Ringkasan "menumpuk" skenario dalam domain Active Directory

Terjemahan Artikel Terjemahan Artikel
ID Artikel: 305027 - Melihat produk di mana artikel ini berlaku.
Penting Artikel ini berisi informasi tentang cara mengubah registri. Pastikan Anda membuat salinan cadangan registri sebelum mengubahnya. Membuat yakin bahwa Anda tahu cara mengembalikan registri jika masalah terjadi. Untuk lebih informasi tentang cara membuat cadangan, memulihkan, dan memodifikasi registri, klik sejumlah artikel berikut untuk melihat artikel di dalam Basis Pengetahuan Microsoft:
322756 Cara membuat cadangan dan memulihkan registri di Windows
Perbesar semua | Perkecil semua

Pada Halaman ini

RINGKASAN

Artikel ini menjelaskan "menumpuk-pada" skenario dalam domain yang menggunakan Windows 2000 Server, Windows Server 2003 dan Windows Server 2008. Itu juga menjelaskan cara untuk memecahkan masalah dan mengatasi isu-isu tertentu yang terjadi ketika "menumpuk" terjadi.

INFORMASI LEBIH LANJUT

Sekilas pandang

Dengan pengecualian tertentu, pengontrol domain direktori aktif direktori layanan hutan di Windows 2000 Server, Windows Server 2003 dan di Windows Server 2008 adalah teman-teman yang sama dari segi karakteristik sebagai berikut:
  • Pembuatan obyek
  • Objek penghapusan
  • Objek replikasi
  • Otentikasi
  • Responses to Lightweight Directory Access Protocol (LDAP) pertanyaan
Memori, utilisasi CPU, dan waktu respon server yang umumnya sama untuk kontroler domain yang menggunakan hardware yang sama dan itu adalah melakukan tugas yang sama pada situs Active Directory tertentu.

Mendukung operasi tertentu di domain anggota atau pengontrol domain tertentu kontroler domain atau kelas pengontrol domain (mengabaikan preferensi situs). Hal ini menyebabkan pengontrol domain spesifik untuk mengalami utilisasi CPU yang lebih besar, penggunaan memori, lalu lintas jaringan, dan disk i/O, atau penggunaan besar kombinasi komponen ini.

Penargetan kontroler domain tertentu atau sekelompok pengontrol domain ini disebut sebagai "menumpuk-pada" skenario. Ini perilaku ini dapat terjadi jika tertentu domain-lebar dan perusahaan-lebar operasi yang tidak dimaksudkan untuk penempatan multi-master berada di satu domain controller di domain atau hutan. Operasi tunggal-master lain yang terjadi di lain lingkungan dapat diselesaikan atau diminimalkan oleh perubahan konfigurasi.

"Menumpuk-pada" skenario

Daftar berikut meringkas menumpuk pada skenario yang mungkin terjadi, menggambarkan gejala yang mungkin Anda alami di setiap skenario, dan berisi informasi mengenai cara mengatasi setiap skenario:
  • PDC register dua catatan 1 C
  • PDC catatan yang muncul di bagian atas nama Internet Windows Daftar layanan (menang) [1 C]
  • Objek Picker permintaan PDC secara eksklusif
  • Otentikasi pass-through pergi ke PDC secara eksklusif
  • Windows 2000 klien dalam domain Windows NT 4.0 dikonfirmasi secara eksklusif oleh PDC
  • Klien Windows 2000, Windows XP, dan Windows Server 2003 dalam sistem campuran-operasi domain dikonfirmasi secara eksklusif oleh model terbaru kontroler domain setelah ditemukan
  • Banyak versi sebelumnya klien dapat mengakibatkan PDC tidak berfungsi dengan benar
  • Jumlah tinggi sandi salah upaya dapat menyebabkan tinggi beban pada PDC
  • Server DFS menarik partisi pengetahuan meja (PKT) dari PDC pada perubahan konfigurasi DFS

PDC register dua catatan 1 C

Untuk mengatasi masalah ini pada kontroler domain berbasis Windows 2000, mendapatkan dan menginstal paket layanan Windows 2000 terbaru. Untuk informasi tambahan tentang cara mendapatkan paket layanan Windows 2000, klik nomor artikel di bawah ini untuk melihat artikel di dalam Basis Pengetahuan Microsoft:
260910 Cara mendapatkan Windows 2000 paket layanan
Untuk informasi tambahan tentang masalah ini, klik sejumlah artikel berikut untuk melihat artikel di dalam Basis Pengetahuan Microsoft:
269424MENANG Prepend1BTo1CQueries fitur Aids Load Balancing antara pengontrol Domain
Untuk domain berbasis Windows Server 2003 controller, hanya mengkonfigurasi registri.

PDC catatan yang muncul di bagian atas daftar layanan nama Internet Windows (WINS) [1 C]

Gejala

MENANG [1 C] daftar ini diurutkan berdasarkan alamat IP; oleh karena itu, server dengan alamat IP terendah kembali pertama dan mungkin disukai oleh klien.

Penyelesaian

Untuk mengatasi masalah ini, gunakan salah satu metode berikut (sebagai yang sesuai untuk versi Windows Anda):
  • Windows NT 4.0

    Untuk mengatasi masalah ini, instal Windows NT 4.0 paket layanan 4 (SP4) atau kemudian, dan kemudian mengaktifkan
    Randomize1CList
    nilai registri di registri. Untuk tambahan informasi tentang cara mendapatkan paket layanan Windows NT 4.0 terbaru, klik nomor artikel berikut ini untuk melihat artikel dalam Pengetahuan Microsoft Base:
    152734Cara mendapatkan paket layanan Windows NT 4.0
    Untuk informasi tambahan tentang cara mengaktifkan fitur Randomize1cList, klik nomor artikel di bawah ini untuk melihat artikel di dalam Basis Pengetahuan Microsoft:
    231305MENANG Randomize1cList Aids fitur Load Balancing antara DC
  • Windows 2000

    Untuk mengatasi masalah ini, mengaktifkan
    Randomize1CList
    nilai registri dengan mengedit registri. Untuk informasi tambahan tentang cara melakukannya, klik sejumlah artikel berikut untuk melihat artikel di dalam Basis Pengetahuan Microsoft:
    231305MENANG Randomize1cList Aids fitur Load Balancing antara DC

Objek Picker permintaan PDC secara eksklusif

Gejala

Ketika objek Picker pre-Windows 2000 Paket Layanan 3 (SP3) klien enumerates pengguna, grup, atau komputer account dari domain yang didasarkan pada sistem operasi sebelumnya, hanya PDC dihubungi untuk menyediakan daftar obyek.

Penyelesaian

Untuk informasi tambahan tentang cara mendapatkan terbaru Paket layanan Windows 2000, klik nomor untuk melihat artikel berikut artikel di dalam Basis Pengetahuan Microsoft:
260910 Cara mendapatkan Windows 2000 paket layanan

Otentikasi pass-through pergi ke PDC secara eksklusif

Otentikasi permintaan dari klien Windows NT LAN Manager (NTLM) dengan saluran keamanan untuk Windows NT 4.0 dan Windows 2000 cadangan domain controller (BDCs) akan diteruskan ke PDC jika permintaan otentikasi gagal dan salah satu kode status berikut kembali:
  • STATUS_ACCOUNT_LOCKED_OUT
  • STATUS_WRONG_PASSWORD
  • STATUS_PASSWORD_MUST_CHANGE
  • STATUS_PASSWORD_EXPIRED
Catatan NTLM klien termasuk LanMan, Microsoft Windows 95, Microsoft Windows 98, Windows NT 4.0, dan kadang-kadang klien Windows 2000.
The Setelah skenario dapat menyebabkan PDC mengalami lebih besar penggunaan CPU, memori, disk atau sumber daya lain daripada pengontrol domain lainnya di domain:
  • Account layanan pada komputer anggota domain dengan berakhir sandi yang memiliki keamanan saluran untuk pengontrol domain non-PDC (STATUS_WRONG_PASSWORD).
  • Logon otentikasi untuk account pengguna ketikaPengguna harus mengubah sandi kotak centang dipilih dalam Windows NT domain 4,0, atau Windows jaringan klien yang tidak multi-master sadar. Atau, reset Pengguna harus mengubah sandi atribut untuk banyak pengguna.
  • Pengguna yang memasukkan sandi pada logon atau jaringan otentikasi yang tidak cocok mereka masing-masing password pada keamanan mereka saluran kontroler domain.
Dalam jumlah yang memadai, operasi ini secara individu mungkin kontroler domain yang berlebihan, atau mereka dapat menyebabkan beban tambahan yang cukup untuk mempengaruhi tingkat pelayanan.

Penyelesaian

  • Jika account layanan mencoba logon dengan usang password, mengidentifikasi masalah account layanan dengan menggunakan pilihan Anda rekening lockout alat terhadap PDC, dan kemudian baik berhenti account layanan atau membuat ulang sandi.
  • Jika reset password terjadi bagi banyak pengguna, lingkup nomor account di mana Pengguna harus mengubah sandi diatur.
  • "Sembunyikan" PDC di menang dan DNS dengan mengedit registri untuk mengaktifkan
    Randomize1CList
    nilai registri.

    Untuk informasi lebih lanjut tentang cara melakukannya, klik berikut nomor artikel untuk melihat artikel di dalam Basis Pengetahuan Microsoft:
    231305MENANG Randomize1cList Aids fitur Load Balancing antara DC
  • Menyelidiki apakah PDC berisi caching negatif perbaikan yang dibahas dalam artikel berikut di Pengetahuan Microsoft Base:
    272065 Buruk Password upaya yang berulang kali diteruskan dari kontroler Domain Master operasi PDC

Windows 2000 klien dalam domain Windows NT 4.0 dikonfirmasi secara eksklusif oleh PDC

Gejala

Windows 2000 klien dalam domain Windows NT 4.0 yang awalnya dikonfirmasi hanya oleh PDC domain.

Penyelesaian

Untuk mengatasi masalah ini, instal Windows 2000 Paket Layanan 2 (SP 2) atau yang lebih baru.

Klien Windows 2000, Windows XP, dan Windows Server 2003 di dicampur-operasi sistem domain dikonfirmasi secara eksklusif oleh pengontrol domain model terbaru setelah ditemukan

Gejala

Klien Windows 2000, Windows XP, dan Windows Server 2003 yang bergabung dengan campuran-operasi sistem domain dikonfirmasi hanya dengan pengontrol domain Windows 2000 atau Windows Server 2003 setelah saluran keamanan diperbarui.

Penyelesaian

Perilaku ini adalah dengan desain, tetapi dapat dikurangi dengan mengerahkan tambahan pengontrol domain direktori aktif, terutama di situs Active Directory yang mengandung banyak pengguna. Juga, pastikan bahwa
NT4Emulator
kunci registri ditetapkan dengan benar agar massal keamanan saluran migrasi ke satu pengendali domain direktori aktif.
Untuk informasi tambahan, klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
298713Bagaimana mencegah Overloading pada kontroler Domain pertama selama Domain Upgrade

Banyak versi sebelumnya klien dapat mengakibatkan PDC tidak berfungsi dengan benar

Gejala

Jika Anda memiliki banyak klien Windows NT (lebih dari 25.000), dan mereka semua mengirim PDC permintaan untuk mengubah sandi pengguna atau sandi account komputer, permintaan klien adalah "dibuang sebagai terlalu tua."

Masalah ini terjadi karena permintaan untuk mengubah sandi pengguna atau sandi komputer dikirim khusus untuk PDC dalam bentuk mailslot Permintaan untuk dasar. Secara default, seperti mailslots yang diterima oleh PDC, mereka yang antri untuk 15 detik sebelum dibuang sebagai terlalu tua. Namun, dalam Windows 2000 Paket Layanan 3 (SP3) atau sebelumnya, pemetaan klien-nama-untuk-IP diadakan di NBT cache untuk hanya 10 detik. Sebagai hasilnya, PDC mungkin harus menghubungi server WINS untuk menetapkan nama klien untuk alamat IP untuk setiap permintaan klien. Jika resolusi nama tidak diselesaikan sebelum mailslot 15-kedua cache batas berakhir, PDC mailslot pengolahan tidak dapat pulih dari situasi ini. Oleh karena itu, permintaan klien akan "dibuang sebagai terlalu tua."

Penyelesaian

Windows 2000 Paket Layanan 4 (SP4) berisi perbaikan terbaru yang meningkatkan NBT cache batas untuk menjadi sama dengan waktu mailslot 15 detik.
Untuk tambahan informasi tentang perbaikan terbaru ini, klik nomor artikel di bawah ini untuk melihat artikel di dalam Basis Pengetahuan Microsoft:
316803Klien sebelumnya mungkin gagal untuk mengubah password atau bergabung dalam Windows 2000 Domain
Untuk memecahkan masalah ini, Dapatkan terbaru paket layanan untuk Windows 2000. Untuk informasi tambahan, klik berikut nomor artikel untuk melihat artikel di dalam Basis Pengetahuan Microsoft:
260910 Cara mendapatkan Windows 2000 paket layanan

Jumlah tinggi sandi salah upaya dapat menyebabkan beban tinggi pada PDC

Gejala

Secara default, ketika pengguna memasukkan sandi yang salah, sandi dikirim ke PDC jika password berubah baru-baru ini. Dalam domain yang memiliki banyak pengguna, ini dapat menyebabkan beban tinggi pada sumber daya PDC. Atau, banyak komputer di domain dapat menjalankan program atau layanan yang menggunakan kredensial masuk salah dan mungkin coba lagi mandat ini berulang-ulang.

Penyelesaian

Untuk mengatasi perilaku ini, Anda mengatur kunci registri AvoidPdcOnWan untuk mengambil ini beban dari PDC.

Untuk informasi tambahan tentang masalah ini, klik nomor artikel di bawah ini untuk melihat artikel di dalam Basis Pengetahuan Microsoft:
225511Ubah sandi baru dan fungsi resolusi konflik di Windows

Server DFS menarik tabel partisi pengetahuan (PKT) dari PDC pada perubahan konfigurasi DFS

Gejala

Ketika perubahan konfigurasi DFS DFS toleran akar, semua akar target akan diberitahu perubahan konfigurasi. Mereka kemudian menerima PKT baru dari PDC domain. Jika Anda memiliki banyak akar target dan sering perubahan, itu dapat menjadi beban signifikan pada PDC.

Penyelesaian

Windows Server 2003 mengimplementasikan fitur yang dikenal sebagai Root skalabilitas Mode. Setelah fitur ini diaktifkan, perubahan tidak dikirim sebagai pemberitahuan kepada target akar, dan target tidak menarik PKT dari PDC. Sebaliknya, mereka menarik PKT dari kontroler domain terdekat mereka. Meskipun perubahan konfigurasi bergerak jaringan lebih perlahan-lahan, beban PDC secara signifikan lebih rendah. Untuk mengaktifkan Mode skalabilitas Root, jalankan perintah berikut:
Dfsutil/root: \\domain\dfsroot / RootScalability /Enable
Catatan Hanya server yang menjalankan Windows Server 2003 dapat menggunakan ini pengaturan.

Properti

ID Artikel: 305027 - Kajian Terakhir: 24 September 2011 - Revisi: 2.0
Berlaku bagi:
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Server
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
Kata kunci: 
kbinfo kbmt KB305027 KbMtid
Penerjemahan Mesin
PENTING: Artikel ini diterjemahkan menggunakan perangkat lunak mesin penerjemah Microsoft dan bukan oleh seorang penerjemah. Microsoft menawarkan artikel yang diterjemahkan oleh seorang penerjemah maupun artikel yang diterjemahkan menggunakan mesin sehingga Anda akan memiliki akses ke seluruh artikel baru yang diterbitkan di Pangkalan Pengetahuan (Knowledge Base) dalam bahasa yang Anda gunakan. Namun, artikel yang diterjemahkan menggunakan mesin tidak selalu sempurna. Artikel tersebut mungkin memiliki kesalahan kosa kata, sintaksis, atau tata bahasa, hampir sama seperti orang asing yang berbicara dalam bahasa Anda. Microsoft tidak bertanggung jawab terhadap akurasi, kesalahan atau kerusakan yang disebabkan karena kesalahan penerjemahan konten atau penggunaannya oleh para pelanggan. Microsoft juga sering memperbarui perangkat lunak mesin penerjemah.
Klik disini untuk melihat versi Inggris dari artikel ini:305027

Berikan Masukan

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com