今天在网上看到一个这样的企业案例,大概情况我来描述一下,公司原有一台域控制器 系统为 windows2003 企业版,域功能级别是 win2000 模式,由于该服务器使用的时间较长,配置比较落后,现在公司新购买了一台性能强劲的服务器,使其成为额外域控制器,然后把五种 FSMO 都转移到该服务器上,问题就是如可让用户都到这台配置强劲的服务器上登陆呢?
根据这个实例我来布置一个试验来给大家做个演示,试验的场景如下:
clip_p_w_picpath001
我们知道,客户端电脑都是通过 DNS 来查询可用的域控制器。每一台可用的域控制器都会在 DNS 服务器内注册 SRV 记录,当一台客户机登陆时,会尝试查询 DNS 服务器内可用的 SRV 记录信息来定位域控制器。
SRV 记录有 2 个参数分别是 weight priority 都可以用来改变域控制器的优先级。不同的是 weight 是按照比例来修改优先级,如果假设 Florence Firenze weight 值分别是 50 100 ,也就是按照 1 2 的比例进行分配。当有 3 台客户机需要登陆,那么其中 2 台会找 Firenze 而另外一台则是找 Florence
如果设置了不同的 priority 值,则意味着所有的客户机都只会找 priority 值更小的域控制器去验证,只有当 priority 值更小的域控制器不可用时,才会去找其他的域控制器。
改变域控制器的 Priority Weight 不能直接在 DNS 中更改,因为一旦域控制器重新启动这两个参数就又变回原来的值了,其实不用重新启动只需把域控制器的 Net logon 服务重新启动一下就行了,域控制器会自动注册 DNS 区域,重新写入数据。在 DC 上的注册表的如下位置添加两条 DWORD 值( LdapSrvpriority Ldapsrvweight
HK_L_M\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
clip_p_w_picpath002
clip_p_w_picpath003
Florence Firenze 上重新启动 Net Logon 服务, DNS 中的数据会被重新写入
clip_p_w_picpath004
clip_p_w_picpath005
根据我的设定两个 DC 的优先级是一样的权数是 1 3 的关系,我准备了四台 PC ,当他们登陆的时候,正常情况下又 3 台在 Firenze 上登陆,一台在 Florence 上登陆。根据不同的情况可以调整这两个值。
接下来新建 4 个用户登陆到域,然后我们用 Set 命令来查看客户机是在哪台 DC 上面登陆的
clip_p_w_picpath006clip_p_w_picpath007clip_p_w_picpath008clip_p_w_picpath009
正好是 3 台在 Firence 上登陆 1 台在 Florence 上登陆
对于多个站点而言, 默认情况下, 当前站点的客户会使用本站点的域控制器来进行登录验证. 默认情况下, 客户机的子网决定了它所属的站点, 如果有特殊需要, 可以在组策略里指定客户机所属的站点.
对应的修改组策略的” 计算机配置\ 管理模板\ 系统\ 网络登录\ 站点名称” 中修改
当确定了某个站点进行验证以后,DC 的选择方式和单站点相同