是否有任何特定方法可以让机器在其自己的站点中根据全局目录进行身份验证?我有一个站点,其中的机器通常由远程站点中的 GC 进行身份验证(通过 4MB 专用 WAN 链接连接),而不是本地站点。
我尝试设置组策略选项,强制机器进入特定站点,而不是通过其子网确定站点。
我猜这不应该是一个这样的问题,因为组策略仍然会从他们站点的本地 \\domain\sysvol 共享中检索。
答案1
实际上,我们发现组策略也可以从远程域控制器中提取,这比身份验证慢得多。即使通过广域网链接,登录期间的身份验证也应该相对较快。在工作站登录期间应用用户组策略会明显变慢,并且默认情况下每 90 分钟重新应用一次机器组策略。
有些人成功调整了名为 DNSAvoidRegisterRecords 的注册表设置。但在调查此问题之前,您应首先验证所有域和站点 DNS 记录和区域是否正确且更新正确,工作站是否正在使用其本地广告 DNS 服务器,以及您没有可能使此问题复杂化的配置,例如具有多个网卡的 dc。您还应设置数据包捕获以确认远程 dc 的使用时间和频率,并验证任何更改的结果。
如果本地站点的域控制器不可用或没有响应,此行为可能是正常的,客户端应尝试使用另一个 dc。您不希望出现只有一个 dc 可用的配置。
有关适用于域控制器和全局目录的 DNS 记录的描述,请参阅:
如何优化位于另一个站点的域控制器或全局编录的位置
http://support.microsoft.com/kb/306602
这通常可以通过不注册某些记录、手动指定其他 dc/gc 特定记录以及所需优先级来实现。DNS 优先级指示客户端使用 dc/gc 的最低优先级 SRV 记录,除非低优先级服务器没有响应。
以下文章介绍了调整域控制器的 DNS 权重和 SRV 记录优先级的典型用法:
http://technet.microsoft.com/en-us/library/cc787370%28WS.10%29.aspx
答案2
你有你的站点和子网在“Active Directory 站点和服务”管理单元中是否设置正确?
如果您没有设置站点,那么机器将只是轮流对域中的任何服务器进行身份验证,因为 AD 认为所有机器都在同一个站点中。
一旦您设置好您的站点并将子网关联到它们,这种行为就会停止。
由于站点和服务设置正确 - 您需要针对站点外部的 DC 进行身份验证的唯一原因是客户端无法连接到本地 DC。
我会:
- 确认没有防火墙阻止 AD 端口
- 在 DC 上运行 dcdiag
- 在 DC 上运行 netdiag
- 检查目录服务日志中是否存在错误。