none
Problemas com Active Directory RRS feed

  • Pergunta

  • Olá pessoal. Boa tarde. Gostaria deu um auxilio para resolução de um problema.

    Problema 01: Active Directory

    O AD da sede da empresa é replicado com as demais filiais, que ao todo são 17. Todas as filiais possuem o AD configurado como se fossem MASTERs. Quando foram configurados, o ideal é que tivesse sido configurado como Controlador de Domínio Somente Leitura (RODC). Por causa disso estamos com problemas, pois alguns técnicos de TI das filais tem feito alterações (mesmo sendo informados que não podem fazer tais procedimentos), e estas são sendo replicadas para todos os outros domínios, inclusive na sede. Por isso, estamos querendo remover o controlador de domínio dessas filiais e configurar novamente como RODC. Minha dúvida é com relação as máquinas que já estão no domínio nessas filiais. Depois de despromover o AD e configurar novamente, teremos que colocar todas as máquinas no domínio novamente ou isso não será necessário já que o AD será criado novamente e o domínio será o mesmo?

    Aproveitando o ensejo que estamos falando em AD tenho uma segunda pergunta. Na sede tínhamos uma redundância do AD, em caso de parada de um, o outro assumiria. Havia uma replicação entre eles. Mas, estávamos tendo problemas com replicação e o secundário em vez de ser despromovido foi simplesmente desligado. Ao ligá-lo novamente para despromovê-lo não conseguimos executar tal procedimento pelo fato de ter ficado muito tempo desligado. Podemos simplesmente remover os serviços do AD? Como posso forçar a exclusão desse controlador na rede para em seguida subir outro?

    Problema 02: Lentidão ao logar no domínio

    Em uma das filiais, algumas máquinas  possuem um sério problema ao logar no domínio. É uma lentidão anormal, gira em torno de 5 a 10 minutos para logar. Tem alguma ferramenta da própria microsoft que podemos usar para tentar detectar a casa dessa lentidão? Tem alguma dica de como devo proceder?

    quinta-feira, 8 de setembro de 2016 20:31

Respostas

  • Não terá problema. 

    Ao configurar o DHCP colocar os DNS corretos de preferencia Microsoft junto com o RODC para que sincronizam melhor os registros.

    Referente a lentidão para logar no domínio, quase certeza que é problema de DNS. 

    Por acaso tem diferença em quem esteja conectado no Cabo e no WIFI? Se o cabo for normal e WIFI que esteja demorando, o problema é nos roteadores ou AP`s.

    Abraço

    • Marcado como Resposta Thales F Quintas quarta-feira, 14 de setembro de 2016 12:57
    sexta-feira, 9 de setembro de 2016 12:38

Todas as Respostas

  • Ao configurar os controladores de domínio das filiais como RODC, acredito que não haverá necessidade de colocar as máquinas no domínio novamente, porém precisará configurar a replicação das credenciais para que os usuários possam ter suas redefinições de senhas replicadas para o servidor principal e, indico que faça testes dessa mudança usando máquinas virtuais de laboratório antes de executar isso em produção.

    Outra opção menos trabalhosa seria limitar as contas de suporte utilizadas pelos outros técnicos para que possuam permissões delegadas somente nas unidades organizacionais de seus respectivos sites.

    https://kimiechik.wordpress.com/2013/03/01/delegando-controle-no-active-directory-usuarios-com-permissao-de-desativarativar-contas-de-outros-usuários/

    Segue procedimento para remover o controlador de domínio que está off-line.

    https://trabaiati.wordpress.com/2014/03/14/removendo-dc-offline-windows-2008-r2/

    Essa filial que enfrenta lentidão possui controlador de domínio nela também?

    Abra o CMD numa dessas máquinas problemáticas e execute o comando SET para ver qual servidor está marcado como LOGONSERVER. Execute o comando PING no nome do domínio para ver se quem responde é o servidor da própria filial ou de outra e veja o tempo de resposta também.

    Investigue os eventos registrados no Windows das estações clientes e do respectivo servidor também.


    Atenciosamente, Johnson Cruz (MCP, MCTS, MTA). Conto com seu voto caso minha resposta seja util. Conheça mais: Meu Blog com Dicas de TI | Meu Perfil no Linkedin | Minha Revenda de Soluções de TI.




    quinta-feira, 8 de setembro de 2016 22:45
  • Não terá problema. 

    Ao configurar o DHCP colocar os DNS corretos de preferencia Microsoft junto com o RODC para que sincronizam melhor os registros.

    Referente a lentidão para logar no domínio, quase certeza que é problema de DNS. 

    Por acaso tem diferença em quem esteja conectado no Cabo e no WIFI? Se o cabo for normal e WIFI que esteja demorando, o problema é nos roteadores ou AP`s.

    Abraço

    • Marcado como Resposta Thales F Quintas quarta-feira, 14 de setembro de 2016 12:57
    sexta-feira, 9 de setembro de 2016 12:38
  • Johnson,

    Com relação as permissões do técnico, vou dá uma olhada nisso. Isso pode resolver o problema já que não será necessário reconfigurar as filiais para atuarem como RODC, bastando apenas limitar o acesso ao Técnicos de TI.

    Com relação ao controlador OFF vou executar os passos. Já transferi todas as FSMO.

    Com relação a lentidão no login de algumas filiais já imaginada que poderia ser DNS, e acho que é isso mesmo. Em cada filial tem um DC com VPN configurada, justamente para sincronizar com o DC master, e por conta disso no DNS, existiam dois ponteiros apontando para o host do DC. As máquinas estavam apontando para o IP da interface TAP (VPN) e não do próprio DC. Alterei o nome do registro DNS que aponta para o IP da TAP para ver se isso resolve o problema. Vou aguardar.

    Te agradeço pelo auxilio.

    sexta-feira, 9 de setembro de 2016 20:08
  • Olá Marcio,

    Como você citou deve ser DNS mesmo. Tanto faz ser via rede ou Wifi, o problema persiste. Fiz uma alteração no DNS do DC. Vou aguardar se o problema é resolvido.

    Te agradeço pelo auxilio.

    sexta-feira, 9 de setembro de 2016 20:10
  • Bom dia natanrs,

    Tudo bem?

    Quanto a sua questão, como ficou?

    Conseguiu solucionar?

    Abraço.


    Thales F Quintas

    Esse conteúdo é fornecido sem garantias de qualquer tipo, seja expressa ou implícita

    TechNet Community Support

    Por favor, lembre-se de Marcar como Resposta as postagens que resolveram o seu problema. Essa é uma maneira comum de reconhecer aqueles que o ajudaram e fazer com que seja mais fácil para os outros visitantes encontrarem a resolução mais tarde.

    segunda-feira, 12 de setembro de 2016 11:58
  • Olá Thales, ainda não consegui resolver.

    Acho que o motivo da lentidão deve ser DNS mesmo.  Quando cheguei no orgão essa configuração já existia, acho que não está correta. Em cada filial tem um DC local com VPN configurada, justamente para sincronizar com o DC master (deve replicar com todas as filiais). Veja abaixo as duas interfaces configuradas:

    01. Interface Local do DC local:

    IP: 10.0.1.254
    Mascara: 255.255.255.0
    Gateway: 10.0.1.1
    DNS preferencial: 10.0.1.254
    DNS alternativo: 10.0.0.200

    DNS Preferencial: 10.0.1.254 -> Ip interno do próprio DC local.
    DNS Alternativo: 10.0.0.200 -> IP interno do DC master.

    02. Interface criada pela VPN do DC local:
    IP: <auto>
    Mascara: <auto>
    Gateway: <auto>
    DNS preferencial: 10.0.0.200
    DNS alternativo: 8.8.8.8

    DNS Preferencial: 10.0.0.200 -> IP interno do DC master.
    DNS Alternativo: 8.8.8.8 -> IP da google.
    IP local: 192.168.100.17 -> Atribuído pelas configurações da VPN.

    Ao executar o comando SET nas máquinas que estão com problemas de lentidão, verifiquei quem era o servidor de Logon. Segue:
    LOGONSERVER=\\MATRIZ-AD

    Analisando o o DNS do DC da filial verifiquei que existem dois ponteiros com o mesmo nome apontando para IPs distintos.  Como segue: 
    MATRIZ-AD        Host(A) 10.0.1.254 static
    MATRIZ-AD        Host(A) 192.168.100.17 static

    IP: 10.0.1.254 -> Ethernet local.
    IP: 192.168.100.17 -> Interface TAP da VPN.

    Ao executar o pingar nas máquinas com lentidão no login, hora uma apontava para o IP 10.0.1.254, outrora para o 192.168.100.17.  O problema pode está nessa configuração. O que você acha? 

    Aproveitando, gostaria de tirar outra dúvida. Não temos configuração dos sites e subredes no AD. Quando for configurar as subredes, tenho que colocar o IP da VPN ou da rede local?

    Abraço.

    sexta-feira, 16 de setembro de 2016 20:51
  • Nos cenários parecidos que eu gerencio, fecho conexão VPN entre os servidores via RRAS ou entre roteadores visando manter a faixa de IP padrão das filiais envolvidas e, assim evito problemas de DNS gerados por endereços de faixas diferentes atribuídos a interfaces PPTP. 

    Atenciosamente, Johnson Cruz (MCP, MCTS, MTA). Conto com seu voto caso minha resposta seja util. Acesse: Blog com Dicas de Informática | CSP Mais Nuvem Microsoft | Meu Perfil no Linkedin


    sábado, 17 de setembro de 2016 19:56