当机器加入 Windows 域时使用什么协议?

当机器加入 Windows 域时使用什么协议?

我正在尝试弄清楚将机器添加到域时究竟发生了什么。输入域名后:1) 机器使用什么协议来确定要使用哪个域控制器?2) 如何查找域名?例如:域设置为 dc=company,dc=com,但“Windows”域是 COMPA。这些名称是如何相互映射的。

我知道 Active Directory 和 DNS 紧密集成,但我不太了解细节。关于技术细节的最佳信息来源是什么?我能找到的大部分信息都告诉你如何完成任务,但没有告诉你幕后发生了什么。

答案1

其中涉及很多 DNS。

以下是工作站被赋予 NetBIOS 名称以加入时的工作流程(示例中为 COMPA)

  1. 检查其解析器缓存以查看 COMPA 是否已被解析。
  2. 对不带任何域的“COMPA”进行 DNS 查找,看看 DNS 服务器是否能找到它。
  3. 使用 DNS 搜索列表中的各个域对“COMPA”进行 DNS 查找。
  4. (如果有)进行 WINS 查找以查看 COMPA 是否作为工作组或域存在。
  5. 检查网络浏览列表,查看 COMPA 域是否可见。

一旦找到域控制器,它就会向其询问 AD DNS 名称。然后,

  1. 检查 DNS 中 company.com 域控制器的 SRV 记录

将此与 DNS 样式名称的工作流程进行对比(示例中为 company.com)

  1. 检查 DNS 中 company.com 域控制器的 SRV 记录
  2. 查询 DNS 以获取与域的 AD 站点相关的 SRV 记录

短得多。一旦它识别出域中的域控制器,它就会使用域用户提供的凭据尝试联系 DC。这可以通过 AD 使用的任何 x 安全协议来实现:

  • 蘭曼 (LM)
  • NTLM
  • NTLMv2
  • 凯尔伯罗斯

确切的协议由工作站和域控制器协商确定。如果无法达成一致,则工作站无法加入域。

答案2

1)机器使用什么协议来确定使用哪个域控制器?

DNS。具体来说DNS SRV 记录

2)如何查找域名?

您在域加入过程中提供域名,Windows 知道需要发出什么 SRV 记录查询来获取 DC 的名称/IP。

找到 DC 后,会出现大量其他流量。一些 CIFS、一些 Kerberos,可能还有一些其他流量需要建立信任关系、传输组策略对象等。您可能会发现启动 Wireshark 并对域加入过程进行数据包捕获非常有趣。由于加密,您将无法看到实际的数据包负载,但您可以将要能够看到端口号和相对数据量。

答案3

无论客户端计算机是加入域还是登录域,域定位器过程基本相同,详细信息如下:

http://support.microsoft.com/kb/247811

本文详细介绍了 DNS 如何支持 AD:

http://technet.microsoft.com/en-us/library/cc759550(WS.10).aspx

相关内容