none
额外域控制器是怎么验证用户账户的? RRS feed

  • 问题

  • 在额外域控制器的作用中,有这样一条“提高用户登录的效率”,那么额外域控制器是怎么验证账号的?域账号不是都由PDC验证的吗,而没个域环境中只有一台pdc。

    一般计算机DNS设置,主DNS都是主域,我们都知道,在主DNS正常的情况下,额外域控制器是起不作用的,所以所有环境中的解析,还是由主域在做?

    2014年6月22日 8:02

答案

全部回复

  • 你的理解是错误的,自从DC 从2000 之后就没有PDC 和BDC 之分了,这个只存在NT4的时代,在2000后就没有主辅之分了。

    只要你在DC上安装了DNS 服务器,他们都是可以相互解析,并进行相互复制的。因此你的思维其实是错误的。验证是所有DC的功能,不存在主与副的情况,一般来说现在还有人这么说是因为FSMO 角色的Holder 者一般都称为主的,从功能来说不存在任何差别。


    MVP 技术群:66140619,如果想聊Powershell,234454246,如果希望换工作,加12298654,如果只聊技术,加235818241

    2014年6月22日 10:28
    版主
  • 我说的PDC是PDC角色,在域中只有一台PDC角色啊。

    2014年6月22日 11:46
  • 客戶端的 DNS 解析取決於網絡適配器的 DNS 設置. 如果把 DNS 設置為額外域控, 那麼是會由其負責解析.

    Folding@Home

    2014年6月23日 10:44
  • 您好,

    额外域控制器的功能几乎和第一台域控制器的功能一模一样,都可以提供账号验证服务。只有在用户修改密码、认证失败、账户锁定等情况下需要去找PDC。但是,请注意,这里的PDC指的是FSMO角色中的一种,并不是指主/第一台域控制器,只不过在一般情况下,PDC都是在第一台域控制器上。

    另外,这和客户端设置了哪台服务器作为自己的DNS服务器并没有什么关系。

    谢谢。


    Jeremy Wu

    TechNet Community Support


    • 已编辑 Jeremy_WuModerator 2014年6月24日 8:21 Edit
    • 已标记为答案 as900 2014年6月24日 12:57
    • 取消答案标记 as900 2014年6月24日 13:05
    2014年6月24日 7:58
    版主
  • 那么客户端是如何选择那一台域控验证账号?离该客户端最近的一台吗?
    2014年6月24日 13:08
  • srv记录决定了身份验证应该找谁。因为有了dns的支撑,adds才能成功。到底是找主域控还是额外域控很大程度上是因为dns的轮询机制。可以说环境大到一定程度,所有的客户端的身份验证请求是平摊到所有dc身上的。就身份验证的处理能力来说所有dc默认情况下都是一样的没有主次之分是一个概率上平等的事件。

    最近?这个怎么判定呢,难道接在switch第一个口的是pc,主dc在第12口就比第24口的dc近吗?大家在同一个办公室,位置相差最多几十厘米,dc却都在同一个机架里,到底哪个远哪个近?这是没意义的。说到底还是靠dns的循环,默认所有的dc也就是dns,他们按照一定得顺序,不断地循环接受用户的请求。到底客户端找哪个,要看客户端输入账号密码回车那一瞬间的运气。

    以上,个人观点。

    2014年6月24日 16:46
  • 您好,

    按照Windows的机制,它会选择自己或最近的一个site中的DC。如果最近或自身的site中有多台DC,会使用DNSRound Robin机制来选择DC。客户端在选择好DC之后会将信息缓存,直到客户端重启或该DC不可用。

    更多信息:

    如何在 Windows 中定位域控制器

    http://support.microsoft.com/kb/247811/zh-cn

    Using Catch-All Subnets in Active Directory

    http://technet.microsoft.com/zh-cn/magazine/2009.06.subnets.aspx

    Finding a Domain Controller in the Closest Site

    http://technet.microsoft.com/zh-cn/library/cc978016.aspx

    谢谢。


    Jeremy Wu

    TechNet Community Support

    • 已标记为答案 as900 2014年6月29日 4:02
    2014年6月28日 19:26
    版主
  • 您好

    正常user 登入驗證時,會先詢問DNS,找到SRV紀錄後才會知道DC在哪邊

    假設在同一個site有多台DC那該找誰驗證其實SRV紀錄有優先順序及權重設定(如下圖)

    一般都使用預設值就會如同 Jeremy Wu 提到 DNSRound Robin机制来选择DC

    以上提供您參考看看

    • 已标记为答案 as900 2014年6月29日 4:02
    2014年6月29日 0:06