none
同域多个站点身份验证问题 RRS feed

  • 问题

  • 您好,

    有一个关于AD的问题如下:

    一个域内划分了两个站点,会不会出现个别现象,A站点里的用户去找B站点里的DC做身份验证?

    谢谢

    2013年4月1日 8:07

答案

  • 您好! 

    根据我的研究,默认情况下,客户端会搜索本站点的域控制器登陆到域。如果客户端无法联系到站点A的域控制器的话,会寻找站点B的域控制器进行身份验证。

    在客户机找到一个域控制器后,它将使用 LDAP 建立通讯,以获得对 Active Directory 的访问权。作为此协商的一部分,域控制器根据客户机的 IP 子网来确定此客户机所在的站点。如果此客户机正在与一个不在最近(最佳)站点的域控制器通讯,此域控制器将返回此客户机的站点名称。

    如果此客户机已经尝试在此站点中查找域控制器(例如,当客户机向 DNS 发送“DNS 查找”查询以在此客户机的子网内查找域控制器时),则此客户机将使用这个并非最佳的域控制器。否则,此客户机将使用此新的最佳站点名称重新执行一个特定于站点的 DNS 查找。域控制器使用一些目录服务信息来标识站点和子网。在客户机找到一个域控制器后,此域控制器的条目将被缓存。如果此域控制器不在最佳站点,此客户机在十五分钟后将刷新缓存并丢弃缓存条目。然后它将尝试在它自己所在的站点内查找一个最佳的域控制器。在客户机建立到域控制器的通讯路径之后,它就可以建立登录和身份验证凭证,而且,对于基于 Windows 的计算机,在必要时还可以建立一个安全通道。然后此客户机就可以在目录中执行常规查询和搜索信息了。客户机建立一个到域控制器的 LDAP 连接以便登录。此登录过程要使用“安全帐户管理器”。因为通讯路径使用了 LDAP 接口,且此客户机是由一个域控制器进行身份验证的,所以此客户帐户在得到验证后通过“安全帐户管理器”传递到目录服务代理,然后到数据库层,最后到“可扩展存储引擎”(ESE) 中的数据库。

    希望我的回答对您有所帮助。


    微软一站式示例脚本库: http://blogs.technet.com/b/onescript

    2013年4月1日 8:36
    版主