- 将工作从 pdc 分配到 bdc 进行身份验证的正确方法是什么。
- 如果 bdc 处理身份验证,当它增加错误密码计数时,该信息如何传递到 pdc?pdc 是否复制 bdc(或者 bdc 是只读的,对吗?)?
我们需要确定为什么 pdc 记录的错误密码计数比 bdc 多,因此我想首先弄清楚分发/复制应该如何工作,然后进行故障排除。
答案1
首先,如果您仍在使用 Windows NT(唯一具有 PDC/BDC 环境的 Windows 域),那么该产品的使用寿命已经过了好几年。无论如何,所有身份验证都由 PDC 处理,因此负载分散实际上并不存在。
如果您实际上谈论的是 Active Directory 域,则该体系结构的设计使得同一 AD 站点中的所有域控制器都被视为等效工作者。这是 SRV DNS 条目创建方式的结果。当 AD 系统需要身份验证服务时,它会向 DNS 查询其 AD 站点中身份验证服务器的 SRV 条目。这通常是(除非进行了某些手动篡改)站点中 DC 的循环。站点倾向于聚集到单个 DC 上并坚持使用它,直到它不再需要身份验证足够长的时间,DNS 条目过期或 DC 因某种原因消失。
一些较旧的软件会专门搜索担任 PDC 角色的域控制器并对其进行身份验证。这种情况现在越来越少见了。
密码和帐户状态(禁用/锁定)事件会按照同步策略允许的速率立即复制。同一站点中的所有 DC 应在很短的时间内(通常不到一分钟)收到密码更改通知;帐户锁定和禁用/启用事件也是如此。当流量穿过 AD 站点时,复制策略将控制此类事件的传播速度。