Как настроить приоритеты обслуживания DC для сайтов в AD?

Question

[Charrus]

Коллеги, возник такой необычный вопрос:
Есть несколько сайтов в АД, во главе каждого из которых стоит по 2 DC. Плацдармы, схемы репликации настроены, но возник такой забавный казус:
Машина из Site1 на старте лезет за политиками не на контроллеры своего сайта, а куда попало, дергая политики из других. Порой это приводит к необычным результатам, когда, например, машина получает список принтеров из другого офиса и начинает бодренько на них печатать.

Есть идеи, как настроить приоритеты обслуживания, чтобы машины сайта лезли к контроллерам сайт, а в случае невозможности обслуживания уже лезли куда им вздумается?

Answer 1

[Вадим Чопоров]

Процесс обнаружения владельца GC происходит путем вычитывания SRV-записей из каталога:
_tcp.NameOfYourSite._sites._DC._msdcs.YourDomain
Компьютер отправляет ldap-ping на эти контроллеры, ждет ответа, если ответа нет, идет обратно к ДНС, с поиском других контроллеров, в других сайтах. Здесь уже вступает в силу стоимость site-линков между сайтами. Ну а внутри сайта приоритет определяется через вес и приоритет srv-записи.

Вот по таким правилам, а не "куда им вздумается" идут машины в домене. Это максимально локаничное описание)

Comments

[Charrus]

Спасибо.
Собственно на уровне DNS я, пользуясь вашими подсказками, все подправил.
Но пара машин упорно шарилась по всей сети и начинала работать только с пинка gpupdate /force. Собственно с этих машин и началась эпопея. На одной из машин пользователь работал с правами локального админа в силу крайне специфичного и капризного ПО. Профиль сети был не доменный, а просто рабочий. И брандмауэр бодро блокировал 389 порт.
Во втором случае все куда веселее. Комп когда-то жил в другом домене и сохранил себе имя того сайта. Потом в его нелегкой жизни что-то случилось и часть реестра поломалась. Особенно тот ключ, где винда хранит имя сайта, стал read-only почти для всех, даже доменного админа не боялся.

[Вадим Чопоров]

Charrus, локальные сбои - это всегда головная боль. Потому хорошо иметь SCCM или WDS с единым образом, и переразворот, в случае релаьных проблем на конкретной машине. Если время позволяет - можно поковырятся во внутренностях, можно для себя вынести довольно много полезных моментов, которые происходят в фоне, но зачастую - это частные случаи, которые на старте карьеры дают неоценимый опыт, а с определенного момента развития становятся нерациональной тратой времени. А локальный юзер с правами локал админа - это главный враг админа))
В любом случае хорошо, что мой комент принес пользу, и вы смогли разобраться с проблемой)