我正在尝试弄清楚将机器添加到域时究竟发生了什么。输入域名后:1) 机器使用什么协议来确定要使用哪个域控制器?2) 如何查找域名?例如:域设置为 dc=company,dc=com,但“Windows”域是 COMPA。这些名称是如何相互映射的。
我知道 Active Directory 和 DNS 紧密集成,但我不太了解细节。关于技术细节的最佳信息来源是什么?我能找到的大部分信息都告诉你如何完成任务,但没有告诉你幕后发生了什么。
答案1
其中涉及很多 DNS。
以下是工作站被赋予 NetBIOS 名称以加入时的工作流程(示例中为 COMPA)
- 检查其解析器缓存以查看 COMPA 是否已被解析。
- 对不带任何域的“COMPA”进行 DNS 查找,看看 DNS 服务器是否能找到它。
- 使用 DNS 搜索列表中的各个域对“COMPA”进行 DNS 查找。
- (如果有)进行 WINS 查找以查看 COMPA 是否作为工作组或域存在。
- 检查网络浏览列表,查看 COMPA 域是否可见。
一旦找到域控制器,它就会向其询问 AD DNS 名称。然后,
- 检查 DNS 中 company.com 域控制器的 SRV 记录
将此与 DNS 样式名称的工作流程进行对比(示例中为 company.com)
- 检查 DNS 中 company.com 域控制器的 SRV 记录
- 查询 DNS 以获取与域的 AD 站点相关的 SRV 记录
短得多。一旦它识别出域中的域控制器,它就会使用域用户提供的凭据尝试联系 DC。这可以通过 AD 使用的任何 x 安全协议来实现:
- 蘭曼 (LM)
- NTLM
- NTLMv2
- 凯尔伯罗斯
确切的协议由工作站和域控制器协商确定。如果无法达成一致,则工作站无法加入域。
答案2
1)机器使用什么协议来确定使用哪个域控制器?
DNS。具体来说DNS SRV 记录。
2)如何查找域名?
您在域加入过程中提供域名,Windows 知道需要发出什么 SRV 记录查询来获取 DC 的名称/IP。
找到 DC 后,会出现大量其他流量。一些 CIFS、一些 Kerberos,可能还有一些其他流量需要建立信任关系、传输组策略对象等。您可能会发现启动 Wireshark 并对域加入过程进行数据包捕获非常有趣。由于加密,您将无法看到实际的数据包负载,但您可以将要能够看到端口号和相对数据量。
答案3
无论客户端计算机是加入域还是登录域,域定位器过程基本相同,详细信息如下:
http://support.microsoft.com/kb/247811
本文详细介绍了 DNS 如何支持 AD:
http://technet.microsoft.com/en-us/library/cc759550(WS.10).aspx