作者 主題: Windows 2000 的 AD 可以做到像是 PDC/BDC 這樣的功能嗎 ?  (閱讀 8640 次)

0 會員 與 1 訪客 正在閱讀本文。

twu2

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 5396
  • 性別: 男
    • 檢視個人資料
    • http://blog.teatime.com.tw/1
就是在一台機器出問題的時候, 另外一台機器能提供使用者登入的功能.

我試著裝一台新的 2000 Server 加入到 AD 中, 發現只能夠管理 AD 的使用者, 當原本那台 AD 關機時, 並不能提供讓別的機器登入...

以前用 NT4 時, PDC 的機器壞了, 還可以讓 BDC 接手工作...  2000 上面做的到嗎 ? How ?

Tetralet

  • 活潑的大學生
  • ***
  • 文章數: 370
    • 檢視個人資料
引述: "twu2"
就是在一台機器出問題的時候, 另外一台機器能提供使用者登入的功能.

我試著裝一台新的 2000 Server 加入到 AD 中, 發現只能夠管理 AD 的使用者, 當原本那台 AD 關機時, 並不能提供讓別的機器登入...

以前用 NT4 時, PDC 的機器壞了, 還可以讓 BDC 接手工作...  2000 上面做的到嗎 ? How ?


在 Windows 2000 Server 上執行 DCPromo.exe,
將這台 Windows 2000 Server 昇級為 DC 就可以了吧?

您只是將 Windows 2000 Server 加入到 AD 好像不行哦~~

Windows 2000 的 DC 都可以提供使用者登入的認証工作,
並且也沒有 PDC 或 BDC 之分哦。


請您試試看,
如果說錯了請指教。

twu2

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 5396
  • 性別: 男
    • 檢視個人資料
    • http://blog.teatime.com.tw/1
引述: "Tetralet"

在 Windows 2000 Server 上執行 DCPromo.exe,
將這台 Windows 2000 Server 昇級為 DC 就可以了吧?

您只是將 Windows 2000 Server 加入到 AD 好像不行哦~~

Windows 2000 的 DC 都可以提供使用者登入的認証工作,
並且也沒有 PDC 或 BDC 之分哦。


請您試試看,
如果說錯了請指教。


我就是加了一台新的 2000 server, 執行過 dcpromo 之後, 那台就可以管理使用者.
但是.... 把原本那台關掉之後, 並不會由新增的那台登入. :-(
LOGONSERVER 會變成本機.

Tetralet

  • 活潑的大學生
  • ***
  • 文章數: 370
    • 檢視個人資料
引述: "twu2"
我就是加了一台新的 2000 server, 執行過 dcpromo 之後, 那台就可以管理使用者.
但是.... 把原本那台關掉之後, 並不會由新增的那台登入. :-(
LOGONSERVER 會變成本機.


您的狀況真的很令人不解耶?
小四的腦袋空空如也猜不出來問題可能出在哪裡....

請問是 Windows 95/98/ME/NT 的 Client 都是一樣嗎?
Windows 2000/XP 的呢?
所有 Client 都是嗎?

可否請您檢查一下您的 DNS 的設定?
尤其是內部網域的 DNS,
有沒有加上新的那一台 DC 的資料呢?
因為 Windows 2000 相當依賴 DNS,
DNS 有問題,AD 大概就算死了。

也請您檢查一下 DHCP 的設定是否能和 DNS 配合?
尤其是要和內部網域配合才行。

還有,我覺得新的那一台 DC 的 DNS 的設定一定要好好檢查一次,
最好是調到和舊的那一台一模一樣才行。


不過以上方法大概是幫不上忙,很抱歉....

Tetralet

  • 活潑的大學生
  • ***
  • 文章數: 370
    • 檢視個人資料
引述: "twu2"
我就是加了一台新的 2000 server, 執行過 dcpromo 之後, 那台就可以管理使用者.
但是.... 把原本那台關掉之後, 並不會由新增的那台登入. :-(
LOGONSERVER 會變成本機.


『LOGONSERVER 會變成本機』,
這是什麼意思呀?

對了,新的那一台 DC 先移除 AD 再重裝一次如何?

不過我覺得這個方法很笨....

zoob

  • 鑽研的研究生
  • *****
  • 文章數: 776
    • 檢視個人資料
    • http://www.myunix.idv.tw
引述: "twu2"

我就是加了一台新的 2000 server, 執行過 dcpromo 之後, 那台就可以管理使用者.
但是.... 把原本那台關掉之後, 並不會由新增的那台登入. :-(
LOGONSERVER 會變成本機.


那你的client端的dns有指向第二台DC嗎?

twu2

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 5396
  • 性別: 男
    • 檢視個人資料
    • http://blog.teatime.com.tw/1
引述: "Tetralet"

『LOGONSERVER 會變成本機』,
這是什麼意思呀?


一個環境變數, 顯示登入時接受認證的主機.

twu2

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 5396
  • 性別: 男
    • 檢視個人資料
    • http://blog.teatime.com.tw/1
引述: "zoob"
引述: "twu2"

我就是加了一台新的 2000 server, 執行過 dcpromo 之後, 那台就可以管理使用者.
但是.... 把原本那台關掉之後, 並不會由新增的那台登入. :-(
LOGONSERVER 會變成本機.


那你的client端的dns有指向第二台DC嗎?


那是否表示有幾台 dc 就要設多少個 dns 指向 ?
這個我要找個放假日再來試看看.

zoob

  • 鑽研的研究生
  • *****
  • 文章數: 776
    • 檢視個人資料
    • http://www.myunix.idv.tw
引述: "twu2

那是否表示有幾台 dc 就要設多少個 dns 指向 ?
這個我要找個放假日再來試看看.


在AD裡,win9x的登入是以wins為主、而win2k的登入則是以dns為主

也就是說你目前有2台dc,而建議你在這2台dc上各別安裝dns、wins service

而在client的dns、wins設定最好設定不同的2筆

這樣才能在其中1台dc掛掉時,才能透過dns or wins登入到另一台dc去

AlbertWei

  • 可愛的小學生
  • *
  • 文章數: 2
    • 檢視個人資料
檢查一下你 的 第二台 DC 是否是 Global Catalog ,因為

The Windows 2000 global catalog provides universal group membership information for the account to the domain controller processing the user logon information. If the global catalog server is not available when a user tries to logon to the network (either because a local server is not available and a remote one cannot be reached), the user is only able to log on to the local computer using cached credentials. If the user has never logged on to that system before or there is a GPO that prohibits the caching of credentials, the user cannot logon.

詳細請參考:

http://www.swynk.com/friends/zandri/70-219-7-2.asp

http://support.microsoft.com/default.aspx?scid=kb;EN-US;q216970


Albert

Tetralet

  • 活潑的大學生
  • ***
  • 文章數: 370
    • 檢視個人資料
請教一下,
為什麼限定只有 GC 能處理使用者的登入呢?

如果 GC 那一台主機掛掉了,
但是又沒有其它 DC 會自動接手 GC 的工作,
(只能手動,不是嗎?)
那麼沒有安裝 GC 的 DC 不就無法拿來做 DC 的備援之用了嗎?

有什麼特別的理由嗎?

zoob

  • 鑽研的研究生
  • *****
  • 文章數: 776
    • 檢視個人資料
    • http://www.myunix.idv.tw
引述: "Tetralet"
請教一下,
為什麼限定只有 GC 能處理使用者的登入呢?

如果 GC 那一台主機掛掉了,
但是又沒有其它 DC 會自動接手 GC 的工作,
(只能手動,不是嗎?)
那麼沒有安裝 GC 的 DC 不就無法拿來做 DC 的備援之用了嗎?

有什麼特別的理由嗎?


這沒有什麼特別的理由

在AD裡面原本GC就是負責user logon的事情
DC和GC本來負責的事情就是不一樣的
你可以針對需要的DC將它enable GC,讓它來分擔另一個GC的loading,順便互相做為備援(當然你的dns要能正常解析目前AD的information)

可以看一下AlbertWei大大所提供的網址裡面就有詳細的敘述了

Tetralet

  • 活潑的大學生
  • ***
  • 文章數: 370
    • 檢視個人資料
引述: "zoob"

這沒有什麼特別的理由

在AD裡面原本GC就是負責user logon的事情
DC和GC本來負責的事情就是不一樣的
你可以針對需要的DC將它enable GC,讓它來分擔另一個GC的loading,順便互相做為備援(當然你的dns要能正常解析目前AD的information)

可以看一下AlbertWei大大所提供的網址裡面就有詳細的敘述了


非常謝謝您的指教!

我翻了一下以前的筆記,
上面明明白白寫著:

 Global Catalog Server 主要是處理使用者的登入。

(傻眼) :o  :o  :o
可是那時候還是不肯接受這個觀念,
因為我一直認為那明明是 DC 的工作嘛~~
(受 NT 的荼毒之深....)

那麼,為了相互備援之用,
是不是在一個區域網路之中,
最好是有兩個以上的 GC 比較好?

這樣子,
一些莫名的網路問題也找到答案了....
謝謝!

twu2

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 5396
  • 性別: 男
    • 檢視個人資料
    • http://blog.teatime.com.tw/1
這個星期試著將兩台 DC 的 DNS 都啟用, 且把 DHCP 中指定的 DNS 都指向這兩台機器, 然後將新的 DC 中的 Global Catalog 啟用後, 好像沒有什麼作用, 在原本那台機器關機後, 仍無法正常登入.
星期五下午在 AD Sites & Services 的 NTDS Settings 設定中, 把兩台 DC 的 connection 都新增上去, 然後重開機後, 就可以由兩台 DC 分別登入.
(我不確定是因為重開機還是改設定的結果...)

目前使用者的登入已經可以分別透過兩台 DC 來使用. :-)
只是在原本的 DC 關機時, 登入的動作會變慢, 猜測是因為 login scripts, profile, 及一些分享都是指到原本的 DC 那台機器, 在網路動作是會找不到... 要一陣子才會 timeout...

Frankie

  • 可愛的小學生
  • *
  • 文章數: 29
    • 檢視個人資料
引述: "zoob"
引述: "Tetralet"
請教一下,
為什麼限定只有 GC 能處理使用者的登入呢?

如果 GC 那一台主機掛掉了,
但是又沒有其它 DC 會自動接手 GC 的工作,
(只能手動,不是嗎?)
那麼沒有安裝 GC 的 DC 不就無法拿來做 DC 的備援之用了嗎?

有什麼特別的理由嗎?


這沒有什麼特別的理由

在AD裡面原本GC就是負責user logon的事情
DC和GC本來負責的事情就是不一樣的
你可以針對需要的DC將它enable GC,讓它來分擔另一個GC的loading,順便互相做為備援(當然你的dns要能正常解析目前AD的information)

可以看一下AlbertWei大大所提供的網址裡面就有詳細的敘述了



GC應該不是主要負責做帳號認證,GC負責有兩項工作.
 1.在Native mode 下維護萬用群組裡的account.
 2.當user使用User Principal Name登入時,是由GC做認證.
    (在單一網域架構下,gc就不是那麼重要)
  PS:使用者登入是先由DC做認證,如果dc failure或使用UPN才會由GC做認證.

  小技巧:如果DC failure掉,可將user加入萬用群組或使用UPN登入即可.