Skip to main content
您好,欢迎光临IDC汇,需要什么服务器直接咨询客服,方便快捷。客服QQ 点击这里给我发消息
首页 > 服务器技术 »正文

微软活动目录站点以及DNS工作原理分析

服务器技术 webadmin 2020-07-26 08:50:57 查看评论 加入收藏


活动目录AD域站点dns工作原理。分

分析一个contoso.com 域中有好几台DC,分属不同×××站点。DC同时是DNS服务器。

活动目录划分站点的目的,就是让客户端就近登录,那么一个站点的客户端ping域名,返回当前站点的dc ip,这是正常的。一般情况下,当前站点的dc Offline,那么客户端将会尝试联系其它站点的dc。但如果站点间是非完全路由,那么这个联系可能会失败,导致客户端无法联系dc进行登录验证。
这个登录联系的过程原理,可以参考 在Windows XP中如何定位并登录域控制器
如果您需要了解验证这个过程,您可以查看客户端的系统日志。
备注:非完全路由的意思是说,站点间存在防火墙或者类似的网络设置的阻隔,并不能让两个站点的桥头堡DC,完全自由的通信。这常见于一些端口和协议的屏蔽。

ping域名返回不同的ip是正常的,因为dns本身就有dns robinround,即dns轮询。client会获得当前域的dc列表,每一次查询就会更换一个dc。关于这个问题请参考
域客户端访问总是指向额外域控制器

也就是说,当您ping一个站点的时候,优先返回当前站点的地址;而当您ping当前域名的时候,则会轮流返回域中所有dc的地址。这是两个不同的概念,一个是返回当前站点DC的IP,而不是其它站点的IP,一个是轮询的返回当前域DC的IP。

根据您的描述,我对您提出的问题的理解是:您在X站点Ping a.com 只能得到X站点的DC的IP。在测试X站点DC脱机时,客户端能否登录AD,结果直接提示找不到域。如果我的理解有误,请您告诉我。

第一个问题很正常的。Ping的时候只会返回一个IP地址,不管有多少个IP,返回的应该是响应最快的地址,在一个站点内的IP响应最快。

DC脱机的时候,肯定是找不到域的;在DC不可用的情况下,也可以登录,可以尝试断开网络后客户端不去找DC登录就可以了。另外,要确认DNS中DC的记录可以用nslookup去看,它可以显示所有DC的A记录。
816587:How to verify that SRV DNS records have been created for a domain controller
http://support.microsoft.com/kb/816587/en-us

247811:How Domain Controllers Are Located in Windows
http://support.microsoft.com/kb/247811/en-us

参考信息:
330105:How to verify large numbers of DNS records by using DNSLint
http://support.microsoft.com/kb/330105/en-us

如果两个site之间通讯正常的话是会到另外一个site的DC去验证的。

上一篇: 安装FTP服务
下一篇: 返回列表
广告06

微信