FreeBSD, конечно!
Чтобы не получить Вас лучшая ОС, курса, но принести Вам новую точку зрения в вещах, Вы думали, что уже знаете.
У них есть хорошее руководство, между прочим: http://www.freebsd.org/doc/en/books/handbook/
На самом деле мы нашли, что групповые политики можно также вытянуть от удаленного контроллера домена, который намного медленнее, чем аутентификация. Даже по бледной ссылке, аутентификация во время входа в систему должна быть относительно быстрой. Применение политик группы пользователей во время входа в систему рабочей станции было бы заметно медленнее, и групповые политики машины повторно применяются каждые 90 минут по умолчанию.
Некоторые люди имели успех, корректирующий реестр, устанавливающий названный DNSAvoidRegisterRecords. Прежде, чем исследовать это однако, необходимо сначала проверить, что весь домен и сайт записи DNS и зоны корректны и обновляют правильно, рабочие станции используют свою локальную рекламу сервер DNS, и что у Вас нет конфигурации, которая могла усложнить это, такое как dc с несколькими сетевыми платами. Необходимо также установить захват пакетов для подтверждения, когда и как часто удаленный dc's используется, и проверить результат любых изменений.
Это поведение может быть нормальным, если контроллер домена в локальном сайте недоступен или не ответ, клиенты должны попытаться использовать другой dc. Одной вещью, которую Вы не хотите, является конфигурация только с одним dc доступный.
Для описания записей DNS, которые относятся к контроллерам домена и глобальным каталогам, см.:
Как оптимизировать местоположение контроллера домена или глобального каталога, которые находятся в другом сайте
http://support.microsoft.com/kb/306602
Это может обычно выполняться, не регистрируя некоторые записи, вручную указывая другие записи dc/gc-specific, с желаемым приоритетом. Приоритет DNS направляет клиенты для использования самого низкого приоритета запись SRV для dc/gc, если низкоприоритетные серверы не отвечают.
Следующая статья описывает типичное использование корректировки веса DNS и приоритета записей SRV для контроллеров домена:
http://technet.microsoft.com/en-us/library/cc787370%28WS.10%29.aspx
У Вас есть своя установка сайтов и подсетей правильно в "Сайтах Active Directory и Сервисах" Снимком - в?
Если у Вас не будет установки сайтов, то машины будут просто круглое ограбление проходить проверку подлинности против любого сервера в домене, так как AD думает, что все машины находятся в том же сайте.
После того как Вы устанавливаете свои сайты и связываете подсети им, это поведение остановится.
Так как сайты и сервисы являются установкой правильно - единственная причина, Вы были бы authing против DC за пределами Вашего сайта, будет то, если клиент не мог бы соединиться с локальным DC.
Я был бы: