none
AD用户客户端登录疑问 RRS feed

  • 问题

  • 尊敬的工程师您好

    请问客户端在登录的时候,首选的认证域控是客户端首选DNS里的域控吗?

    


    Tiger.Chen



    2018年7月4日 7:25

答案

  • 感谢您在我们论坛发帖。

    关于您的疑问,请参考以下文章,该文章详细描述了查找DC的过程,希望对您的疑问有所帮助。

    https://social.technet.microsoft.com/wiki/contents/articles/24457.how-domain-controllers-are-located-in-windows.aspx

    https://partnersupport.microsoft.com/zh-hans/par_servplat/forum/par_winserv/%E5%AE%A2%E6%88%B7%E7%AB%AF%E7%99%BB%E5%BD%95ad/4322390a-a792-4781-80db-50dcafbc90b4

    二、接下来就是客户端联系域控的过程:

    每台服务器被提升为域控时,都会开启KDC服务,并在DNS服务器中注册SRV记录(_kerberos _kpasswd)和A记录,客户端在查找域控,主要就是根据这两条记录在进行查询,具体查找步骤如下:

    1.首先,客户端会向本地DNS服务器发送一个查询:_kerberos._UDP._msdcs.domainname 2.DNS服务器会根据DC注册的SRV记录返回一个DC列表,客户端随机查找一台DC,获取客户端当前所在站点的信息; 3.这台DC会根据客户端的IP地址返回: a.客户端所在站点,或通过计算子网来判断与客户端网段相近的站点 b. DC所在站点 c.  一个标识符:DSClosestFlag,根据数值等于0或者1来标志域控站点是否与客户端处在相近站点; 4.客户端收到DC的回复后,根据DSClosestFlag来进行选择: a.如果DC和客户端是相近/同一站点,客户端会直接向DC发起验证请求; b.如果DC和客户端站点不相近,客户端会重新发起LDAP查询,在本次查询中会指定站点信息来查找本站点内的域控:_LDAP._TCP.sitename._sites.domainname (默认情况下域内客户端/成员服务器都是会优先找本站点内的域控进行验证。如果在以上过程中,客户端联系不到本站点域控,或者域控在DNS上注册的记录出现了问题,客户端会去找相邻站点的任意一台可用域控。)

    Best regards

    Julie Amlly


    Please remember to mark the replies as answers if they help and unmark them if they provide no help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2018年7月5日 8:06
    版主

全部回复

  • 感谢您在我们论坛发帖。

    关于您的疑问,请参考以下文章,该文章详细描述了查找DC的过程,希望对您的疑问有所帮助。

    https://social.technet.microsoft.com/wiki/contents/articles/24457.how-domain-controllers-are-located-in-windows.aspx

    https://partnersupport.microsoft.com/zh-hans/par_servplat/forum/par_winserv/%E5%AE%A2%E6%88%B7%E7%AB%AF%E7%99%BB%E5%BD%95ad/4322390a-a792-4781-80db-50dcafbc90b4

    二、接下来就是客户端联系域控的过程:

    每台服务器被提升为域控时,都会开启KDC服务,并在DNS服务器中注册SRV记录(_kerberos _kpasswd)和A记录,客户端在查找域控,主要就是根据这两条记录在进行查询,具体查找步骤如下:

    1.首先,客户端会向本地DNS服务器发送一个查询:_kerberos._UDP._msdcs.domainname 2.DNS服务器会根据DC注册的SRV记录返回一个DC列表,客户端随机查找一台DC,获取客户端当前所在站点的信息; 3.这台DC会根据客户端的IP地址返回: a.客户端所在站点,或通过计算子网来判断与客户端网段相近的站点 b. DC所在站点 c.  一个标识符:DSClosestFlag,根据数值等于0或者1来标志域控站点是否与客户端处在相近站点; 4.客户端收到DC的回复后,根据DSClosestFlag来进行选择: a.如果DC和客户端是相近/同一站点,客户端会直接向DC发起验证请求; b.如果DC和客户端站点不相近,客户端会重新发起LDAP查询,在本次查询中会指定站点信息来查找本站点内的域控:_LDAP._TCP.sitename._sites.domainname (默认情况下域内客户端/成员服务器都是会优先找本站点内的域控进行验证。如果在以上过程中,客户端联系不到本站点域控,或者域控在DNS上注册的记录出现了问题,客户端会去找相邻站点的任意一台可用域控。)

    Best regards

    Julie Amlly


    Please remember to mark the replies as answers if they help and unmark them if they provide no help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2018年7月5日 8:06
    版主
  • 太感谢啦

    Tiger.Chen

    2018年7月6日 2:10