Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Ten artykuł zawiera pomoc w rozwiązywaniu opóźnień występujących, gdy członkowie domeny muszą komunikować się z kontrolerami domeny w domenach zdalnych.
Oryginalny numer KB: 4550655
Symptomy
Załóżmy, że masz środowisko usługi Active Directory, które ma co najmniej jeden las, a każdy las ma co najmniej jedno drzewo domen. W tym środowisku drzewo domeny jest katalogiem głównym nazwy DNS, który jest niezależny od katalogu głównego lasu.
Masz komputery członkowskie we wszystkich domenach wszystkich lasów. Istnieją również zasady zabezpieczeń sieci, które ograniczają komunikację z komputerów do serwerów i elementów równorzędnych, które są wymagane dla funkcji biznesowej komputerów, a także do użytkowników, którzy pracują z tym funkcją biznesową.
W tym scenariuszu zauważysz, że członkowie domeny uzyskują dostęp do kontrolerów domeny w domenach innych niż domeny, do których należą. Mogą oni uzyskiwać dostęp do serwerów, które różnią się od serwera, do którego logują się użytkownicy. Ta komunikacja może być ograniczona przez ustawione reguły zapory.
To działanie powoduje częste opóźnienia i błędy, gdy komputer członkowski próbuje bezskutecznie uzyskać dostęp do portów serwera innych kontrolerów domeny.
W przypadku wystąpienia tego problemu zostanie wyświetlony komunikat o błędzie oparty na używanym protokole w następujący sposób:
- RPC: kod błędu 1722 (RPC_S_SERVER_UNAVAILABLE)
- LDAP: kod błędu 85 (LDAP_TIMEOUT)
- WinSock: kod błędu 10060 (WSAETIMEDOUT)
Analiza i przyczyna
Zazwyczaj należy oczekiwać, że komputer i użytkownicy będą używać głównie kontrolerów domeny z tej samej domeny, do której należą. Mogą również łączyć się z wykazami globalnymi w celu wyszukiwania w całym lesie we własnym lesie lub w lasach zdalnych.
Jednak członkowie domeny czasami docierają poza własną domenę. Mogą to zrobić na podstawie ich konfiguracji. Mogą również to zrobić po odnalezieniu ogólnej struktury lasu, a następnie wysłaniu żądań do wszystkich odnalezionych domen.
Przykłady takich wymagań dotyczących komunikacji:
Konfiguracją mogą być ustawienia zasad grupy połączone z zakresem ustawień zasad dla członków domeny. Można też ustawić ustawienia zasad w lokacji usługi Active Directory, w których znajduje się komputer.
Mogą istnieć aplikacje, które chcą wyszukiwać lub synchronizować obiekty ze wszystkich wyszukiwanych domen. Na przykład odnajdywanie topologii programu SharePoint.
Istnieje również grupa aplikacji, które wyszukują obiekt główny domeny przy użyciu wyszukiwań LDAP i umożliwiają i odbierają odwołania kontynuacji. Oznacza to, że przekierowują odwołania do wszystkich podrzędnych kontrolerów sieciowych (partycji aplikacji i domen podrzędnych). W związku z tym wymagają one dostępu do kontrolerów domeny podrzędnej.
Opóźnienia, które występują, zależą od liczby domen, kontrolerów domeny, do których się odwołujesz, oraz liczby ponownych prób wykonanych przez aplikację. Opóźnienie może potrwać wiele minut. Niektóre aplikacje również w końcu upłynął limit czasu, zanim wszystkie kontrolery domeny i domeny zwróciły błędy wystarczająco często. W analizie może zostać wyświetlone oryginalne zapytanie LDAP oznaczone jako pomyślne, ponieważ otrzymało wyniki z domeny, w której uruchomiono zapytanie. Jednak zapytanie jest nadal opóźnione, ponieważ oczekuje na ukończenie odwołań.
Zalecenia
Firma Microsoft nie ma dokumentacji dotyczącej sposobu określania kontrolerów domeny dowolnej domeny w dowolnym lesie w zakresie przedsiębiorstwa są używane na podstawie określonej konfiguracji. Nie ma również żadnych reguł kontrolowania, do których kontrolerów domeny można uzyskać dostęp. Dotyczy to systemu Windows i wszystkich aplikacji firmy Microsoft.
Należy oczekiwać, że każdy element członkowski domeny skontaktuje się ze wszystkimi kontrolerami domeny wszystkich lasów. Jeśli chcesz ograniczyć członków domeny, musisz użyć podejścia próbnego i błędu. Jeśli okaże się, że występują opóźnienia, ponieważ skontaktowano się z dodatkowymi kontrolerami domeny, musisz przyjąć reguły zapory, które zezwalają na dostęp do tych kontrolerów domeny.
Jeśli nie masz pewności, które porty są dostępne lub zablokowane przez zaporę, użyj narzędzia PortQry, aby przetestować ustawienia. Aby uzyskać więcej informacji, zobacz New features and functionality in PortQry version 2.0 (Nowe funkcje i funkcje w usłudze PortQry w wersji 2.0).