請教各位大大有關DC問題如下,請不吝賜教 ^^
假設站台有三個,每個站台內有2~3個DC,每個站台內的DC皆有安裝DNS服務(DNS Server),每個站台內的工作站其DNS接指向該站台內DC
1.用戶端在開機到看到要求輸入帳號密碼畫面時(登入畫面),應該已經與同站台內的某DC建立連線(作電腦帳戶驗證)了吧!? (已套用電腦原則)
2.承上,工作站根據DNS Server內的哪些資訊知道網域內有哪些DC (或者從哪裡可知道) ? 而它該找哪台DC做驗證?
3.工作站會根據主要與次要DNS設定去找DNS Server索取DC資料後,去找與他最近的DC做驗證嗎? 微軟文件說工作站會找相同站台內離她最近的DC...他是如何判斷哪台DC離工作站最近呢?
4.工作站會跨站台與其他站台內的DC做連線嗎 ? 如果有會是在什麼樣的狀況下呢 ?
5.如果網域內持有五大角色的DC掛掉...會有何問題 ? 希望能舉具體的例子..微軟官方只提到五大角色大概有哪些功能..有看沒有懂..
您的問題都很龐大, 要慢慢回答:
對, 事實上, 每次只要電腦重開機, 就會重新去載入套用到電腦的 GPO. 不過連線在套用完畢之後就中斷.
您可以試試這個指令 (記得把最後面的<your domain>替換成你真正的網域名稱):
<pre class="c" name="code">nslookup -type=srv _ldap._tcp.dc._msdcs.<your domain>
他就會告訴你, 目前網域中有那些 DC 可以使用.
其實不只上面這個而已, 您可以打開 DC 上面的 DNS Server 管理員, 展開網域下的 .msdcs.<your domain> 這個 Partition, 就會發現裡面藏著很多跟 AD 相關的紀錄. 整個微軟網域都是靠這些紀錄, 來得知下一步該去查哪一台 Server.
萬一, 找不到跟他同網段的 DC, 那麼他還是會先連回原先預設的 DC. 萬一預設的 DC 找不到, 就會從所有 DC 中, 逐一挑選可以連線的來嘗試, 先試到的就先用.
當然有可能會跨站台, 如果自己這個站台的 DC 找不到, 或是太忙碌沒有在時限內回應, 而電腦又可以透過 DNS 查到其他站台的時候, 就會直接去找其他站台裡面的 DC.
關於 FSMO 的任務, 請先參考:
KB 197132: Windows 2000 Active Directory FSMO 角色
若有不明白的, 可以用該角色的名稱再去查詢詳細的說明.
DNS最主要是起到一個查詢的功能,它可以幹的事很多呢…
2.承上,工作站根據DNS Server內的哪些資訊知道網域內有哪些DC (或者從哪裡可知道) ? 而它該找哪台DC做驗證?
唔…這題要從DNS的完整功能來教學了呢…
我簡單的說一下好了,在DHCP運作正常的前提之下,想必在IPCONFIG /ALL上會看到有最少一組的DNS IP,它是做什麼的呢?在DNS Server上有所登錄(沒登錄自然就查不到)的Server(此指私人網域不是公有網路),會有一組SOA跟要查詢的SRV(主要是在這個)
才會知道道有那些DC去做驗證的工作
3.工作站會根據主要與次要DNS設定去找DNS Server索取DC資料後,去找與他最近的DC做驗證嗎? 微軟文件說工作站會找相同站台內離她最近的DC...他是如何判斷哪台DC離工作站最近呢?
從SRV記錄去查詢…
4.工作站會跨站台與其他站台內的DC做連線嗎 ? 如果有會是在什麼樣的狀況下呢 ?
(1)會!
(2)當它連線不到的時候。
比如web來說好了…企業大多會建立一個對內、外通用的web。
當我以WWW.ABC.COM在內部查詢不到它的ip時,會轉到外部dns去做這一個查詢,當知道ip之後轉到外部ip上的web…(事實上是同一台,只是內、外ip不同的狀況下,跑的路就不一樣。)
有錯請資深人員指教