cas*_*06d -1 replication authentication domain-controller distribution
我们需要确定为什么 pdc 注册的错误密码计数比 bdc 多,所以我想首先弄清楚分发/复制应该如何工作,然后进行故障排除。
首先也是最重要的,如果您仍在使用 Windows NT(唯一具有 PDC/BDC 环境的 Windows 域),那么您已经过了产品生命周期的最后几年。无论如何,所有身份验证都由 PDC 处理,因此负载分散实际上并不存在。
如果您实际上是在谈论 Active Directory 域,那么该架构的设计使同一 AD 站点中的所有域控制器都被视为等效的工作人员。这是 SRV DNS 条目创建方式的结果。当 AD 系统需要身份验证服务时,会查询 DNS 以获取其 AD 站点中身份验证服务器的 SRV 条目。这通常是(除非进行了一些手动篡改)站点中 DC 的循环。站点倾向于使用单个 DC 并坚持使用它,直到它不需要足够长的时间来使 DNS 条目过期或 DC 由于某种原因消失为止。
一些较旧的软件将专门搜索拥有 PDC 角色的域控制器并对其进行身份验证。这几天越来越少见了。
密码和帐户状态(禁用/锁定)事件会在同步策略允许的情况下立即复制。同一站点中的所有 DC 都应该在很短的时间内收到密码更改通知,通常不到一分钟;帐户锁定和禁用/启用事件也是如此。当流量穿过 AD 站点时,复制策略控制此类事件的传播速度。