01
2022
08
11:31:56

多域控制器登录验证

在多域控制器环境下,客户端帐号登陆时,由那台域控制器认证,是域控制器自己协商的吗?还是那里可以设置的?多谢!


回答:根据您的描述,我对这个问题的理解是:在多个域控制器的情况下,用户帐户是如何认证的.


首先,域结构需要分成2种情况:多站点和单个站点


1. 单站点: 当单个站点有多个域控制器的时候,客户机查询的Netlogon服务向dns查询域控制器的IP地址,dns服务器随机的返回一个域控制器的IP地址,然后该IP地址会被客户机Cache,在清除这个cache(通常是重启)之前始终使用这个DC来验证. DNS服务器上可以通过改变DC的SRV记录中的WEIGHT值来改变每个DC的负载(概率上),而Priority值则是优先级(默认所有dc都一样).

具体怎样修改SRV记录可以参照一下步骤:


a. 在域控制器上打开注册表,找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

b. 添加一个注册表键值:        键名为: LdapSrvPriority 数据类型: REG_DWORD

c. 设置适当的值来定义优先级. 默认是0,值越高优先级越低. 注意:当各域控制器的Priority值不同时,将始终使用高优先级的验证,除非低的无法验证.

这些步骤是用来修改Priority的值.


d. 在域控制器上打开注册表,找到您看到的文章来自活动目录seo  http://gnaw0725.blog.51cto.com/156601/d-1

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

e. 添加一个注册表键值:        键名为: LdapSrvWeight 数据类型: REG_DWORD

f. 添加一个适当的值来修改权重.默认是100. 这个值可以从0到65535 注意: 这个权重值只是概率上改变各个域控制器的负载,值越大权重越大

这些步骤是用来修改Weight的值.


相应的具体文章可以访问以下链接

 http://technet2.microsoft.com/windowsserver/en/library/df86810b-9fc5-49b8-a704-d01c042cf4601033.mspx?mfr=true


2. 多站点: 默认情况下,当前站点的客户会使用本站点的域控制器来进行登录验证.默认情况下,客户机的子网决定了它所属的站点,如果有特殊需要,可以在组策略里指定客户机所属的站点.

对应的修改组策略的”计算机配置\管理模板\系统\网络登录\站点名称”中修改

当确定了某个站点进行验证以后,DC的选择方式和单站点相同


小心:

 由于注册表编辑器将绕过标准保护,因此可以配置可能会损坏您的系统或要求您重新安装 Windows 操作系统的设置。如果必须编辑注册表,请首先对其进行备份。有关详细信息,请参阅“Windows Server 2003 资源工具包注册表参考”( http://go.microsoft.com/fwlink/?LinkId=101705 )(可能为英文网页)。


Paolo Lin 微软全球技术支持中心


多域控制器登录验证的相关文章请参考

 域控制器验证过程原理

 AD域用户登录验证

 指定域控制器登录

 多域控制器登录验证

 查看域控制器上登录用户

---gnaw0725

-----------------------------------

©著作权归作者所有:来自51CTO博客作者gnaw0725的原创作品,请联系作者获取转载授权,否则将追究法律责任

多域控制器登录验证

https://blog.51cto.com/gnaw0725/686652




推荐本站淘宝优惠价购买喜欢的宝贝:

image.png

本文链接:https://hqyman.cn/post/2553.html 非本站原创文章欢迎转载,原创文章需保留本站地址!

分享到:
打赏





休息一下~~


« 上一篇 下一篇 »

发表评论:

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

请先 登录 再评论,若不是会员请先 注册

您的IP地址是: