使用复制设置的 Active Directory - 需要一种方法来控制登录身份验证主机

Question 1

听起来你需要使用“Active Directory 站点和服务”管理单元来定义子网、具有良好连接子网的物理位置（称为“站点”）以及站点之间的连接（称为“站点链接”）构成 Active Directory (AD) 底层物理网络的域控制器可以做出正确的复制决策，客户端可以做出正确的决定，确定使用哪台服务器计算机来处理登录。如果没有网络物理拓扑的描述，那么依赖于与域控制器 (DC) 计算机通信的服务器和客户端操作系统的各个部分基本上都是“盲目飞行”，无法判断哪些 DC 在物理上接近，因此通信效率更高。

一旦您将网络的物理布局告知 AD，您就会发现一切“工作”得更有效率。不要太担心平衡“用户数量”的负载——一旦您定义了站点和子网，这将不再是一个因素（除非您的用户与域控制器的比例非常非常糟糕或登录率非常高）。我认为您的大多数问题都来自于您没有告诉 AD 有关网络物理拓扑的任何信息。（可以在 DNS 中执行一些更深层次的“调整”来影响给定站点内 DC 的选择，但基本上，客户端“掷骰子”并与其站点中的任何 DC 进行通信。这对我来说在生产部署中一直足够好了。）

对站点、站点链接和子网的所有调整实际上只是更改 DNS 中存储的内容。客户端使用 DNS 来确定它们位于哪个站点（通过查找其子网），一旦它们知道了这一点，它们就会使用 DNS 来定位要与之通信的 DC。实际执行工作的 DNS 记录是存储在“_msdcs.domain.com”DNS 区域中的“SRV”资源记录 (RR)。显然，要使所有这些工作正常进行，客户端必须能够访问可以返回“_msdcs.domain.com”DNS 区域记录的 DNS 服务器。通常最好使用 DC 作为 DNS 服务器（因为 Microsoft 已使此配置“运行良好”），不要在客户端网络配置中指定任何非基于 DC 的 DNS 服务器（即不要将 ISP DNS 服务器作为 DHCP 范围中的“辅助”DNS 服务器或在客户端/服务器上“硬编码”），并且始终确保每个物理位置都有一个现场 DNS 服务器，以便 WAN/VPN 故障不会删除该物理位置上客户端的所有 DNS 服务。

我在此假设您没有跨多个位置桥接单个 IP 子网。如果您已经这样做了，最好将网络拓扑更改为使用多个子网，而不是尝试“破解” AD 来处理这种奇怪的拓扑。

罗伯特·莫尔写了一个很好的Active Directory 站点“含义”概述另一个问题。我会去那里看看。

除此之外，你需要考虑在每个站点中至少有一个 DC 作为全局目录（GC）服务器也是如此。将 DC 设置为 GC 的过程非常简单，每个站点都应该有一个（即使您不一定了解它们的用途）。将每个 DC 标记为 GC 并不是最好的主意，尽管在像您这样的小环境中，这不会有太大的不同。然而，在较大的环境中，当涉及到 GC 副本时，更多并不一定更好。

Answer

听起来你需要使用“Active Directory 站点和服务”管理单元来定义子网、具有良好连接子网的物理位置（称为“站点”）以及站点之间的连接（称为“站点链接”）构成 Active Directory (AD) 底层物理网络的域控制器可以做出正确的复制决策，客户端可以做出正确的决定，确定使用哪台服务器计算机来处理登录。如果没有网络物理拓扑的描述，那么依赖于与域控制器 (DC) 计算机通信的服务器和客户端操作系统的各个部分基本上都是“盲目飞行”，无法判断哪些 DC 在物理上接近，因此通信效率更高。

一旦您将网络的物理布局告知 AD，您就会发现一切“工作”得更有效率。不要太担心平衡“用户数量”的负载——一旦您定义了站点和子网，这将不再是一个因素（除非您的用户与域控制器的比例非常非常糟糕或登录率非常高）。我认为您的大多数问题都来自于您没有告诉 AD 有关网络物理拓扑的任何信息。（可以在 DNS 中执行一些更深层次的“调整”来影响给定站点内 DC 的选择，但基本上，客户端“掷骰子”并与其站点中的任何 DC 进行通信。这对我来说在生产部署中一直足够好了。）

对站点、站点链接和子网的所有调整实际上只是更改 DNS 中存储的内容。客户端使用 DNS 来确定它们位于哪个站点（通过查找其子网），一旦它们知道了这一点，它们就会使用 DNS 来定位要与之通信的 DC。实际执行工作的 DNS 记录是存储在“_msdcs.domain.com”DNS 区域中的“SRV”资源记录 (RR)。显然，要使所有这些工作正常进行，客户端必须能够访问可以返回“_msdcs.domain.com”DNS 区域记录的 DNS 服务器。通常最好使用 DC 作为 DNS 服务器（因为 Microsoft 已使此配置“运行良好”），不要在客户端网络配置中指定任何非基于 DC 的 DNS 服务器（即不要将 ISP DNS 服务器作为 DHCP 范围中的“辅助”DNS 服务器或在客户端/服务器上“硬编码”），并且始终确保每个物理位置都有一个现场 DNS 服务器，以便 WAN/VPN 故障不会删除该物理位置上客户端的所有 DNS 服务。

我在此假设您没有跨多个位置桥接单个 IP 子网。如果您已经这样做了，最好将网络拓扑更改为使用多个子网，而不是尝试“破解” AD 来处理这种奇怪的拓扑。

罗伯特·莫尔写了一个很好的Active Directory 站点“含义”概述另一个问题。我会去那里看看。

除此之外，你需要考虑在每个站点中至少有一个 DC 作为全局目录（GC）服务器也是如此。将 DC 设置为 GC 的过程非常简单，每个站点都应该有一个（即使您不一定了解它们的用途）。将每个 DC 标记为 GC 并不是最好的主意，尽管在像您这样的小环境中，这不会有太大的不同。然而，在较大的环境中，当涉及到 GC 副本时，更多并不一定更好。

Question 2

您所描述的情况很可能是完全正常的。如果本地 DC 在短时间内没有响应，客户端将联系域中的任何其他 DC，无论其位置如何。（Windows 2008 中有一项新设置，可使下一个最近的位置更有效）。实际上，Windows 客户端遵循一种非常复杂的算法，称为 DC 定位器。

通过配置站点和站点链接成本（如果您还没有这样做），以及使用 _msdcs 子域中的 SRV DNS 记录的优先级和权重，可以使该过程更具确定性。客户端尝试联系优先级最低的服务器。权重是一种负载平衡机制，用于从具有相同优先级的主机中选择目标主机。客户端随机选择指定要联系的目标主机的 SRV 记录，概率与权重成正比。

DNS 返回与 SRV 记录中的目标域匹配的 IP 地址列表（即指定域中的域控制器的 IP 地址），这些 IP 地址按优先级和权重排序。客户端按返回的顺序 ping 每个 IP 地址。ping 是对端口 389 的 UDP LDAP 查询。客户端 ping 列表中的每个域控制器。每次 ping 后，客户端等待十分之一秒以获得对 ping（或任何先前 ping）的响应，然后 ping 下一个域控制器。随机选择域控制器提供了第一级负载平衡。快速连续地执行多次 ping 可确保发现算法在有限的时间内终止。

请注意，当客户端与 DC 建立连接时，它会与该 DC 建立亲和性（有时称为“粘性”）。默认情况下，Windows Vista/2008 及更高版本的客户端将每 12 小时尝试重新发现域控制器一次，并且可以使用组策略进行配置。还有一个修补程序可用于为 Windows XP/2003 启用此行为。

更多信息：

如何优化位于客户端站点之外的域控制器或全局目录的位置 http://support.microsoft.com/kb/306602

SRV 资源记录
http://technet.microsoft.com/en-us/library/cc961719.aspx

域控制器定位过程
http://technet.microsoft.com/en-us/library/cc978011.aspx

DsGetDcName 函数
http://msdn.microsoft.com/en-us/library/windows/desktop/ms675983%28v=vs.85%29.aspx

使客户端能够找到下一个最近的域控制器
http://technet.microsoft.com/en-us/library/cc733142%28WS.10%29.aspx

定位器的类型
http://technet.microsoft.com/en-us/library/cc978019.aspx

Answer