一個AD結構引起的Exchange DAG部署問題

 在迪拜已經快3周了，今天在建立Exchange 2010 的DAG時遇到了一個小問題。

一行熟悉的建立DAG的shell命令下去，竟然報錯了！

錯誤內容以下：

c.x.com（客戶的域名 ） 上 Active Directory 操做失敗。此錯誤不可重試，其餘信息： 拒絕訪問。 Active Directory 響應： 000000005：secErr:DSID-031521D0,problem 4003(INSUFF-ACCES-RIGHTS),data 0. 用戶沒有足夠的權限。

震驚些許後，淡定了下來。

開始分析問題緣由：

1、排除基礎邏輯問題：

一、肯定個人操做賬戶權限：用戶是Domain Admins 、 Eterprise Admins、 Scheme admins、 Exchange organization 組成員。結論：排除用戶權限不足的問題；

二、分析AD結構，用戶的AD是典型的多域結構，林爲x.com,下面的子域爲a.x.com、b.x.com、c.x.com；自從AD升級到2008R2後，主要應用的是c.x.com。迪拜的兩臺DC和4臺Exchange Server 正是部署在c.x.com域的DUBAI站點中。此站點中的dc01和dc02都是GC。結論：排除站點中無GC問題；

2、綜合分析：

      a、多域結構，多站點。複製鏈路帶寬不一樣，複製週期分三檔；

      c、Exchange架構是在根域擴展的，Exchange trust subsystem組在根域；

      b、Exchange Server 又是在子域安裝的，檢查Exchange trust subsystem中的成員迪拜站點的4臺Exchange Server都在其中；

      d、鏈路狀況：北京到迪拜走的是4M國際鏈路專線，強制AD複製，問題依舊；

初步判斷問題緣由：應該是多域｜多站點｜多鏈路複製｜的AD設計結構在缺少監控維護時容易出現的權限緩存問題。

    如何解決此類問題呢？兩種辦法：

     A、常規辦法（見效慢，可治本）：等待AD複製機制自行解決。（這要考驗你們的耐性了！）

     B、應急辦法（見效快，可治標）：將迪拜站點中的兩臺DC加入到Exchange trust subsystem組後，依次從新啓動dc0一、dc02和4臺Exchange。（DAG建立完畢後一段時間後，可將迪拜站點中的兩臺DC從Exchange trust subsystem組移除出來。畢竟有點適得其反的感受。）

 

                                                                                    2012年3月22日於迪拜Airport Free Zone