在多域控制器环境下,客户端帐号登陆时,由那台域控制器认证,是域控制器自己协商的吗?还是那里可以设置的?多谢!
回答:根据您的描述,我对这个问题的理解是:在多个域控制器的情况下,用户帐户是如何认证的.
首先,域结构需要分成2种情况:多站点和单个站点
1. 单站点: 当单个站点有多个域控制器的时候,客户机查询的Netlogon服务向dns查询域控制器的IP地址,dns服务器随机的返回一个域控制器的IP地址,然后该IP地址会被客户机Cache,在清除这个cache(通常是重启)之前始终使用这个DC来验证. DNS服务器上可以通过改变DC的SRV记录中的WEIGHT值来改变每个DC的负载(概率上),而Priority值则是优先级(默认所有dc都一样).
具体怎样修改SRV记录可以参照一下步骤:
a. 在域控制器上打开注册表,找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
b. 添加一个注册表键值: 键名为: LdapSrvPriority 数据类型: REG_DWORD
c. 设置适当的值来定义优先级. 默认是0,值越高优先级越低. 注意:当各域控制器的Priority值不同时,将始终使用高优先级的验证,除非低的无法验证.
这些步骤是用来修改Priority的值.
d. 在域控制器上打开注册表,找到您看到的文章来自活动目录seo http://gnaw0725.blog.51cto.com/156601/d-1
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
e. 添加一个注册表键值: 键名为: LdapSrvWeight 数据类型: REG_DWORD
f. 添加一个适当的值来修改权重.默认是100. 这个值可以从0到65535 注意: 这个权重值只是概率上改变各个域控制器的负载,值越大权重越大
这些步骤是用来修改Weight的值.
相应的具体文章可以访问以下链接
http://technet2.microsoft.com/windowsserver/en/library/df86810b-9fc5-49b8-a704-d01c042cf4601033.mspx?mfr=true
2. 多站点: 默认情况下,当前站点的客户会使用本站点的域控制器来进行登录验证.默认情况下,客户机的子网决定了它所属的站点,如果有特殊需要,可以在组策略里指定客户机所属的站点.
对应的修改组策略的”计算机配置\管理模板\系统\网络登录\站点名称”中修改
当确定了某个站点进行验证以后,DC的选择方式和单站点相同
小心:
由于注册表编辑器将绕过标准保护,因此可以配置可能会损坏您的系统或要求您重新安装 Windows 操作系统的设置。如果必须编辑注册表,请首先对其进行备份。有关详细信息,请参阅“Windows Server 2003 资源工具包注册表参考”(http://go.microsoft.com/fwlink/?LinkId=101705 )(可能为英文网页)。
Paolo Lin 微软全球技术支持中心
多域控制器登录验证的相关文章请参考
域控制器验证过程原理
AD域用户登录验证
指定域控制器登录
多域控制器登录验证
查看域控制器上登录用户
---gnaw0725