我已将我的域名替换为example.com。我有 3 个域控制器:FARORE(主)、NAYRU和DIN。站点名称是DataCenter。在试图弄清楚为什么“AD 用户和计算机”在通过 VPN 访问时速度慢得无法使用的过程中,我在 wireshark 中注意到了这些消息:
No such name SRV _ldap._tcp.DIN.example.com SOA DIN.example.com
No such name SRV _ldap._tcp.DataCenter._sites.DIN.example.com SOA nayru.example.com
在我工作的桌面上,它按以下顺序查询域
_ldap._tcp.DataCenter._sites.DIN.example.com(失败)_ldap._tcp.DIN.example.com(失败)_ldap._tcp.DataCenter._sites.dc._msdcs.example.com(返回 SRV 记录)
在我的笔记本电脑上,VPN 只会反复查询前两个。我已通过 nslookup 测试,我可以_ldap._tcp.DataCenter._sites.dc._msdcs.example.com从我的笔记本电脑查询相同的 SRV 记录。
我主要想告诉你 VPN 的背景知识。我的主要问题是:以 结尾的两条记录是什么DIN.example.com?它们应该存在吗?如果不存在,为什么 AD 用户和计算机会查询它们?
答案1
所有这些查询都与定位域控制器和基于 DNS 的发现,甚至记录了更多变化。简而言之,在前两个记录中,客户端尝试查找LDAP 服务器,第三个域控制器(直流)。
可能仍然有问题,就像通常命名上下文在这些查询中仍然是example.com而不是DCNAME.example.com,而您有以下内容(前两个不存在是正常的):
_ldap._tcp.DataCenter._sites.DIN.example.comDIN.example.com是个命名上下文N和DataCenter是个站点名称Y在
要找到LDAP服务器托管数控
N在地点Y,客户端计算机发出 DNS 查询SRV 记录_ldap._tcp.Y._sites.N,由 NC 名称 (N) 和站点名称 (Y) 构成。_ldap._tcp.DIN.example.com;DIN.example.com=N在要找到LDAP服务器托管数控
N,客户端计算机发出 DNS 查询SRV 记录_ldap._tcp.N,由 NC 名称 (N) 构成。_ldap._tcp.DataCenter._sites.dc._msdcs.example.comexample.com是个命名上下文N和DataCenter是个站点名称Y在
要找到直流托管数控
N在地点Y,客户端计算机发出 DNS 查询SRV 记录_ldap._tcp.Y._sites.dc._msdcs.N,由 NC 名称 (N) 和站点名称 (Y) 构成。
为了调试这个发现过程,阅读 Mitchell Grande 的域控制器选择可能是一个很好的开始,它还介绍了一些有用的命令:
echo %logonserver%- 显示用于验证和登录当前用户的 DCnltest /dsgetsite- 显示当前服务器检测到的 AD 站点nltest /dclist:(在末尾包含冒号)——这显示了当前域中的 DC 列表,包括每个 DC 所在的站点。
为了解决通过 VPN 的 AD 管理工具运行缓慢的问题,我建议:
- 检查 VPN 子网是否已添加到最近的站点AD 网站和服务。
- 当有人使用 UTM 设备的 OpenVPN 客户端时,我也遇到过类似的问题。碰巧的是,这个客户端使用的是较旧的 OpenVPN TAP 适配器驱动程序,并将其替换为最新的OpenVPN 连接解决了这个问题(以及其他问题)。