我有一个双站点域(分别称为本地和远程)。本地站点有我们的主要 IT 基础设施,包括两个 Active Directory 域控制器 (2008R2)。我们正尝试在远程站点设置 RODC,这在大多数情况下都运行良好。所有内容都已复制,密码复制遵循策略,远程 DC 回答查询 - 所以一切都很好。除了本地站点中的计算机在查询 AD 时被称为远程站点。如果我执行 tcpdump,我会看到 LDAP 查询命中两个本地 DC,然后继续到远程 RODC。
我已确保两端的所有子网均已在站点和服务管理单元中配置,并且 DC 均位于各自的站点中。根据我的研究,这应该是客户端查询最近 DC 所需的全部操作。我是否遗漏了某个步骤?
答案1
来自 technet:
“当搜索域控制器的客户端从 DNS 收到域控制器 IP 地址列表时,客户端开始依次查询域控制器,以找出哪个域控制器可用且合适。Active Directory 截取包含客户端 IP 地址的查询,并将其传递给域控制器上的 Net Logon。Net Logon 通过查找与客户端 IP 地址最接近的子网对象,在其子网到站点映射表中查找客户端 IP 地址,然后返回以下信息:
客户端所在站点的名称,或者与客户端 IP 地址最接近的站点。
当前域控制器所在站点的名称。
一个位,指示找到的域控制器是位于(设置位)还是不位于(未设置位)最靠近客户端的站点。
域控制器将信息返回给客户端。响应还包含描述域控制器的各种其他信息。客户端检查信息以确定是否尝试寻找更好的域控制器。决策如下:
如果返回的域控制器位于最近的站点(返回的位被设置),则客户端使用该域控制器。
如果客户端已经尝试在域控制器声称客户端所在的站点中查找域控制器,则客户端使用此域控制器。
如果域控制器不在最近的站点中,则客户端会更新其站点信息并发送新的 DNS 查询以查找站点中的新域控制器。如果第二次查询成功,则使用新的域控制器。如果第二次查询失败,则使用原始域控制器。”
“LDAP 查询命中了本地...”您如何使用查询 AD?如果您在 cmd 提示符下键入 print %logonserver%,会显示哪个服务器?