bab*_*bab 7 vpn active-directory ldap windows-server-2008-r2 rodc
我有一个双站点域(称为本地和远程)。Site Local 拥有我们的主要 IT 基础架构,包括两个 Active Directory 域控制器 (2008R2)。我们正在尝试在站点 Remote 上设置 RODC,它在大多数情况下都可以正常工作。一切都被复制,密码复制遵循策略,远程 DC 回答查询 - 一切都很好。除了站点 Local 中的机器,在查询 AD 时,将引用站点 Remote。如果我执行 tcpdump,我会看到 LDAP 查询命中两个本地 DC,然后转到远程 RODC。
我已经确保两端的所有子网都在站点和服务管理单元中配置,并且 DC 都在它们各自的站点中。根据我的研究,这应该是客户端查询最近 DC 所需的全部内容。我错过了一步吗?
来自 technet:
“当正在搜索域控制器的客户端从 DNS 接收到域控制器 IP 地址列表时,客户端开始依次查询域控制器,以找出可用且合适的域控制器。Active Directory 拦截查询,其中包含客户端的 IP 地址,并将其传递给域控制器上的 Net Logon。Net Logon 通过查找与客户端 IP 最匹配的子网对象来在其子网到站点映射表中查找客户端 IP 地址地址,然后返回以下信息:
客户端所在站点的名称,或与客户端 IP 地址最匹配的站点。
当前域控制器所在站点的名称。
指示找到的域控制器是否位于(设置位)或不位于(未设置位)最靠近客户端的站点的位。
域控制器将信息返回给客户端。该响应还包含描述域控制器的各种其他信息。客户端检查该信息以确定是否尝试寻找更好的域控制器。决定如下:
如果返回的域控制器位于最近的站点(设置了返回的位),则客户端使用此域控制器。
如果客户端已尝试在域控制器声明客户端所在的站点中查找域控制器,则客户端将使用该域控制器。
如果域控制器不在最近的站点中,客户端将更新其站点信息并发送新的 DNS 查询以在站点中查找新的域控制器。如果第二次查询成功,则使用新的域控制器。如果第二次查询失败,则使用原始域控制器。”
“LDAP 查询同时命中本地...” 您如何使用查询 AD?如果您在 cmd 提示符下键入 print %logonserver% ,会显示什么服务器?
| 归档时间: |
|
| 查看次数: |
1644 次 |
| 最近记录: |