Jak są rozlokowane kontrolery domeny w systemie Windows 2000

Tłumaczenia artykułów Tłumaczenia artykułów
Numer ID artykułu: 247811 - Zobacz jakich produktów dotyczą zawarte w tym artykule porady.
Ten artykuł został opublikowany wcześniej pod numerem PL247811
Rozwiń wszystko | Zwiń wszystko

Na tej stronie

Streszczenie

W tym artykule opisano mechanizm używany przez system Windows 2000 do lokalizowania kontrolera domeny w domenie opartej na systemie Windows 2000. W tym artykule podano również szczegóły procesu lokalizowania domeny przy użyciu nazwy typu DNS i nazwy typu płaskiego (NetBIOS). Nazwy protokołu NetBIOS są użyte dla zgodności wstecznej. We wszystkich innych przypadkach należy używać nazw typu DNS i traktować to jako zasadę. W tym artykule uwzględniono również zagadnienia związane z rozwiązywaniem problemów z lokalizacją kontrolera domeny.

Więcej informacji

Lokalizator znajduje kontroler domeny, wykonując kolejno czynności podane poniżej:
  • Na kliencie (komputerze, który lokalizuje kontroler domeny) Lokalizator jest inicjowany jako zdalne wywoływanie procedury (RPC) lokalnej usługi Netlogon. Wywołanie procedury DsGetDcName interfejsu programowania aplikacji (API) Lokalizatora jest implementowane przez usługę Netlogon.
  • Klient zbiera informacje wymagane do wybrania kontrolera domeny i przekazuje je do usługi Netlogon za pomocą wywołania procedury DsGetDcName.
  • Usługa Netlogon na komputerze klienckim używa zebranych informacji do wyszukiwania kontrolera domeny dla wybranej domeny na dwa sposoby:
    • Dla nazwy DNS usługa Netlogon bada serwer DNS za pomocą Lokalizatora zgodnego z IP/DNS - to oznacza, że procedura DsGetDcName wywołuje procedurę DnsQuery do odczytania rekordów Service Resource (SRV) oraz rekordów „A” z serwera DNS po dodaniu nazwy domeny do odpowiedniego ciągu określającego rekordy SRV.
    • Stacja robocza logująca się do domeny opartej na systemie Windows 2000 bada serwer DNS na wystąpienie rekordów SRV w postaci ogólnej:
      _service._protocol.DnsDomainName
      Serwery usługi Active Directory udostępniają usługę Lightweight Directory Access Protocol (LDAP) przez protokół TCP. To oznacza, że klient może znaleźć serwer LDAP, badając rekord serwera DNS w postaci:
      _ldap._tcp.DnsDomainName
    • Dla nazwy NetBIOS usługa Netlogon wykrywa kontroler domeny za pomocą Lokalizatora zgodnego z systemem Microsoft Windows NT w wersji 4.0 (używając mechanizmu określającego transport, na przykład WINS).

      W systemie Windows NT 4.0 i starszych, "wykrywanie" jest procesem lokalizowania kontrolera domeny w celu uwierzytelnienia w domenie podstawowej lub zaufanej.
  • Usługa Netlogon wysyła datagram do komputerów, które zarejestrowały tę nazwę. Dla nazw domen protokołu NetBIOS datagram ma postać wiadomości mailslot. Dla nazw domen DNS datagram ma postać wyszukiwania protokołu User Datagram Protocol (UDP) LDAP. (Protokół UDP jest protokołem bezpołączeniowego transportu datagramów, będącego częścią pakietu protokołów TCP/IP. Protokół TCP jest protokołem transportu zorientowanym na połączenia.)
  • Każdy dostępny kontroler domeny odpowiada na datagram, aby udzielić informacji, czy działa i zwraca informacje do procedury DsGetDcName.

    Należy zauważyć, że protokół UDP zezwala, aby program z jednego komputera wysyłał datagram do programu na innym komputerze. Protokół UDP zawiera numer portu protokołu, który umożliwia nadawcy rozróżnienie wielu miejsc docelowych (programów) na komputerze zdalnym.
  • Każdy dostępny kontroler domeny odpowiada na datagram, aby udzielić informacji, czy działa i zwraca informacje do procedury DsGetDcName.
  • Usługa Netlogon umieszcza w pamięci podręcznej informacje o kontrolerze domeny, aby kolejne żądania nie musiały powodować powtórzenia procesu poszukiwania. Umieszczenie tych informacji w pamięci podręcznej wpływa na spójne użycie tego samego kontrolera domeny i spójny obraz usługi Active Directory.
Gdy klient loguje się lub przyłącza do sieci, musi mieć możliwość lokalizowania kontrolera domeny. Klient wysyła kwerendę wyszukiwania DNS do serwera DNS w celu znalezienia kontrolerów domeny, najchętniej w lokalnej podsieci klienta. To oznacza, że klient znajduje kontroler domeny, badając rekord DNS w następującej postaci:
_LDAP._TCP.dc._msdcs.domainname
Gdy klient zlokalizuje kontroler domeny, ustanawia komunikację za pomocą protokołu LDAP w celu uzyskania dostępu do usługi Active Directory. Jako część procesu negocjacji, kontroler domeny identyfikuje lokację, w której znajduje się klient, za pomocą adresu IP podsieci klienta. Jeśli klient komunikuje się z kontrolerem domeny, który nie znajduje się w najbliższej (optymalnej) lokacji, kontroler domeny zwraca nazwę lokacji klienta. Jeśli klient już próbował odnaleźć w tej lokacji kontroler domeny (na przykład gdy klient wysłał kwerendę wyszukiwania DNS do serwera DNS w celu odnalezienia kontrolerów domeny w podsieci klienta), klient używa kontrolera domeny, który nie jest optymalny. W innym przypadku klient wykonuje ponownie wyszukiwanie DNS specyficzne dla lokacji z nazwą optymalnej lokacji. Kontroler domeny używa części informacji usługi katalogowej do identyfikowania lokacji i podsieci.

Po zlokalizowaniu przez klienta kontrolera domeny wpis kontrolera domeny jest umieszczany w pamięci podręcznej. Jeśli kontroler domeny nie znajduje się w optymalnej lokacji, po piętnastu minutach klient opróżnia pamięć podręczną i usuwa wpis pamięci podręcznej. Następnie próbuje znaleźć optymalny kontroler domeny, znajdujący się w tej samej lokacji co klient.

Po ustanowieniu ścieżki komunikacji do kontrolera domeny, klient może ustanowić poświadczenia logowania i uwierzytelnienia oraz, jeśli to konieczne dla komputerów z systemem Windows 2000, ustawić kanał bezpieczny. Klient jest gotowy do wykonywania zwykłych kwerend i wyszukiwania informacji w katalogu.

Klient ustanawia połączenie LDAP do kontrolera domeny w celu logowania. Podczas procesu logowania używany jest program Menedżer kont zabezpieczeń. Ponieważ ścieżka komunikacji korzysta z interfejsu LDAP i klient jest uwierzytelniany przez kontroler domeny, konto użytkownika jest weryfikowane i przekazywane przez program Menedżer kont zabezpieczeń do agenta usługi katalogowej, następnie do warstwy bazy danych i ostatecznie do bazy danych w aparacie Extensible Storage (ESE).

Rozwiązywanie problemów z procesem lokalizatora domeny

Aby rozwiązać problem z procesem lokalizatora domeny:
  1. Otwórz program Podgląd zdarzeń na komputerze klienckim i serwerze. Dzienniki zdarzeń mogą zawierać komunikaty o błędach, wskazujące na problem. Aby wyświetlić Podgląd zdarzeń, kliknij przycisk Start, wskaż polecenie Programy, wskaż polecenie Narzędzia administracyjne, a następnie kliknij polecenie Podgląd zdarzeń. Obejrzyj dziennik systemu na komputerze klienckim i serwerze. Obejrzyj również dzienniki Usługi katalogowej na serwerze oraz dzienniki DNS na serwerze DNS.
  2. Sprawdź konfigurację protokołu IP za pomocą polecenia ipconfig /all w wierszu polecenia.
  3. Użyj narzędzia Ping do sprawdzenia łączności sieciowej i rozpoznawania nazw. Użyj polecenia Ping do zbadania adresu IP oraz nazwy serwera. Poleceniem Ping można również zbadać nazwę domeny.
  4. Użyj narzędzia Netdiag do określenia, czy składniki sieciowe działają poprawnie. Aby wysłać szczegółowe dane do pliku tekstowego, użyj następującego polecenia:
    netdiag /v >test.txt
    Obejrzyj plik dziennika, sprawdź, czy nie występują problemy i zbadaj stan składników. Ten plik zawiera również inne szczegóły dotyczące konfiguracji sieci.
  5. Aby rozwiązać niewielkie problemy, użyj narzędzia Netdiag w następującej składni: netdiag /fix.
  6. Użyj polecenia nltest /dsgetdc: nazwadomeny do sprawdzenia, czy kontroler domeny dla określonej domeny może być zlokalizowany.
  7. Użyj narzędzia NSLookup do sprawdzenia, czy wpisy DNS są poprawnie zarejestrowane w serwerze DNS. Sprawdź, czy główne rekordy serwera oraz rekordy GUID SRV mogą być rozpoznane.

    Na przykład, aby zweryfikować rejestrację rekordu, użyj następujących poleceń:
    nslookup nazwaserwera.komputerpodrzędnydomenygłównej.domenagłówna.com

    nslookup guid._msdcs.domenagłówna.com
  8. Jeśli żadne z tych poleceń nie powiedzie się, użyj jednej z poniższych metod do ponownej rejestracji rekordów na serwerze DNS:
    • Aby wymusić rejestrację rekordów hosta, wpisz ipconfig /registerdns.
    • Aby wymusić rejestrację usługi kontrolera domeny, zatrzymaj i uruchom usługę Netlogon.
  9. Aby wykryć problemy z kontrolerem domeny, uruchom narzędzie DCdiag z wiersza polecenia. Narzędzie wykonuje wiele testów w celu sprawdzenia, czy kontroler domeny działa poprawnie. Użyj tego polecenia do wysłania wyników do pliku tekstowego:
    dcdiag /v >dcdiag.txt
  10. Użyj narzędzia Ldp.exe do połączenia i powiązania z kontrolerem domeny w celu sprawdzenia odpowiedniego połączenia LDAP.
  11. Jeśli podejrzewasz, że określony kontroler domeny powoduje problemy, może się okazać pomocne włączenie rejestrowania i debugowania narzędzia Netlogon. Użyj narzędzia NLTest, wpisując następujące polecenie: nltest /dbflag:0x2000ffff. Informacje będą rejestrowane w folderze Debug w pliku Netlogon.log.
  12. Jeśli problem wciąż nie został wyodrębniony, użyj Monitora sieci do monitorowania ruchu sieci między klientem a kontrolerem domeny.
Aby uzyskać informacje o tym, jak zainstalować Monitora sieci, zobacz następujący artykuł z bazy wiedzy Microsoft Knowledge Base:
243270 How to Install Network Monitor in Windows 2000

Materiały referencyjne

Aby uzyskać dodatkowe informacje, zobacz zestaw Windows 2000 Resource Kit, Rozdział 10, „Active Directory Diagnostic, Troubleshooting, and Recovery”.

Właściwości

Numer ID artykułu: 247811 - Ostatnia weryfikacja: 19 września 2003 - Weryfikacja: 2.1
Informacje zawarte w tym artykule dotyczą:
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
Słowa kluczowe: 
kbinfo kbenv kbnetwork KB247811

Przekaż opinię

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com