在多域控制器环境下,客户端帐号登陆时,由那台域控制器认证,是域控制器自己协商的吗?还是那里可以设置的?多谢!
回答:根据您的描述,我对这个问题的理解是:在多个域控制器的情况下,用户帐户是如何认证的。域结构需要分成2种情况:多站点和单个站点
  1. 单站点: 当单个站点有多个域控制器的时候,客户机查询的Netlogon服务向dns查询域控制器的IP地址,dns服务器随机的返回一个域控制器的IP地址,然后该IP地址会被客户机Cache,在清除这个cache(通常是重启)之前始终使用这个DC来验证. DNS服务器上可以通过改变DC的SRV记录中的WEIGHT值来改变每个DC的负载(概率上),而Priority值则是优先级(默认所有dc都一样).具体怎样修改SRV记录可以参照一下步骤:
    1. 在域控制器上打开注册表,找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    2. 添加一个注册表键值: 键名为: LdapSrvPriority 数据类型: REG_DWORD
    3. 设置适当的值来定义优先级. 默认是0,值越高优先级越低. 注意:当各域控制器的Priority值不同时,将始终使用高优先级的验证,除非低的无法验证.
    4. 这些步骤是用来修改Priority的值.
    5. 在域控制器上打开注册表,找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    6. 添加一个注册表键值: 键名为: LdapSrvWeight 数据类型: REG_DWORD
    7. 添加一个适当的值来修改权重.默认是100. 这个值可以从0到65535 注意: 这个权重值只是概率上改变各个域控制器的负载,值越大权重越大这些步骤是用来修改Weight的值. 相应的具体文章可以访问以下链接
      http://technet2.microsoft.com/windowsserver/en/library/df86810b-9fc5-49b8-a704-d01c042cf4601033.mspx?mfr=true
2. 多站点: 默认情况下,当前站点的客户会使用本站点的域控制器来进行登录验证.默认情况下,客户机的子网决定了它所属的站点,如果有特殊需要,可以在组策略里指定客户机所属的站点.
    1. 对应的修改组策略的”计算机配置\管理模板\系统\网络登录\站点名称”中修改
    2. 当确定了某个站点进行验证以后,DC的选择方式和单站点相同