none
Увеличение времени кэширования пользователей на RODC RRS feed

  • Вопрос

  • Добрый день.

    Возникла проблема с авторизацией на сервере RODC. Сервер работает в отдаленном филиале, где периодически возникают проблемы со связью. Пользователи на этом сервере не могут зайти на сервер при отсутствии связи RODC с корневым контроллером. Кэширование этих групп настроено на сервере RODC. Как увеличить время работы без корневого контроллера ?

    13 июня 2013 г. 4:20

Ответы

  • Думаю, что похожа. Хотя это немного странно - судя по описанию, как должен происходить процесс (см. ссылку на статью в Technet Library в решении), сервер DNS не должен постоянно заниматься попытками репликации одиночных записей: там по умолчанию стоит довольно разумное число обрабатываемых за цикл записей из очереди (100) при цикле, по умолчанию, в 180 секунд.

    Но причиной это может быть. И для диагностики можно попробовать отключить использование RSO для DNS, как написано в решении.

    Если это помогло, то можно включить RSO обратно и попробовать уменьшить число записей, обрабатываемых за цикл (параметр MaximumRodcRsoAttemptsPerCycle), см. ту же статью, чтобы дать серверу DNS время на обработку запросов.  Кроме того, стоит проверить DsPollingInterval на предмет того, что он не уменьшен до какого-то чрезмерно малого времени.


    Слава России!

    14 июня 2013 г. 21:14

Все ответы

  • Добрый день.

    Возникла проблема с авторизацией на сервере RODC. Сервер работает в отдаленном филиале, где периодически возникают проблемы со связью. Пользователи на этом сервере не могут зайти на сервер при отсутствии связи RODC с корневым контроллером. Кэширование этих групп настроено на сервере RODC. Как увеличить время работы без корневого контроллера ?


    Возможно вопрос не правильно задал. Возможно правильно будет кэширование DNS.
    13 июня 2013 г. 7:00
  • Вы выяснили, что у Вас происходит с DNS на RODC? Потому как в норме разрешение мен должно продолжать работать (не будет работать регистрация в DNS).

    Если не хотите выяснять, то есть альтернативный вариант: изменить области репликации зоны(двух зон, если домен - корневой в лесу) домена таким образом, чтобы RODC в них не попадали (сделать для этого специальный раздел приложения в AD), а на RODC раместить эту зону(ы) как вторичную. Срок работоспособности вторичной зоны при отсутствии репликации указывается в свойствах записи SOA для зоны.


    Слава России!

    13 июня 2013 г. 11:02
  • Вы выяснили, что у Вас происходит с DNS на RODC? Потому как в норме разрешение мен должно продолжать работать (не будет работать регистрация в DNS).

    Если не хотите выяснять, то есть альтернативный вариант: изменить области репликации зоны(двух зон, если домен - корневой в лесу) домена таким образом, чтобы RODC в них не попадали (сделать для этого специальный раздел приложения в AD), а на RODC раместить эту зону(ы) как вторичную. Срок работоспособности вторичной зоны при отсутствии репликации указывается в свойствах записи SOA для зоны.


    Слава России!

    Нашел такое решение, проблема похожа на мою. Что думаете ?

    http://social.technet.microsoft.com/forums/ru-ru/ws2008ru/thread/B19D48A1-DF3B-4656-A515-14CB4C15CEE9

    Коллеги !
    Кажется я нашел обходной путь для решения этой проблеммы.
    Как выяснилось причиной всех проблем является криво реализованный программистами Microsoft механизм RSO (replicateSingleObject). Подробно описанный здесь http://itbloggen.se/cs/blogs/chrisse/archive/2009/01/25/how-read-only-domain-controllers-and-dns-works.aspx и здесь http://technet.microsoft.com/ru-ru/library/cc754218.aspx. Вероятно DNS сервер запускает репликацию в том-же потоке, что и обслуживает клиентские запросы отсюда и все проблемы. Может во втором сервиспаке они это исправили, как только выйдет русский SP2 обязательно протестирую и отпишусь здесь. А пока я отключил механизм RSO для DNS сервера на RODC поставив значение параметра EnableRSOForRODC =0 в разделе реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters. После этого перестала появлятся ошибка в журнале событий и разрешение имен работает стабильно. Единственный отрицательный момент отключения механизма RSO в менее оперативном обновлении зоны DNS на RODC т.к. теперь все изменения в IP адресах компов филиала будут приходить только по механизму стандартной репликации AD, но это как мне кажется пустяки.

    13 июня 2013 г. 11:56
  • Думаю, что похожа. Хотя это немного странно - судя по описанию, как должен происходить процесс (см. ссылку на статью в Technet Library в решении), сервер DNS не должен постоянно заниматься попытками репликации одиночных записей: там по умолчанию стоит довольно разумное число обрабатываемых за цикл записей из очереди (100) при цикле, по умолчанию, в 180 секунд.

    Но причиной это может быть. И для диагностики можно попробовать отключить использование RSO для DNS, как написано в решении.

    Если это помогло, то можно включить RSO обратно и попробовать уменьшить число записей, обрабатываемых за цикл (параметр MaximumRodcRsoAttemptsPerCycle), см. ту же статью, чтобы дать серверу DNS время на обработку запросов.  Кроме того, стоит проверить DsPollingInterval на предмет того, что он не уменьшен до какого-то чрезмерно малого времени.


    Слава России!

    14 июня 2013 г. 21:14