我发现在我的 Active Directory(Windows 2003 Interm)中有 4 个 DC,每个都是一个 GLOBAL CATALOG SERVER。因此理论上任何一个都应该能够验证用户身份。
我们的 XP 客户端有一个很长的 HOSTS 和 LMHOSTS 文件(都是相同的条目)
我担心的是,我的一个 AD 服务器(拥有 PDC ROLE 的服务器)出现了问题,并且停机了几个小时,我认为 HOSTS/LMHOSTS 中的条目对我的问题没有帮助。我能够将该服务器的角色交换为其中一个替代角色,但某些 XP 系统仍然无法正常运行。
192.168.1.2 “BDC_NT \0x1b” #PRE 192.168.1.2 AD-PDC #PRE #DOM:BDC_NT
192.168.1.3 AD-BDC1 #PRE #DOM:BDC_NT
192.168.1.4 AD-BDC2 #PRE #DOM:BDC_NT
192.168.1.5 AD-BDC3 #PRE #DOM:BDC_NT
当第一行条目引用离线的服务器时,这些条目是否会妨碍用户连接到服务器并通过全局目录进行身份验证?看起来这会覆盖网络上的一些(如果不是全部)其他域控制器,并导致人们尝试登录系统时出现问题。
我是否接近或偏离了这一点?我一直是那种保持真正干净的 HOSTS 和 LMHOSTS 文件并让 DNS 和 WINS 负责解析的人,以便系统可以在这种情况下进行更改。
答案1
你为什么要使用 hosts/lmhosts 文件?这只会带来问题。如果你的 AD 域是本机的,你应该删除这些文件并让 DNS 处理一切。
即使它不是本机的,如果您的 PC 已加入域,那么就没有理由拥有一个很长的 hosts/lmhosts 文件,其中包含与它们所属域相关的所有条目。
答案2
上次我不得不使用 LMHOSTS 是为了在 NT 系统上启用跨子网的 NETBIOS 登录,当时我们的 WINS 服务器存在严重问题,而且不可靠。我完全看不出在装有 XP 客户端的 W2K3 域上在 LMHOSTS 中有任何条目有什么理由。当您不得不对 DC 进行任何维护时,#DOM #PRE 条目确实会干扰 XP 客户端(正如您所发现的那样)。
如果您有 DNS 服务器,则根本没有理由拥有 hosts 文件。可能有人会争论是否应该单独使用 hosts 文件,但从系统管理员的角度来看,您真的不想担心管理它们的麻烦,尤其是在客户端 PC 上。host 文件也只处理名称解析,因此如果实际 DNS 失败,它们在域上下文中毫无用处,无法处理支持域登录所需的 SRV 查询。
简而言之,如果您拥有可操作的 WINS 基础结构和 Windows 2000(或更新版本)域,并且所有客户端都是 Windows 2000(或更新版本),那么您不应该使用 hosts 或 lmhosts 文件。
答案3
仍有许多理由使用 LMHOST 文件,但事实上它可以完全取代资源密集型的 WINS 服务器。在 SMB 空间中,如果您的硬件性能不足,则可能需要这样做。如果您仔细查看默认文件,它会告诉您 Hashtags 定义了条目应该是什么样子:
10.XX32 BIGSERVER #DOM:Domain1 应该允许您解析 netbios 名称。10.XX33 BIGSERVER #DOM:acme.com 应该允许您解析树名称。
用于正常的 WINS/DNS 信息。 但一般来说,您必须拥有正确的 WINS 地址,因此主/辅助域控制器应同时是您的 DNS 和 WINS 第一行条目。需要 WINS 服务器,它通常与 DNS 无关,但如果 DNS 服务器和 WINS 服务器是同一 IP,则您有 95% 的成功率。
干杯,斯图尔特。