0
0
i
Rate This
Quantcast
我的环境下有多台DC:
  1. 关闭其中一台DC,其他加入域的服务器从注销状态登陆系统需要30秒到1分钟;
  2. 而当DC服务器全部为启动状态,其他加入域的服务器从注销状态登陆服务器只需要几秒钟;
我想请问客服端登陆找DC验证的过程,为什么我的DC服务器需要全部为启动状态才能立马登陆系统。
回答: 依据您的描述,您想知道在关闭其中一个DC后,客户端登录域为什么会变慢。如果我的理解有误,请指出。
客户端登录域时需要查找DC,这个过程叫做DC locator。您可以在您客户机上,使用命令set logonserver可以看到当前客户端联系的DC。客户端登录域基本是这样一个过程:
  1. 首先看自己之前有没有登录过的DC,这个就是set logonserver里显示DC;
  2. 客户端用这个信息去联系这个DC进行登录,如果DC在线那么登录是很快的;
  3. 如果没有的话,将执行一次完整的DC locator过程;
  4. 客户端通过本机的netlogon service调用DSgetdcName;
  5. 客户端收集信息并将其返回给Netlogon service;
  6. Netlogon service使用收集来的信息来检索指定域的DC;
  7. 在AD中,客户端一般都是使用LDAP来去DNS服务器查询DC的DNS记录;
  8. 客户端找到DC列表后,客户端会向所有的DC发出一个数据包,等待DC响应;
  9. 在客户端收到响应后,netlogon service会回复第一个响应他的DC,并将其保存在缓存中;
  10. 然后正常和DC通信,验证并登录;
由于在同一个站点中会有多个DC,不同DC发出响应是有先后的,而客户端响应的是第一个,所以不同的客户端可能会有不同的logon DC或者相同的DC,这个是随机的。因此对于您的实验问题,说明大部分客户端是缓存的同一个DC。当原DC下线后,客户端登录变慢但是依旧登录,以后您就发现即使将原来的第一个DC下线,登录还是会很快的。因为新的DC信息已经被缓存了。极端情况下对于登录,在保证用户密码在全部DC上一致,账户密码没有被过期和账户停用的情况下,即使域里只剩一台DC还是可以登录的,不需要全部的DC在线。一次登录后,以后都可以很快再次登录。
这个文章帮助您理解:
http://technet.microsoft.com/en-us/library/cc961830.aspx
Rui Li
客户端登录域变慢的相关文章请参看
域客户端多站点登录域慢
AD域客户端登录验证
用户没有登录到本地域控制器
登录到指定的域控制器
多域控制器登录验证
域客户端登录域控制器的过程