none
域成员不去找指定的域控 RRS feed

  • 问题

  • 域环境 windows server 2012 r2

    客户端win7

    上海和北京2个站点,子网已划分好。

    现在发现,上海的成员机子上,ping 域控,例如 ping abc.com

    返回的不是上海的AD信息,而是北京。

    由于网络相关策略的问题,

    我们希望解决这个问题,实现的效果即上海机子找上海域控,北京的找北京域控

    请问该如何修改?

    2017年12月22日 3:03

全部回复

  • 您好 ,

    客户端联系域控的过程:
    每台服务器被提升为域控时,都会开启KDC服务,并在DNS服务器中注册SRV记录(_kerberos 、 _kpasswd)和A记录,客户端在查找域控,主要就是根据这两条记录在进行查询,具体查找步骤如下:
     
    1.首先,客户端会向本地DNS服务器发送一个查询:_kerberos._UDP._msdcs.domainname;
     
    2.DNS服务器会根据DC注册的SRV记录返回一个DC列表,客户端随机查找一台DC,获取客户端当前所在站点的信息;
     
    3.这台DC会根据客户端的IP地址返回:
    a.客户端所在站点,或通过计算子网来判断与客户端网段相近的站点
    b. DC所在站点
    c.  一个标识符:DSClosestFlag,根据数值等于0或者1来标志域控站点是否与客户端处在相近站点;
     
    4.客户端收到DC的回复后,根据DSClosestFlag来进行选择:
     
    a.如果DC和客户端是相近/同一站点,客户端会直接向DC发起验证请求;
    b.如果DC和客户端站点不相近,客户端会重新发起LDAP查询,在本次查询中会指定站点信息来查找本站点内的域控:_LDAP._TCP.sitename._sites.domainname。
     
    默认情况下域内客户端/成员服务器都是会优先找本站点内的域控进行验证。如果在以上过程中,客户端联系不到本站点域控,或者域控在DNS上注册的记录出现了问题,客户端会去找相邻站点的任意一台可用域控。

    通过您的情况看,请检查以下的方面:

    1.检查这台加域的PC的DNS配置是否正确,是否配置了错误的DNS。

    2.检查上海站点的DC是否有异常,PING IP地址以及FQDN去验证。

    3.检查上海的域控在DNS上的注册记录。

    另外您也可以通过以下链接中的步骤,强制客户端验证登陆特定的域控

    How can I force a client to validate its logon against a specific domain controller?

    http://windowsitpro.com/windows-server/q-how-can-i-force-client-validate-its-logon-against-specific-domain-controller

    请注意:非微软授权网站,链接可能会失效,微软不能保证信息的准确性。

    此致

    Candy


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2017年12月22日 6:10
  • 您好 ,

    目前问题有解决吗?如果有任何疑问,请随时在贴下进行回复。

    此致

    Candy


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2017年12月25日 9:06
  • 您好 ,

    如果回复对您有帮助的话,请您把回复标记为答复。

    若有任何疑问,请随时在贴下进行回复。

    此致

    Candy


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2017年12月27日 8:39