Individuazione dei controller di dominio in Windows

Traduzione articoli Traduzione articoli
Identificativo articolo: 247811 - Visualizza i prodotti a cui si riferisce l?articolo.
Questo articolo è stato precedentemente pubblicato con il codice di riferimento I247811
Espandi tutto | Chiudi tutto

In questa pagina

Sommario

In questo articolo viene descritto il meccanismo utilizzato in Windows per individuare un controller di dominio in un dominio di Windows. Viene illustrato il processo di individuazione di un dominio utilizzando il relativo nome in formato DNS o in formato NetBIOS. Il nome in formato NetBIOS viene utilizzato per la compatibilità con le versioni precedenti. In tutti gli altri casi dovranno essere utilizzati i nomi in formato DNS come criterio generale. Vengono inoltre fornite informazioni sulla risoluzione dei problemi relativi al processo di individuazione dei controller di dominio.

Informazioni

Nella seguente sequenza è specificato come viene effettuata la ricerca di un controller di dominio da parte del localizzatore:
  • Sul client, ossia il computer che esegue la ricerca del controller di dominio, il localizzatore viene inizializzato come chiamata di procedura remota (RPC) al servizio Accesso rete locale. La chiamata all'API (Application Programming Interface) DsGetDcName del localizzatore viene implementata dal servizio Accesso rete.
  • Il client raccoglie le informazioni necessarie per selezionare un controller di dominio e passa l'informazione al servizio Accesso rete utilizzando la chiamata DsGetDcName.
  • Il servizio Accesso rete sul client utilizza le informazioni raccolte per cercare un controller di dominio per il dominio specificato in due modi:
    • Per un nome DNS il servizio Accesso rete interroga il DNS utilizzando il localizzatore compatibile con IP/DNS, vale a dire DsGetDcName inoltra una chiamata a DnsQuery per la lettura dei record di risorse posizione servizio (SRV) e dei record "A" da DNS, dopo avere aggiunto il nome di dominio alla stringa corretta che specifica i record SRV.
    • Una workstation che esegue l'accesso a un dominio basato su Windows richiede al DNS i record SRV nel formato:
      _service._protocol.DnsDomainName
      I server Active Directory offrono il servizio LDAP (Lightweight Directory Access Protocol) tramite il protocollo TCP. I client trovano pertanto un server LDAP richiedendo al DNS un record nel formato:
      _ldap._tcp.DnsDomainName
    • Per un nome NetBIOS il servizio Accesso rete esegue il rilevamento del controller di dominio utilizzando il localizzatore compatibile con Microsoft Windows NT versione 4.0, vale a dire utilizzando il meccanismo specifico per il trasporto, come WINS.

      In Windows NT 4.0 e versioni precedenti "rilevamento" è il processo di individuazione di un controller (supervisore) di dominio per l'autenticazione nel dominio primario o in un dominio di tipo trusted (dominio di fiducia).
  • Il servizio Accesso rete invia un datagramma ai computer che hanno registrato il nome. Per i nomi di dominio NetBIOS il datagramma viene implementato come messaggio mailslot. Per i nomi di dominio DNS il datagramma viene implementato come una ricerca UDP (User Datagram Protocol) LDAP. UDP è il protocollo di trasporto datagrammi senza connessione che fa parte dello stack di protocolli TCP/IP. TCP è un protocollo di trasporto orientato alla connessione.
  • Ogni controller di dominio disponibile risponde al datagramma indicando che è operativo e restituisce le informazioni a DsGetDcName.

    UDP consente a un programma su un computer di inviare un datagramma a un programma su un altro computer. Include un numero di porta del protocollo che consente al mittente di distinguere le diverse destinazioni (programmi) sul computer remoto.
  • Ogni controller di dominio disponibile risponde al datagramma indicando che è operativo e restituisce le informazioni a DsGetDcName.
  • Il servizio Accesso rete memorizza nella cache le informazioni sul controller di dominio, in modo da evitare di ripetere il processo di rilevamento per le richieste successive. La memorizzazione delle informazioni nella cache favorisce l'uso coerente dello stesso controller di dominio e una visualizzazione altrettanto coerente di Active Directory.
Quando un client accede o si connette alla rete, deve essere in grado di individuare un controller di dominio. Il client invia una query di ricerca DNS al servizio DNS per trovare i controller di dominio, preferibilmente nella stessa subnet del client. I client trovano pertanto un controller di dominio richiedendo al DNS un record nel formato:
_LDAP._TCP.dc._msdcs.domainname
Dopo avere individuato un controller di dominio, il client stabilisce la comunicazione utilizzando LDAP per accedere ad Active Directory. Durante la negoziazione il controller di dominio identifica il sito di cui fa parte il client in base alla subnet IP del client stesso. Se il client comunica con un controller di dominio che non si trova nel sito più vicino, ossia quello ottimale, il controller di dominio restituisce il nome del sito del client. Se il client ha già tentato di individuare i controller di dominio in quel sito, ad esempio inviando una query di ricerca DNS al servizio DNS per trovare controller di dominio nella subnet del client stesso, verrà utilizzato il controller di dominio non ottimale. In caso contrario, il client esegue una ricerca DNS nel sito specifico con il nome del nuovo sito ottimale. Il controller di dominio utilizza alcune informazioni di Active Directory per identificare siti e subnet.

Dopo avere individuato un controller di dominio, la relativa voce viene memorizzata nella cache. Se il controller di dominio non si trova nel sito ottimale, la cache del client viene svuotata dopo 15 minuti e la voce nella cache eliminata. Viene quindi eseguita la ricerca di un controller di dominio ottimale nello stesso sito del client.

Dopo avere stabilito un percorso di comunicazione con il controller di dominio, il client è in grado di stabilire le credenziali di accesso e autenticazione e, se necessario per i computer basati su Windows, impostare un canale protetto. Il client a questo punto è pronto per eseguire normali query e ricerche di informazioni nella directory.

Il client stabilisce una connessione LDAP con il controller di dominio per l'accesso. Durante la procedura di accesso viene utilizzata la Gestione account di protezione (SAM). Poiché il percorso di comunicazione utilizza l'interfaccia LDAP e il client viene autenticato da un controller di dominio, l'account del client viene verificato e passato da Gestione account di protezione all'Agente di servizio directory, quindi al livello database e infine al database del modulo Extensible Storage Engine (ESE).

Risoluzione dei problemi relativi al processo di individuazione dei domini

Per risolvere i problemi relativi al processo di individuazione dei domini:
  1. Controllare il Visualizzatore eventi sul client e sul server. È possibile che i registri eventi contengano messaggi di errore che indicano la presenza di un problema. Per accedere al Visualizzatore eventi, fare clic sul pulsante Start, scegliere Programmi, fare clic su Strumenti di amministrazione, quindi su Visualizzatore eventi. Controllare il Registro eventi di sistema sul client e sul server. Controllare inoltre i file registro di Active Directory sul server e i file registro DNS sul server DNS.
  2. Controllare la configurazione IP utilizzando il comando ipconfig /all a un prompt dei comandi.
  3. Utilizzare l'utilità Ping per verificare la connessione di rete e la risoluzione dei nomi. Eseguire il comando ping sia con l'indirizzo IP che con il nome del server. Si consiglia di eseguire ping anche con il nome di dominio.
  4. Utilizzare lo strumento Netdiag per determinare se i componenti della rete funzionano nel modo corretto. Per riportare l'output dettagliato in un file di testo, utilizzare il seguente comando:
    netdiag /v >test.txt
    Esaminare il file registro, cercando eventuali problemi e verificare i componenti interessati. Questo file contiene anche altri dettagli sulla configurazione della rete.
  5. Per correggere problemi minori, utilizzare lo strumento Netdiag con la seguente sintassi: netdiag /fix.
  6. Utilizzare il comando nltest /dsgetdc:nomedominio per verificare che sia possibile trovare un controller di dominio per un dominio particolare.
  7. Utilizzare lo strumento NSLookup per verificare che le voci DNS siano registrate correttamente in DNS. Assicurarsi che sia possibile risolvere i record host del server e i record SRV GUID.

    Per verificare ad esempio la registrazione dei record, utilizzare i seguenti comandi:
    nslookup nomeserver.dominioprincipalefiglio.dominioprincipale.com

    nslookup guid._msdcs.dominioprincipale.com
  8. Se nessuno di questi comandi ha esito positivo, utilizzare uno dei seguenti metodi per registrare di nuovo i record in DNS:
    • Per imporre la registrazione dei record host, digitare ipconfig /registerdns.
    • Per imporre la registrazione del servizio per i controller di dominio, arrestare e avviare il servizio Accesso rete.
  9. Per individuare i problemi relativi ai controller di dominio, eseguire l'utilità DCdiag a un prompt dei comandi. L'utilità esegue numerosi test per verificare che un controller di dominio funzioni correttamente. Utilizzare il seguente comando per riportare i risultati in un file di testo:
    dcdiag /v >dcdiag.txt
  10. Utilizzare lo strumento Ldp.exe per stabilire la connessione e l'associazione al controller di dominio e verificare il corretto funzionamento della connessione LDAP.
  11. Se si sospetta che in un particolare controller di dominio si verifichino dei problemi, può essere utile attivare la registrazione di debug in Accesso rete. Utilizzare l'utilità NLTest digitando il seguente comando: nltest /dbflag:0x2000ffff. Le informazioni verranno registrate nel file Netlogon.log nella cartella Debug.
  12. Se il problema non viene ancora isolato, utilizzare Network Monitor per controllare il traffico di rete tra il client e il controller di dominio.
Per informazioni sull'installazione di Network Monitor, vedere il seguente articolo della Knowledge Base (gli articoli con prefisso "Q" contengono informazioni in inglese):
243270 How to Install Network Monitor in Windows 2000

Riferimenti

Per ulteriori informazioni sulla diagnostica, la risoluzione dei problemi e il ripristino di Active Directory, fare riferimento al capitolo 10 del Windows Resource Kit.

Proprietà

Identificativo articolo: 247811 - Ultima modifica: giovedì 18 marzo 2004 - Revisione: 4.0
Le informazioni in questo articolo si applicano a
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
Chiavi: 
kbinfo kbdns kbenv kbnetwork KB247811
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com