Вопросы Теги

Как вынудить машины в AD сайте пройти проверку подлинности против GC на их собственном сайте

FreeBSD, конечно!

Чтобы не получить Вас лучшая ОС, курса, но принести Вам новую точку зрения в вещах, Вы думали, что уже знаете.

У них есть хорошее руководство, между прочим: http://www.freebsd.org/doc/en/books/handbook/

2
задан 3 February 2010 в 08:41
2 ответа

На самом деле мы нашли, что групповые политики можно также вытянуть от удаленного контроллера домена, который намного медленнее, чем аутентификация. Даже по бледной ссылке, аутентификация во время входа в систему должна быть относительно быстрой. Применение политик группы пользователей во время входа в систему рабочей станции было бы заметно медленнее, и групповые политики машины повторно применяются каждые 90 минут по умолчанию.

Некоторые люди имели успех, корректирующий реестр, устанавливающий названный DNSAvoidRegisterRecords. Прежде, чем исследовать это однако, необходимо сначала проверить, что весь домен и сайт записи DNS и зоны корректны и обновляют правильно, рабочие станции используют свою локальную рекламу сервер DNS, и что у Вас нет конфигурации, которая могла усложнить это, такое как dc с несколькими сетевыми платами. Необходимо также установить захват пакетов для подтверждения, когда и как часто удаленный dc's используется, и проверить результат любых изменений.

Это поведение может быть нормальным, если контроллер домена в локальном сайте недоступен или не ответ, клиенты должны попытаться использовать другой dc. Одной вещью, которую Вы не хотите, является конфигурация только с одним dc доступный.

Для описания записей DNS, которые относятся к контроллерам домена и глобальным каталогам, см.:

Как оптимизировать местоположение контроллера домена или глобального каталога, которые находятся в другом сайте
http://support.microsoft.com/kb/306602

Это может обычно выполняться, не регистрируя некоторые записи, вручную указывая другие записи dc/gc-specific, с желаемым приоритетом. Приоритет DNS направляет клиенты для использования самого низкого приоритета запись SRV для dc/gc, если низкоприоритетные серверы не отвечают.

Следующая статья описывает типичное использование корректировки веса DNS и приоритета записей SRV для контроллеров домена:

http://technet.microsoft.com/en-us/library/cc787370%28WS.10%29.aspx

1
ответ дан 3 December 2019 в 09:52

У Вас есть своя установка сайтов и подсетей правильно в "Сайтах Active Directory и Сервисах" Снимком - в?

Если у Вас не будет установки сайтов, то машины будут просто круглое ограбление проходить проверку подлинности против любого сервера в домене, так как AD думает, что все машины находятся в том же сайте.

После того как Вы устанавливаете свои сайты и связываете подсети им, это поведение остановится.

Так как сайты и сервисы являются установкой правильно - единственная причина, Вы были бы authing против DC за пределами Вашего сайта, будет то, если клиент не мог бы соединиться с локальным DC.

Я был бы:

  • Проверьте, что никакие брандмауэры не блокируют порты AD
  • Выполненный dcdiag на DCS
  • Выполненный netdiag на DCS
  • Проверьте журнал Служб каталогов на наличие ошибок.
4
ответ дан 3 December 2019 в 09:52
  • 1
    Да, сайты и сервисы были правильно настроены начиная с установки того сайта. DC в том сайте также настроен как GC –  Daniel.S 4 February 2010 в 13:16

Теги

Похожие вопросы