Обзор сценариев "piling" в доменах Active Directory

Переводы статьи Переводы статьи
Код статьи: 305027 - Vizualiza?i produsele pentru care se aplic? acest articol.
Существенный:Статья содержит сведения об изменении реестра. Убедитесь в наличии резервной копии реестра перед внесением изменений.. и изучить процедуру его восстановления.. Для получения дополнительных сведений о способах резервного копирования, восстановления и внесения изменений в реестр, обратитесь к следующей статье Microsoft Knowledge Base::
322756Создание резервных копий и восстановление реестра Windows
Развернуть все | Свернуть все

В этой статье

Аннотация

В статье сценарии "piling в" в доменах, использующих Windows 2000 Server, Windows Server 2003 и Windows Server 2008. Здесь также описываются способы устранения неполадок и устранить определенные проблемы в случае "piling".

Дополнительная информация

ОБЗОР

За некоторым исключением контроллеров домена в Active Directory, лес службы каталогов в Windows 2000 Server, Windows Server 2003 и Windows Server 2008 равен коллег в терминах следующих характеристик:
  • Создание объекта
  • Удаление объекта
  • Репликация объекта
  • authentication
  • Ответы на LDAP Lightweight Directory Access Protocol () запросов
Загрузка центрального Процессора, памяти и время отклика сервера обычно являются одинаковыми для контроллеров домена, которые используют то же самое оборудование, выполняются ту же задачу в конкретном сайте Active Directory.

Некоторые предпочитать операций в контроллерах домена или членами домена, контроллера домена или класс контроллеров домена (без учета настройки узла). В этом случае некоторые контроллеры домена для более ЦП, использование памяти, сетевой трафик и дискового ввода-вывода или больше использовать сочетание этих компонентов.

Выбор контроллера домена или группы из контроллеров домена называется сценарий "piling-on". Это может происходить, если некоторые операции уровня домена и уровня предприятия, которые не предназначены для размещения с несколькими хозяевами находятся на одном контроллере домена в домене или лесу. Другие монопольные операции, происходящие в других средах может разрешить или свернуто, изменения конфигурации.

Сценарии "Piling-on"

Ниже перечислены ситуации на piling, которые могут возникнуть, описывает проблемы, которые могут возникнуть в каждой из ситуаций и содержит сведения об устранении каждого сценария:
  • Основной контроллер ДОМЕНА регистрирует записи двух 1 C
  • Запись основного контроллера ДОМЕНА отображается в верхней части Windows Internet Name Service (WINS) [1 C] список
  • Выбор объекта исключительно запрашивает основной контроллер ДОМЕНА
  • Сквозной проверки подлинности только переход к основной контроллер ДОМЕНА
  • Клиенты Windows 2000 в домене Windows NT 4.0, проходят проверку подлинности только с основным контроллером ДОМЕНА
  • Клиенты Windows 2000, Windows XP и Windows Server 2003 в доменах смешанного операционной системы, проходят проверку подлинности только на контроллерах доменов в более поздней модели после обнаружения
  • Многие клиенты более ранних версий может привести к основной контроллер ДОМЕНА, не работают должным образом
  • Большое число попыток входа с неверным паролем может стать причиной высокой нагрузки на основной контроллер ДОМЕНА
  • Серверы DFS извлекать знаний таблицу разделов (PKT) из основного контроллера ДОМЕНА на изменения в конфигурации DFS

Основной контроллер ДОМЕНА регистрирует записи двух 1 C

Для решения этой проблемы на контроллерах домена под управлением Windows 2000, загрузите и установите последний пакет обновления для Windows 2000.Дополнительные сведения о получении последней версии пакета обновлений для Windows 2000 см. в следующей статье базы знаний Майкрософт::
260910Как получить последний пакет обновления для Windows 2000
Дополнительные сведения об этой проблеме см. в следующей статье базы знаний Майкрософт::
269424WINS Prepend1BTo1CQueries функция подсказки-балансировки нагрузки между контроллерами домена
Для контроллеров домена под управлением Windows Server 2003 только настройки реестра.

Запись основного контроллера ДОМЕНА отображается в верхней части списка имен служба WINS (Windows Internet) [1 C]

Признаки

[1 C] WINS список сортируется по IP-адрес; таким образом, сервер с IP-адрес нижнего возвращается в первую очередь и может быть favored клиентами.

Решение.

Для решения этой проблемы воспользуйтесь одним из следующих способов (при необходимости для вашей версии Windows).
  • Windows NT 4.0

    Чтобы устранить эту проблему, установите Windows NT 4.0 с пакетом обновления 4 (SP4) или более поздней версии, а затем снова включите
    Randomize1CList
    значение реестра в системном реестре.Дополнительные сведения о получении последнего пакета обновления для Windows NT 4.0 см. в следующей статье базы знаний Майкрософт::
    152734Как получить последний пакет обновления для Windows NT 4.0
    Для получения дополнительных сведений о том, как включить функцию Randomize1cList щелкните следующий номер статьи базы знаний Майкрософт:
    231305WINS Randomize1cList подсказки для функций-балансировки нагрузки между контроллерами домена
  • Windows 2000:

    Чтобы устранить эту проблему, установите флажок
    Randomize1CList
    значение реестра путем редактирования реестра.Дополнительные сведения о том, как это сделать, см. в следующей статье базы знаний Майкрософт::
    231305WINS Randomize1cList подсказки для функций-балансировки нагрузки между контроллерами домена

Выбор объекта исключительно запрашивает основной контроллер ДОМЕНА

Признаки

Когда средства выбора объектов на клиентах пред-Windows 2000 пакет обновления 3 (SP3) перечисляет пользователей, групп или учетных записей компьютеров из домена, на основе более ранней версии операционной системы<a0>$$$$</a0><a1>$$$$</a1>.<a2>$$$$</a2>связаться с PDC для предоставления списка объектов.

Решение.

Дополнительные сведения о получении последней версии пакета обновлений для Windows 2000 см. в следующей статье базы знаний Майкрософт::
260910Как получить последний пакет обновления для Windows 2000

Сквозной проверки подлинности только переход к основной контроллер ДОМЕНА

Проверка подлинности запросов от клиентов Windows NT LAN Manager (NTLM) с каналами безопасности Windows NT 4.0 и домена Windows 2000 контроллеров перенаправляются на основном контроллере ДОМЕНА запрос проверки подлинности не выполняется и возвращается одно из следующих кодов состояния:
  • STATUS_ACCOUNT_LOCKED_OUT
  • STATUS_WRONG_PASSWORD
  • STATUS_PASSWORD_MUST_CHANGE
  • STATUS_PASSWORD_EXPIRED
Примечание.Клиенты NTLM включают LanMan, Microsoft Windows 95, Microsoft Windows 98, Windows NT 4.0 и иногда клиенты Windows 2000.
Следующие сценарии могут вызвать основного контроллера ДОМЕНА узнать больше использования Процессора, памяти, диска или других ресурсов, чем другие контроллеры домена в домене:
  • Службы учетных записей на рядовые компьютеры домена с истекшим сроком действия паролей, для которых безопасность каналов для контроллеров домена без основного контроллера ДОМЕНА (STATUS_WRONG_PASSWORD).
  • Проверка подлинности входа в систему для учетных записей пользователей приПользователь должен изменить парольфлажок не установлен в системе Windows NT 4.0 доменов или в Windows сетевых клиентов, не являющихся несколькими хозяевами виду. Или, сбросПользователь должен изменить парольатрибут для многих пользователей.
  • Пользователям, введите пароли во время проверки подлинности входа в систему или в сети, не совпадающие пароли соответствующих безопасности канала контроллера домена.
В достаточном количестве по отдельности эти операции могут перегрузить контроллер домена, или может привести к достаточно добавочной загрузки влияет на уровень обслуживания.

Решение.

  • При попытке войти в систему с помощью устаревших паролей учетных записей служб, идентифицировать проблему учетных записей служб с помощью средства блокировки учетной записи основной для основного контроллера ДОМЕНА и затем остановить учетные записи службы или сбросить пароли.
  • В случае сброса пароля для многих пользователей области номер счета, гдеПользователь должен изменить парольимеет значение.
  • "Скрыть" основной контроллер ДОМЕНА в DNS и WINS, изменив реестр для включения
    Randomize1CList
    Параметр реестра.

    Дополнительные сведения о том, как это сделать, см. в следующей статье базы знаний Майкрософт::
    231305WINS Randomize1cList подсказки для функций-балансировки нагрузки между контроллерами домена
  • Проверить, содержит ли основной контроллер ДОМЕНА кэширование отрицательный исправления, описанные в следующей статье Microsoft Knowledge Base:
    272065Неверный пароль попытки могут многократно направлено из контроллеров домена для хозяина операций

Клиенты Windows 2000 в домене Windows NT 4.0, проходят проверку подлинности только с основным контроллером ДОМЕНА

Признаки

Клиенты Windows 2000 в домене Windows NT 4.0 сначала проходят проверку подлинности только в основной Контроллер домена.

Решение.

Для решения этой проблемы установки пакета обновления 2 (SP 2) или более поздней версии.

Клиенты Windows 2000, Windows XP и Windows Server 2003 в доменах смешанного операционной системы, проходят проверку подлинности только на контроллерах доменов в более поздней модели после обнаружения

Признаки

Клиенты Windows 2000, Windows XP и Windows Server 2003, входящих в состав доменов смешанного режима работы системы проходят проверку подлинности только для контроллеров домена Windows 2000 или Windows Server 2003, после обновления системы безопасности канала.

Решение.

Это поведение является особенностью продукта, но могут быть устранены путем развертывания дополнительных контроллеров домена Active Directory, особенно в Active Directory узлы, содержащие много пользователей. Кроме того, убедитесь, что
NT4Emulator
параметр реестра установлен правильно, для предотвращения массовых безопасности канала переход на один контроллер домена Active Directory.
Дополнительные сведения см. в следующей статье базы знаний Майкрософт::
298713Способы предотвращения перегрузки на первом контроллере домена, в ходе обновления домена

Многие клиенты более ранних версий может привести к основной контроллер ДОМЕНА, не работают должным образом

Признаки

Если имеется много клиентов Windows NT (более 25 000) и они все отправить запрос на изменение пароля пользователя и пароль учетной записи компьютера основного контроллера ДОМЕНА, клиентские запросы “ отброшено как слишком стара.»

Это происходит потому, что для основного контроллера ДОМЕНА в виде слот сообщений отправляется запрос на изменение пароля пользователя и пароль компьютераЗапрос для основного. По умолчанию а почтовые слоты, полученных основным контроллером ДОМЕНА, они помещаются в очередь 15 секунд, прежде чем они будут удалены как слишком старый. Тем не менее в пакете обновления 3 (SP3) или более ранней версии, сопоставление имени клиента для IP хранится в кэше NBT только в течение 10 секунд. Таким образом основной контроллер ДОМЕНА может потребоваться обратиться к WINS-сервер для разрешения имени клиентского IP-адрес для каждого запроса клиента. Если разрешение имен не может быть завершена до истечения предела слоте кэше 15 секунд, обработки слоте основного контроллера ДОМЕНА не может исправить ошибку. Таким образом клиентские запросы будут быть “ отброшено как слишком стара.»

Решение.

Windows 2000 с пакетом обновления 4 (SP4) содержит исправления, увеличивает предел кэша NBT будет равно 15 секунд времени ожидания слот сообщений.
Дополнительные сведения об этом исправлении см. в следующей статье базы знаний Майкрософт::
316803Клиенты, использующие старые операционные системы, не могут сменить пароль или добавить компьютер в домен Windows 2000 (эта ссылка может указывать на содержимое полностью или частично на английском языке)
Для решения проблемы загрузите последний пакет обновления для Windows 2000.. Дополнительные сведения см. в следующей статье базы знаний Майкрософт::
260910Как получить последний пакет обновления для Windows 2000

Большое число попыток входа с неверным паролем может стать причиной высокой нагрузки на основной контроллер ДОМЕНА

Признаки

По умолчанию, если пользователь вводит неверный пароль пароль отправляется на основной контроллер ДОМЕНА в случае, если пароль был недавно изменен. В домене, у многих пользователей это может вызвать высокую нагрузку на основной контроллер ДОМЕНА ресурсов. Или нескольких компьютерах в домене может работать программа или служба, использует неверные учетные данные и может несколько раз повторить эти учетные данные.

Решение.

Для решения этой проблемы необходимо установить раздел реестра AvoidPdcOnWan, чтобы воспользоваться этой нагрузки из основного контроллера ДОМЕНА.

Дополнительные сведения об этой проблеме см. в следующей статье базы знаний Майкрософт::
225511Функции разрешения конфликтов в Windows и новые изменения паролей

Серверы DFS извлечь таблицу разделов знания (PKT) из основного контроллера ДОМЕНА на изменения в конфигурации DFS

Признаки

При изменении конфигурации DFS от сбоев корня DFS, все корневые целевые папки уведомляются об изменении конфигурации. Затем они получают новый PKT из основной Контроллер домена. Если имеется несколько корневых целевых папок и частым изменениям, он может быть значительные нагрузки на основной контроллер ДОМЕНА.

Решение.

Windows Server 2003 реализована функция, известная как режим масштабируемости корня. Эта функция включена, изменения не передаются как уведомления о корневых целевых папок и целевые объекты не получают PKT из основного контроллера ДОМЕНА. Вместо этого они получают PKT из их ближайший контроллер домена. Несмотря на то, что изменения конфигурации, медленнее, перемещаться по сети, нагрузку на основной контроллер ДОМЕНА значительно меньше. Чтобы включить режим масштабируемости корня, выполните следующую команду:
Dfsutil /root: \\, домен\dfsroot/ RootScalability /Enable
Примечание.Этот параметр можно использовать только серверы под управлением Windows Server 2003.

Свойства

Код статьи: 305027 - Последний отзыв: 22 ноября 2010 г. - Revision: 2.0
Информация в данной статье относится к следующим продуктам.
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows 2000 Advanced Server
  • операционная система Microsoft Windows 2000 Server
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
Ключевые слова: 
kbinfo kbmt KB305027 KbMtru
Переведено с помощью машинного перевода
ВНИМАНИЕ! Перевод данной статьи был выполнен не человеком, а с помощью программы машинного перевода, разработанной корпорацией Майкрософт. Корпорация Майкрософт предлагает вам статьи, переведенные как людьми, так и средствами машинного перевода, чтобы у вас была возможность ознакомиться со статьями базы знаний KB на родном языке. Однако машинный перевод не всегда идеален. Он может содержать смысловые, синтаксические и грамматические ошибки, подобно тому как иностранец делает ошибки, пытаясь говорить на вашем языке. Корпорация Майкрософт не несет ответственности за неточности, ошибки и возможный ущерб, причиненный в результате неправильного перевода или его использования. Корпорация Майкрософт также часто обновляет средства машинного перевода.
Эта статья на английском языке:305027

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com