域控制器離線后的身份驗(yàn)證

1、域控制器離線后的身份驗(yàn)證域控制器離線后的身份驗(yàn)證問(wèn)題。我的域環(huán)境中有域控，DC1,DC2,DC3,客戶端 的DNS順序?yàn)镈C1,DC2,DC3的IP地址。在DC1,DC2關(guān)閉或拔除網(wǎng)線的情況下，客戶端在登錄的時(shí)候查詢SRV記錄會(huì)依然 返回DC1,DC2的記錄給客戶端讓客戶端聯(lián)系他們?nèi)サ卿浻?jì)算機(jī)么？還是會(huì)發(fā)現(xiàn) DC1，DC2無(wú)法連接去找DC3進(jìn)行身份驗(yàn)證？某單位是使用智能卡來(lái)進(jìn)行身份驗(yàn)證。但是他們的CA是第三方的CA。為了將他 們的域控制器升級(jí)為2008R2，所以先加入了一臺(tái)虛擬的2008R2 DC，現(xiàn)有的域控 制器都是2003 SP2。然后通過(guò)停止DC1，DC2 netlogon服務(wù)來(lái)驗(yàn)證客戶

2、端登錄 域。客戶端他們安裝了第三方的軟件，修改了系統(tǒng)登陸對(duì)話框，提示登陸失敗，域不 可用。也嘗試過(guò)拔除DC1，DC2的網(wǎng)線，來(lái)驗(yàn)證登陸情況，依然未能成功登陸。又嘗試劃分站點(diǎn)，該單位局域網(wǎng)劃分地192.168.X.0/24，然后我建立一個(gè)172 的網(wǎng)絡(luò)，將DC1，DC2放在172，將新的DC3放在/16子網(wǎng)。依然登 陸失敗。我還嘗試過(guò)修改SRV記錄的priority的值，也未能如愿。他們的登陸界面還是支持輸入用戶名和密碼的方式來(lái)身份驗(yàn)證，這個(gè)是沒(méi)有問(wèn)題 的。我發(fā)現(xiàn)他們的客戶端無(wú)論是通過(guò)智能卡登陸還是輸入用戶名和密碼的方式， 從SET L中看到的LOGONSERVER都是他們本機(jī)，而非三個(gè)域控制器

3、，非常奇怪。回答：從您的描述中，我對(duì)這個(gè)問(wèn)題的理解是您想知道如果DC1和DC2斷網(wǎng)或關(guān) 閉的情況下，客戶端是否會(huì)去找DC3進(jìn)行身份驗(yàn)證？一般情況下，我們會(huì)選擇AD和DNS集成在一起，這樣實(shí)際上DC和DNS就是同一 臺(tái)服務(wù)器。在您所說(shuō)的情況下，客戶端會(huì)去找DC3進(jìn)行身份驗(yàn)證。當(dāng)客戶端想要訪問(wèn)AD時(shí)，Net logon服務(wù)的DC locator機(jī)制就會(huì)通過(guò)DNS找到 與客戶端進(jìn)行驗(yàn)證的。非常抱歉沒(méi)有找到相應(yīng)的中文鏈接，但是下面的英文 文章詳細(xì)的講述了這個(gè)過(guò)程：Domain Controller Locator HYPERLINK /en-us/library/cc961830.aspx /en-u

4、s/library/cc961830.aspx這篇文章描述的大致過(guò)程如下：客戶端發(fā)起net logon服務(wù)會(huì) 運(yùn)行DsGetDcName這個(gè)API。DsGetDcName就會(huì)從客戶端收集DNS和site的信息。Net logon會(huì)根據(jù)IP地址找到相應(yīng)的DNS服務(wù)器，并發(fā)送一個(gè)DNS Query 的數(shù)據(jù)包，查詢site內(nèi)所有DC的SRV記錄和A記錄。DNS服務(wù)器會(huì)返回一個(gè)response數(shù)據(jù)包，里面包含site內(nèi)所有DC的一 張表格。如果DNS服務(wù)器不返回這個(gè)數(shù)據(jù)包，那么locate DC就失敗了。然后客戶端 的netlogon就根據(jù)這張表格給每臺(tái)DC都發(fā)送一個(gè)Query數(shù)據(jù)包。如果有多臺(tái)DC都

5、給客戶端返回response的數(shù)據(jù)包， 那么客戶端以最先返回response為準(zhǔn)，即客戶端成功locate到這臺(tái) DC。但是如果沒(méi)有DC返回響應(yīng)數(shù)據(jù)包，那么locate DC也會(huì)失敗。簡(jiǎn)單過(guò)程也如下圖所示:客戶端登錄過(guò)程在這個(gè)過(guò)程中，客戶端會(huì)向第一個(gè)網(wǎng)卡的第一個(gè)DNS發(fā)送數(shù)據(jù)包，得不到響應(yīng) 的話，會(huì)向第二個(gè)網(wǎng)卡上的第一個(gè)DNS發(fā)送數(shù)據(jù)，如果還是得不到響應(yīng)，就會(huì)同 時(shí)向所有的DNS發(fā)送數(shù)據(jù)包。最終會(huì)得到DNS 3 （即DC 3）的response，查詢 相應(yīng)SRV和A記錄，就會(huì)去找DC3進(jìn)行身份驗(yàn)證。您說(shuō)運(yùn)行set l命令發(fā)現(xiàn)客戶端顯示logon server顯示的是本機(jī)，那么表示 客戶端并沒(méi)登

6、陸到域中，也沒(méi)有與DC3進(jìn)行身份驗(yàn)證。應(yīng)該是根據(jù)本地緩存登陸 到本機(jī)當(dāng)中。那么這種情況下，我們建議您進(jìn)行以下檢查：將客戶端的DNS更改為直接指向DC3,然后檢查客戶端能否正常登陸，是 否會(huì)與DC 3進(jìn)行身份驗(yàn)證。按照下面的KB，檢查一下windows 2008 R2的健康狀況，即是否有成功 的提升為域控。該文章也適用于window 2008 R2.o How to Verify an Active Directory Installation in Windows Server 2003o URL:/kb/816106運(yùn)行dcdiag c:dcdiag.txt命令，檢查一下是否有任何報(bào)錯(cuò)信息。Coco Wei魏玉婷微軟全球技術(shù)支持中心域控制