AD域站点DNS工作原理分析

活动目录AD域站点DNS工作原理。分析一个a.com 域中有好几台DC，分属不同X Y站点。DC同时是DNS服务器。今天遇到一个奇怪的问题。在X站点 Ping a.com 只能得到X站点的DC的ＩＰ。在测试Ｘ站点DC脱机时，客户端能否登录AD，结果直接提示找不到域。Ｘ站点DC IP：192.168.19.33 Y站点DC IP:192.168.3.33

回答:活动目录划分站点的目的，就是让客户端就近登录，那么一个站点的客户端ping域名，返回当前站点的dc ip，这是正常的。一般情况下，当前站点的dc Offline，那么客户端将会尝试联系其它站点的dc。但如果站点间是非完全路由，那么这个联系可能会失败，导致客户端无法联系dc进行登录验证。
这个登录联系的过程原理，您可以参考 在Windows XP中如何定位并登录域控制器
如果您需要了解验证这个过程，您可以查看客户端的系统日志。
活动目录seo注：非完全路由的意思是说，站点间存在防火墙或者类似的网络设置的阻隔，并不能让两个站点的桥头堡DC，完全自由的通信。这常见于一些端口和协议的屏蔽。关于什么是桥头堡请参考 什么是桥头堡服务器

ping域名返回不同的ip是正常的，因为dns本身就有dns robinround，即dns轮询。client会获得当前域的dc列表，每一次查询就会更换一个dc。关于这个问题请参考
域客户端访问总是指向额外域控制器

也就是说，当您ping一个站点的时候，优先返回当前站点的地址；而当您ping当前域名的时候，则会轮流返回域中所有dc的地址。这是两个不同的概念，一个是返回当前站点DC的IP，而不是其它站点的IP，一个是轮询的返回当前域DC的IP。
－－－gnaw0725

根据您的描述，我对您提出的问题的理解是：您在X站点Ping a.com 只能得到X站点的DC的IP。在测试X站点DC脱机时，客户端能否登录AD，结果直接提示找不到域。如果我的理解有误，请您告诉我。

第一个问题很正常的。Ping的时候只会返回一个IP地址，不管有多少个IP，返回的应该是响应最快的地址，在一个站点内的IP响应最快。

DC脱机的时候，肯定是找不到域的；在DC不可用的情况下，也可以登录，可以尝试断开网络后客户端不去找DC登录就可以了。另外，要确认DNS中DC的记录可以用nslookup去看，它可以显示所有DC的A记录。
816587：How to verify that SRV DNS records have been created for a domain controller
http://support.microsoft.com/kb/816587/en-us

247811：How Domain Controllers Are Located in Windows
http://support.microsoft.com/kb/247811/en-us

参考信息：
330105：How to verify large numbers of DNS records by using DNSLint
http://support.microsoft.com/kb/330105/en-us

如果两个site之间通讯正常的话是会到另外一个site的DC去验证的。

赵莹(Ken Zhao) MCSE 2000 微软全球技术支持中心