iT邦幫忙

0

AD網域下,使用者登入驗證問題

請教各位大大有關於使用者登入驗證的相關問題如下

假設網域內有A(192.168.0.0/24)、B(192.168.1.0/24)兩站台,A站台內有A-A(五大角色+GC+DNS)、A-B(DNS)兩台DC;B站台內有B-A(GC+DNS)、B-B(DNS)兩台DC;網域內有使用者A、B、C三人,分別使用AA、BB、CC三台電腦

  1. 網域內使用者A(AA電腦,DNS分別指向A站台內的兩DC)在A站台登入時,會找誰做登入的身分驗證 ?
  2. 承上,網域內使用者B在B站台登入時,會找誰做登入的身分驗證 ?
  3. 承上,假如使用者B所在的B站台,兩台DC都掛掉了,又會依循哪些機制,找誰做驗證?
  4. 使用者再找DC作驗證時,是依據什麼東西判斷該找誰做驗證 ?

以上問題請教各位大大,感謝 ^^

4
andy0721
iT邦新手 4 級 ‧ 2010-12-06 15:42:14
最佳解答

假設網域內有A(192.168.0.0/24)、B(192.168.1.0/24)兩站台,A站台內有A-A(五大角色+GC+DNS)、A-B(DNS)兩台DC;B站台內有B-A(GC+DNS)、B-B(DNS)兩台DC;網域內有使用者A、B、C三人,分別使用AA、BB、CC三台電腦
無站台==>PDC Server
有站台==>GC優先
2003無GC時會跨Site亂找
如果COST相同

  1. 網域內使用者A(AA電腦,DNS分別指向A站台內的兩DC)在A站台登入時,會找誰做登入的身分驗證 ?A-A
  2. 承上,網域內使用者B在B站台登入時,會找誰做登入的身分驗證 ?B-A
  3. 承上,假如使用者B所在的B站台,兩台DC都掛掉了,又會依循哪些機制,找誰做驗證?
    2008會找A-A 2003找A-A(還要看有沒有設Bridgehead)
  4. 使用者再找DC作驗證時,是依據什麼東西判斷該找誰做驗證 ?
    KDC Server & IDA:Identitiy & Access & Access Tokens比對使用者權限
2
player
iT邦大師 1 級 ‧ 2010-12-06 09:18:16

如果是網站的話
可以透過SQL去Select AD

http://www.player.idv.tw/prog/index.php/Active\_Directory

你參考看看

4
花輪
iT邦大師 1 級 ‧ 2010-12-06 12:31:03

記得之前的老師說過:在2000/2003 AD 上 CLIENT 沒有指定哪一台 DC 作驗證,所以,也有可能會跑到其他站台的 DC 作驗證;但在 2008 以後版本的 AD 上,會優先選擇最近的 DC 作驗證的動作。
提供參考~

itjen iT邦新手 3 級 ‧ 2015-04-23 18:12:20 檢舉

可以選擇由哪台DC做驗證嗎?

為什麼 會選到正掛點的DC做驗證????....目前遇到!!

我要發表回答

立即登入回答