether that domain controller hosts the global catalog or not.

• Multidomain forest where every domain controller in a domain holds the global catalog:

If every domain controller in a domain that is part of a multidomain forest also hosts the global catalog, there are no phantoms or work for the infrastructure master to do. The infrastructure master may be put on any domain controller in that domain.

En volgens mij is er in een single domain Forest geen verschil in replicatie tussen GC en niet-GC's. Er zijn in een Single Domain Forest geen extra read-only AD partities die naar de GC gerepliceerd hoeven te worden. Deze introduceer je immers pas al je meer domeinen binnen je Forest gaat introduceren.

MS raad voor een single site + single domain omgeving in elk geval aan om alle DC's global catalog te maken.
Het levert toch geen extra verkeer op, dus ik zou het altijd doen.

Zou ik eens moeten zoeken, maar in de meeste Microsoft Press boeken wordt het aangehaald.
Voor examen 70-294 hameren ze er bijvoorbeeld aardig op.

Extra replicatieverkeer levert het in zo'n situatie toch niet op, wel wat redundancy en capaciteit, daarom hun advies.

En ik heb zojuist mn 294 examen gehaald

-Fallout- schreef op donderdag 05 oktober 2006 @ 12:30:
En ik heb zojuist mn 294 examen gehaald

Gefeliciteerd! En klopt het hier allemaal een beetje, is dit echt de ideale opstelling?

waarom zit toch iedereen op die global catalog te hameren? da's in dit geval nergens goed voor.
kijk eens eerder of er geen rariteiten in de DNS server(s) te bespeuren zijn, en kijk ook eens na of DC1 niet overbelast is waardoor die gewoon niet op tijd reageert?

Ook niet in het geval dat er 1 van de servers verdwijnt? Oftwel, gejat wordt, in brand vliegt of iets anders?

"Nergens goed voor" is wel extreem kort door de bocht zou ik zo zeggen. Eerst enige onderbouwing zou leuk zijn.

Daarbij mag ik hopen dat een overbelaste server wel eerder opvalt, als TS z'n monitoring niet goed voor elkaar heeft is dit zeker geen PNS topic.

Thanks djluc
Ik ben nu gelijk bezig met het leren van 297 welke ik volgende week vrijdag wil behalen.

@PerfectPC
Dit is hoe dan ook de best practice, dus dit moet eerst aangepast worden voordat we verder gaan kijken naar het werkelijke probleem.

@TS (surfboomerang)
Wil je eens kijken in het registry van DC1 of NT4 emulator toevallig ingeschakeld is?
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\NT4Emulator=1

Hierdoor zal DC1 zich voordoen als NT4 controller. Alle nieuwe clients zullen de voorkeur gaan geven aan een "nieuwere" DC.

[ Voor 7% gewijzigd door Fallout op 05-10-2006 15:15 ]

Trouwens.. ik neem aan dat je op de hoogte bent van het volgende:

Een logon procedure wordt afgehandeld door de controller die het snelste reageert.

bijv. Als Exchange draait op DC2, zal deze meestal locaal zijn logons afhandelen.
bijv. DC1 heeft maar een 100Mbit NIC en DC2 is voorzien van een Gbit NIC
bijv. DC1 heeft veel netwerk gerelateerde taken, als File server of SQL (wat overigens niet aan te raden is op een DC te installeren)

Het kan dus een samenhang van omstandigheden zijn (hardware en software)

Verwijderd schreef op vrijdag 06 oktober 2006 @ 14:29:
Verder is het wel zo dat als we een nieuwe gebruiker aanmaken op de DC2 het heel lang duurt voordat de gebruiker een e-mail adres gekregen heeft.
Op de DC1 hebben we daar geen last van.

Defineer "heel lang".... Intrasite replicatie zou in principe binnen vijf minuten moeten gebeuren. --> How does intrasite replication work in Windows 2000?

Waarschijnlijk is de RUS van Exchange zo ingesteld om de wijzigingen op objecten af te handelen via DC1. Vandaar het op DC1 lijkt alsof het veel sneller gebeurt. Als de replicatie langer duurt dan verwacht, kijk dan even naar de tip van PaulHekje

-Fallout- schreef op donderdag 05 oktober 2006 @ 15:10:
@PerfectPC
Dit is hoe dan ook de best practice, dus dit moet eerst aangepast worden voordat we verder gaan kijken naar het werkelijke probleem.

ik bedoel dat het overbodig is om enkel maar te hameren op die Global Catalog. ik ga niet in op het feit of beide AD's al dan niet GC moeten zijn of niet, dat laat ik in het midden.

-Fallout- schreef op donderdag 05 oktober 2006 @ 15:48:
Trouwens.. ik neem aan dat je op de hoogte bent van het volgende:

Een logon procedure wordt afgehandeld door de controller die het snelste reageert.
...

DAT is wat ik bedoel maw: kijk eens na of je DNS correct werkt en/of je geen scheefgetrokken round robin hebt. voer eventueel ook een eenvoudige ping test uit naar beide DC's. hoe zit het mem mem- en cpu-load op biede toestellen, enz...