22 votos

¿Cómo encuentra un sistema de cliente en una red de Active Directory en el sitio se ubica?

Como yo estaba preparando una presentación para el comienzo de la administración de Windows, me sorprendió con una pregunta que me asombra que no he preguntado antes.

Yo sé que:

  • AD es, lógicamente, el programa de instalación en los sitios de ayuda en la replicación y la disminución de la latencia de dominio necesario de las comunicaciones entre los equipos cliente y los servicios de dominio.
  • Sitios definidos por las subredes se les aplica
  • el subdominio _msdcs contiene una jerarquía de registros SRV para general de búsqueda (_tcp) y para el sitio específico de búsqueda (_sites)
  • Los equipos de alguna manera saber en qué sitio se encuentran, o están en el controlador de dominio decide de forma transparente en un poco de magia de DNS... o no?

Este blog indicios de que los equipos cliente en una red de ANUNCIOS puede "saber" ¿en qué sitio del que sean miembros. Mi pregunta es, si este es el caso, ¿cómo se encuentra?

Si el mismo cliente no sabe, ¿cómo la DC de la ayuda de la máquina en el proceso de selección de la más cercana de servicios de publicidad para que el equipo cliente?

31voto

Ryan Ries Puntos 33449

La respuesta es que la primera vez que un cliente nunca se autentica en Active Directory, no se sabe en qué sitio se encuentra.

Cuando los primeros en unirse al dominio, el cliente hace general de DNS y LDAP consultas y obtiene una lista de todos los controladores de dominio en el dominio, y va hacia abajo en la lista, tratando de LDAP se une, y el primer éxito de la DC que se une a que es el primer controlador de dominio se autentica con.

Después de que el cliente se ha unido al dominio, Active Directory le dirá al cliente que el sitio al que pertenece. Active Directory sabe, porque el administrador ha puesto la IP de la subred del cliente en Sitios de ANUNCIOS Y Servicios y la asoció a un Sitio.

Active Directory le dice al cliente lo que su sitio web de ANUNCIOS es, y el cliente se almacena en su propio registro en la HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\DynamicSiteName valor del registro. De esa manera, la próxima vez que se inicia el cliente, sabe qué sitio-específico de la consulta DNS para asegurarse de que se obtiene sólo a los países en desarrollo que están en ese sitio.

Por supuesto la completa comportamiento se documenta en KB247811, pero si quieres verlo por ti mismo, usted podría ejecutar Wireshark o NetMon y hacer una traza del paquete y, a continuación, unirse a un dominio, mientras que la traza se está ejecutando. Podrás ver la secuencia exacta de las consultas DNS y LDAP une. Posteriores consultas DNS y LDAP une se realizan en el sitio específico de la sub-zonas, ya que el cliente ha sido informado por ANUNCIO de lo que el sitio al que pertenece.

El servicio Netlogon periódicamente la actualización de su sitio web de ANUNCIOS información, así que si usted se muda a una red diferente, el cliente recibirá su nuevo sitio de forma automática. Esto se puede ajustar en la HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\SiteNameTimeout valor del registro. (Enlace)

8voto

Greg Askew Puntos 17236

Allí, en realidad, varios entre otras funciones relacionadas con el/la API. Incluso a pesar de que son de largo, de hecho algunas de las más interesantes de Active Directory de la lectura.

Independientemente de la explicación de abajo, hay dos cosas que usted necesita para tener en cuenta:

  • Si un controlador de dominio en el sitio local no responde por cualquier razón, se espera que el cliente se pondrá en contacto con cualquier controlador de dominio en el dominio. Esto es normal, y siempre ha sido el comportamiento predeterminado. A veces no es evidente por qué está ocurriendo.

  • Que puede ser subóptima. Considere el siguiente escenario: Tres sitios: la Ciudad de Nueva York ( hub/datacener - rápido), Los Ángeles (habló a nueva york - rápido) y Kazajstán (habló a nueva york - definitivamente no rápido). Si su cliente en la web no contacto local de CC por el motivo que sea, no es inconcebible que se va a autenticar con Kazajstán.

Hay un par de soluciones. Usted puede hacer cualquiera de los dos o ambos.

  • Microsoft creó el Grupo de Política/configuración del registro acertadamente llamado TryNextClosestSite. Eso significa que la cliente debe intentar NYC antes de que vagan por el planeta en busca de DC. Genial! Le tomó ocho años, pero finalmente conseguimos que con Vista/2008. Recuerde, no está habilitado por defecto, es necesario crear un GPO para permitir esto.

  • Para hablaba de los sitios donde usted realmente no quiere que la DC para servir a los clientes en otros sitios, puede crear una Directiva de Grupo/registro de configuración que especifica los registros DNS que no debe ser registrado. Esto se conoce como DNS la Mnemotecnia.


Encontrar un Controlador de Dominio en el Sitio más Cercano (DsGetSiteName API)
http://technet.microsoft.com/en-us/library/cc978016.aspx

La asignación de Direcciones IP a Nombres de Sitio

"Durante el Inicio de sesión de Red de inicio, el servicio de Net Logon en cada controlador de dominio enumera los objetos de sitio en el contenedor de Configuración. Inicio de sesión de red en cada controlador de dominio también es notificado de cualquier cambio realizado a los objetos del sitio. Inicio de sesión de red utiliza la información del sitio para construir una estructura en la memoria que se utiliza para asignar direcciones IP a los nombres de sitio.

"Cuando un cliente que está buscando un controlador de dominio recibe la lista de controlador de dominio de las direcciones IP de DNS, el cliente comienza la consulta de los controladores de dominio en vez de averiguar qué controlador de dominio está disponible y apropiada. Active Directory intercepta la consulta, que contiene la dirección IP del cliente, y se lo pasa a la Red de Inicio de sesión en el controlador de dominio. Inicio de sesión de red busca la dirección IP del cliente en su subred-sitio de la tabla de asignación por encontrar el objeto de subred que más se aproxime a la dirección IP del cliente y, a continuación, devuelve la siguiente información:

  • El nombre del sitio en el que se encuentra el cliente, o en el sitio que más se aproxime a la dirección IP del cliente.

  • El nombre del sitio en el que el actual controlador de dominio se encuentra.

  • Un bit que indica si el controlador de dominio se encuentra (bit) o no se encuentra (bit está establecido en no) en el sitio más cercano al cliente.

"El controlador de dominio devuelve la información al cliente. La respuesta también contiene varias otras piezas de información que describen el controlador de dominio. El cliente inspecciona la información para determinar si se debe tratar de encontrar un mejor controlador de dominio. La decisión se realiza de la siguiente manera:

"Si el controlador de dominio devuelto está en el sitio más cercano (que devuelve el bit está establecido), el cliente utiliza este controlador de dominio.

"Si el cliente ya ha intentado encontrar un controlador de dominio en el sitio en el que el controlador de dominio de reclamaciones se encuentra el cliente, el cliente utiliza este controlador de dominio.

"Si el controlador de dominio no está en el sitio más cercano, el cliente de actualizaciones de su sitio web, de la información y envía una consulta DNS para encontrar un nuevo controlador de dominio en el sitio. Si la segunda consulta es correcta, el nuevo controlador de dominio es utilizado. Si la segunda consulta falla, el controlador de dominio original es usado.

"Si el dominio que se va a consultar por un equipo es el mismo que el dominio al que el equipo está unido, el sitio en el que reside el equipo (como se informó mediante un controlador de dominio) se almacena en el registro de la computadora. El cliente almacena este nombre del sitio en el DynamicSiteName entrada de registro en HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ Netlogon\Parameters. Por lo tanto, la DsGetSiteName API devuelve el sitio en el que se encuentra el equipo."

Función DsGetDcName
http://msdn.microsoft.com/en-us/library/ms675983%28VS.85%29.aspx

Tipos de Localizadores
http://technet.microsoft.com/en-us/library/cc978019.aspx

Directorio De Las Funciones Del Servicio De
http://technet.microsoft.com/en-us/subscriptions/ms675900%28v=vs.85%29.aspx

Cómo DNS Soporte para Active Directory Obras
http://technet.microsoft.com/en-us/library/cc759550%28v=ws.10%29.aspx

Cómo optimizar la ubicación de un controlador de dominio que reside fuera del sitio de un cliente
http://support.microsoft.com/kb/306602

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: