一个AD结构引发的Exchange DAG部署问题 推荐

在迪拜已经快3周了，今天在创建Exchange 2010 的DAG时遇到了一个小问题。

一行熟悉的创建DAG的shell命令下去，居然报错了！

错误内容如下：

c.x.com（客户的域名 ） 上 Active Directory 操作失败。此错误不可重试，其他信息： 拒绝访问。 Active Directory 响应： 000000005：secErr:DSID-031521D0,problem 4003(INSUFF-ACCES-RIGHTS),data 0. 用户没有足够的权限。

震惊些许后，淡定了下来。

开始分析问题原因：

一、排除基础逻辑问题：

1、确定我的操作帐户权限：用户是Domain Admins 、 Eterprise Admins、 Scheme admins、 Exchange organization 组成员。结论：排除用户权限不足的问题；

2、分析AD结构，用户的AD是典型的多域结构，林为x.com,下面的子域为a.x.com、b.x.com、c.x.com；自从AD升级到2008R2后，主要应用的是c.x.com。迪拜的两台DC和4台Exchange Server 正是部署在c.x.com域的DUBAI站点中。此站点中的dc01和dc02都是GC。结论：排除站点中无GC问题；

二、综合分析：

a、多域结构，多站点。复制链路带宽不同，复制周期分三档；

c、Exchange架构是在根域扩展的，Exchange trust subsystem组在根域；

b、Exchange Server 又是在子域安装的，检查Exchange trust subsystem中的成员迪拜站点的4台Exchange Server都在其中；

d、链路情况：北京到迪拜走的是4M国际链路专线，强制AD复制，问题依旧；

初步判断问题原因：应该是多域｜多站点｜多链路复制｜的AD设计结构在缺乏监控维护时容易出现的权限缓存问题。

如何解决此类问题呢？两种办法：

A、常规办法（见效慢，可治本）：等待AD复制机制自行解决。（这要考验大家的耐性了！）

B、应急办法（见效快，可治标）：将迪拜站点中的两台DC加入到Exchange trust subsystem组后，依次重新启动dc01、dc02和4台Exchange。（DAG创建完毕后一段时间后，可将迪拜站点中的两台DC从Exchange trust subsystem组移除出来。毕竟有点拔苗助长的感觉。）

2012年3月22日于迪拜Airport Free Zone