none
Win2003 и DFS RRS feed

  • Вопрос

  • Здравствуйте!

    Имеется следующее:
    Домен уровня Windows Server 2003
    Нескольо сайтов, топология - звезда. В центральном сайте - 4 контроллера домена Windows Server 2003 R2 SP2, в остальных  сайтах - по одному DC. Все контроллеры домена хранят первичную зону DNS.
    На одном из серверов центрального сайта установлена роль DFS. Все файловые ресурсы расположены на этом сервере. Корень DFS имеет вид domain.local.

    Так вот, возникла следующая проблема. При обращении пользователей к ресурсу DFS в некоторых случаях доступ осуществляется очень медленно. Сначала, никакой закономерности такого поведения не наблюдалось. При анализе проблемы обнаружилось, что в медленный доступ происходит в случае разрешения имени DFS-корня на сервере в другом сайте. (Анализатор сетевых протоколов показывал, что при открытии файлового ресурса идет обращение на 445-й порт контроллера домена другого сайта).

    nslookup domain.local дает следующий ответ: 1-й сервер всегда один из серверов контроллеров домена в центральном сайте. Остальный ответы перидочески изменяются. (Подозреваю, что действует round robin).

    На каждом контроллере домена DNS владеет первичной зоной domain.local. В этой зоне все DC имеют NS записи.

    Можно ли настроить Active Directory таким образом, чтобы рабочие станции обращались ТОЛЬКО к DNS серверам своего сайта? Или может быть существуют еще причины такого поведения?
    MCTS
    22 февраля 2010 г. 14:33

Все ответы

  • DNS в вашем случае непричём - для разрешения имён рабочие станции будут обращаться только к тем, что им указаны в настройках сетевого адаптера вручную или через DHCP.
    что касается именно DFS, с моей точки зрения - наиболее вероятно, что не все подсети описаны в AD или некорректно привязаны к сайтам AD: проверьте это в первую очередь... подсети как клиентские, так - естественно, и серверные...

    22 февраля 2010 г. 15:53
    Отвечающий

  • Можно ли настроить Active Directory таким образом, чтобы рабочие станции обращались ТОЛЬКО к DNS серверам своего сайта? Или может быть существуют еще причины такого поведения?
    MCTS
    Собственно, какие DNS-серверы в настройках TCP\IP на клиенте вы укажете, к таким он и будет обращаться - других он просто не знает : ).
    Если рутовых серверов для пространства имен в филиалах у вас нет - то обращение к рутовому серверу в главном офисе из сайтов будет всегда, при запросе ресурса DFS.
    22 февраля 2010 г. 16:19
    Отвечающий
  • В том то и дело, что для разрешения имения domain.local обращение идет к одному из серверов, указанных в настройках TCP/IP. Картина следующая:

    nslookup domain.local
    Server: dc1.local
    Address: 192.168.0.2
    (Этот сервер указан первичным в настройках сетевой карты)

    Name: domain.local
    Addresses: 192.168.0.4, 192.168.14.1, 192.168.0.2, 192.168.0.4, 192.168.0.5, 192.168.25.1

    Так вот, адрес 192.168.0.4 стоит первым всегда, остальные чередуются при следующих запусках nslookup.

    Сервер 192.168.14.1 относится к другому сайту. DFS корень называется domain.local, соответственно и разрешение идет по этому имени.

    Добавлю еще, что в DFS хранятся перенаправленные "Мои документы" и "Рабочий стол". И когда открываются "Мои документы" по адресу \\domain.local\MyDocs, где domain.local разрешается как 192.168.1.14 и начинаются тормоза, если domain.local разрешается как 192.168.0.2, то все работает нормально.

    Подсети еще раз проверим, но вроде там все нормально.


    MCTS
    22 февраля 2010 г. 16:35
  • В том то и дело, что для разрешения имения domain.local обращение идет к одному из серверов, указанных в настройках TCP/IP. Картина следующая:

    nslookup domain.local
    Server: dc1.local
    Address: 192.168.0.2
    (Этот сервер указан первичным в настройках сетевой карты)

    Name: domain.local
    Addresses: 192.168.0.4, 192.168.14.1, 192.168.0.2, 192.168.0.4, 192.168.0.5, 192.168.25.1

    Так вот, адрес 192.168.0.4 стоит первым всегда, остальные чередуются при следующих запусках nslookup.

    Сервер 192.168.14.1 относится к другому сайту. DFS корень называется domain.local, соответственно и разрешение идет по этому имени.

    Добавлю еще, что в DFS хранятся перенаправленные "Мои документы" и "Рабочий стол". И когда открываются "Мои документы" по адресу \\domain.local\MyDocs, где domain.local разрешается как 192.168.1.14 и начинаются тормоза, если domain.local разрешается как 192.168.0.2, то все работает нормально.

    Подсети еще раз проверим, но вроде там все нормально.


    MCTS

    То есть вы полагаете что рутовый сервер пространства имен DFS \\domain.local\MyDocs разрешается на клиенте запросом nslookup domain.local - это не так.
    Информация о domain-based простванствах имен хранится здесь CN=Dfs-Configuration,CN=System,DC=domain,DC=local, и эту информацию клиент может получить с любого КД и разрешение имен тут не при чем.
    22 февраля 2010 г. 17:09
    Отвечающий
  • Я с вами готов согласиться, что это не так (мои познания в этой области недостаточны). Но почему тогда сетевой анализатор показывает сетевую активность по 445-му порту контроллера домена стороннего сайта при открытии перенаправленной папки "Мои документы"?


    MCTS
    22 февраля 2010 г. 17:23
  • Я с вами готов согласиться, что это не так (мои познания в этой области недостаточны). Но почему тогда сетевой анализатор показывает сетевую активность по 445-му порту контроллера домена стороннего сайта при открытии перенаправленной папки "Мои документы"?


    MCTS

    Если у вас корневой сервер DFS есть КД центрального сайта - то 445 порт - это CIFS, частным случаем которого является DFS.
    И клиенты остальных сайтов пытаясь найти ресурс DFS \\domain.local\MyDocs обращаются к КД центрального сайта.
    Поробуйте поднять дополнительные рутовые сервера для пространства имен \\domain.local\MyDocs в филиалах
    22 февраля 2010 г. 17:37
    Отвечающий
  • Так вот, адрес 192.168.0.4 стоит первым всегда, остальные чередуются при следующих запусках nslookup.

    так в DNS работает netmask ordering вкупе с round-robin - это нормально, первым клиенту возвращается сервер из его подсети, остальные - вразброс... у вас явно не в DNS проблема

    22 февраля 2010 г. 19:00
    Отвечающий
  • добавьте контроллеры как namespace серверы и это решит проблему.

    Четыре контроллера как то многовато... достаточно будет двух.

    Для обеспечения отказоустойчивости DFS желательно поднять пассивную реплику на втором сервере.
    blog.wadmin.ru
    22 февраля 2010 г. 22:38

  • Если у вас корневой сервер DFS есть КД центрального сайта - то 445 порт - это CIFS, частным случаем которого является DFS.
    И клиенты остальных сайтов пытаясь найти ресурс DFS \\domain.local\MyDocs обращаются к КД центрального сайта.
    Поробуйте поднять дополнительные рутовые сервера для пространства имен \\domain.local\MyDocs в филиалах

    Корневой DFS сервер - это отдельно стоящий сервер.

    В том то и дело, что клиенты центрального сайта периодически лезут на контроллеры домена сайтов филиалов.
    MCTS
    23 февраля 2010 г. 7:04
  • добавьте контроллеры как namespace серверы и это решит проблему.

    Четыре контроллера как то многовато... достаточно будет двух.

    Для обеспечения отказоустойчивости DFS желательно поднять пассивную реплику на втором сервере.
    blog.wadmin.ru

    Т.е., если сделать реплики в филиалах, то клиенты центрального сайта не будут обращаться по имени domain.local в сайты филиалов?

    Согласен, что 2-х более чем достаточно, но сказалось неправильное планирование при создании домена, теперь разгребаем.
    MCTS
    23 февраля 2010 г. 7:06
  • не совсем так.
    реплики не нужны.
    нужно добавить их как namespace серверы т.е. держатели пространства имен.

    Если у вас настроев Domain root DFS
    в консоли на DFR-root правой кнопкой говорим - add namespace server
    когда вы его добавляете на удаленный сервер копируется только одна папка и структура папок в виде ярлыков.
    затем эта папка расшаривается.
    Клиенты при обращении к DFS-линку будут ходить уже на локальный сервер а не через всю сеть.

    PS если у вас Standalone-Root то такая методика не подойдет, нужна миграция на Domain DFS Root
    blog.wadmin.ru
    23 февраля 2010 г. 7:42
  • не совсем так.
    реплики не нужны.
    нужно добавить их как namespace серверы т.е. держатели пространства имен.

    Если у вас настроев Domain root DFS
    в консоли на DFR-root правой кнопкой говорим - add namespace server
    когда вы его добавляете на удаленный сервер копируется только одна папка и структура папок в виде ярлыков.
    затем эта папка расшаривается.
    Клиенты при обращении к DFS-линку будут ходить уже на локальный сервер а не через всю сеть.

    PS если у вас Standalone-Root то такая методика не подойдет, нужна миграция на Domain DFS Root
    blog.wadmin.ru

    Попробуем сделать таким образом. Спасибо.

    Но я все равно не пойму, почему, при существующей инфраструктуре, когда в филиалах установлены только контроллеры домена и пока не настроено пространство имен DFS, идет обращение на их SMB порт от клиентов ЦЕНТРАЛЬНОГО сайта при открытии файловых ресурсов, расположенных в ЦЕНТРАЛЬНОМ сайте, клиентами этого же ЦЕНТРАЛЬНОГО сайта.

    Топологию сетей перепроверили. Все нормально. Ведь, судя по документации, при правильной конфигурации физической инфраструктуры, сетевой трафик без необходимости не должен выходить за пределы сайта.
    MCTS
    23 февраля 2010 г. 13:55
  • А у вас привязка подсетей к сайтам AD корректно настроена?
    24 февраля 2010 г. 13:28
    Отвечающий
  • А у вас привязка подсетей к сайтам AD корректно настроена?

    Да, корректно. Это первое, на что мы обратили внимание.
    MCTS
    24 февраля 2010 г. 14:04