Como os controladores de domínio são localizados no Windows

Este artigo descreve o mecanismo usado pelo Windows para localizar um controlador de domínio em um domínio com base no Windows. Este artigo detalha o processo de localização de um domínio por seu nome DNS e seu nome NetBIOS. O nome NetBIOS é usado para compatibilidade com versões anteriores. Em todos os outros casos, os nomes DNS devem ser usados por questão de política. Este artigo também aborda a solução de problemas relacionados ao processo de localização do controlador de domínio.

Essa seqüência descreve como o Localizador encontra um controlador de domínio:

• No cliente (o computador que está localizando o controlador de domínio), o Localizador é iniciado como um RPC (Chamada de Procedimento Remoto) para o serviço Netlogon local. A chamada da API, DsGetDcName, do localizador é implementada pelo serviço Netlogon.
• O cliente coleta e passa as informações necessárias à seleção de um controlador de domínio para o serviço Netlogon usando a chamada DsGetDcName.
• O serviço Netlogon no cliente usa as informações coletadas com o intuito de procurar um controlador de domínio para o domínio especificado de duas formas diferentes:
  • Para um nome DNS, o Netlogon consulta o DNS usando o Localizador compatível com IP/DNS -- ou seja, DsGetDcName pede para que a chamada DnsQuery leia os registros SRV (Service Resource) e "A" a partir do DNS após o nome de domínio ter sido acrescentado à seqüência que especifica os registros SRV.
  • Uma estação de trabalho conectada a um domínio com base no Windows consulta o DNS em busca de registros SRV da seguinte forma:
    _service._protocol.DnsDomainName
    Os servidores Active Directory oferecem o serviço LDAP (Lightweight Directory Access Protocol) por meio do protocolo TCP. Por isso, os clientes encontram um servidor LDAP consultando o DNS em busca de um registro no formato:
    _ldap._tcp.DnsDomainName
  • Para um nome NetBIOS, o Netlogon realiza a "descoberta" do controlador de domínio usando o Localizador compatível com o Microsoft Windows NT 4.0 (ou seja, usando o mecanismo específico de transporte, por exemplo, o WINS).
    
    Na versão 4.0 do Windows NT e anteriores, "descoberta" é um processo de localização de um controlador de domínio para autenticação no domínio principal ou em um domínio confiável.
• O serviço Netlogon envia um datagrama para os computadores que registraram o nome. Para nomes de domínio NetBIOS, o datagrama é implementado como uma mensagem de mala postal. Para nomes de domínio DNS, o datagrama é implementado como uma pesquisa LDAP de protocolo UDP (User Datagram Protocol) (O UDP é o protocolo de transporte de datagrama sem conexão que faz parte do conjunto de protocolos TCP/IP. O TCP é um protocolo de transporte orientado a conexão).
• Cada controlador de domínio disponível responde ao datagrama para indicar que está funcionando no momento, além de retornar as informações para DsGetDcName.
  
  Observe que o protocolo UDP permite que um programa em um computador envie um datagrama para um outro programa em outro computador. O protocolo UDP inclui um número de porta do protocolo, o qual permite que o emissor faça a distinção entre múltiplos destinos (programas) no computador remoto.
• Cada controlador de domínio disponível responde ao datagrama para indicar que está funcionando no momento, além de retornar as informações para DsGetDcName.
• O serviço Netlogon armazena as informações sobre o controlador de domínio em cache para que as próximas solicitações não precisem repetir o processo de descoberta. O armazenamento dessas informações em cache propicia um melhor uso do mesmo controlador de domínio, além de uma visualização mais precisa do Active Directory.

Quando um cliente faz logon ou acessa a rede, ele deve conseguir localizar um controlador de domínio. O cliente envia uma consulta DNS Lookup ao DNS procurando controladores de domínio, preferencialmente na sua própria sub-rede. Por isso, os clientes encontram um controlador de domínio consultando o DNS em busca de um registro no formato: Depois do cliente localizar um controlador de domínio, ele estabelece a comunicação usando o protocolo LDAP para obter acesso ao Active Directory. Como parte dessa negociação, o controlador de domínio identifica em qual site o cliente se encontra, com base na sua sub-rede IP. Se o cliente estiver se comunicando com um controlador de domínio que não esteja no site mais próximo (o mais ideal), o controlador de domínio retorna o nome do site do cliente. Se o cliente já tiver tentado achar controladores de domínio nesse site (ao enviar, por exemplo, uma consulta DNS Lookup ao DNS para encontrar controladores de domínio em sua própria sub-rede), ele usa o controlador de domínio que não está otimizado. Caso contrário, o cliente faz uma nova consulta DNS específica a um site, com o novo nome do site otimizado. O controlador de domínio usa algumas das informações do serviço de diretório para identificar sites e sub-redes.

Após a localização de controlador de domínio pelo cliente, a entrada referente a esse controlador é armazenada em cache. Se o controlador de domínio não estiver no site ideal, o cliente esvazia o cache depois de quinze minutos e descarta a entrada correspondente. Em seguida, tenta encontrar um controlador de domínio otimizado no mesmo site do cliente.

Depois de ter estabelecido um caminho de comunicação para o controlador de domínio, o cliente pode definir seu logon e suas credenciais de autenticação e, se houver necessidade, estabelecer um canal seguro em computadores com base no Windows. Dessa maneira, o cliente estará pronto para realizar consultas normais e procurar informações no diretório.

Para fazer o logon, o cliente estabelece uma conexão LDAP com um controlador de domínio. O processo de logon usa o 'Gerenciador de contas de segurança'. Como o caminho de comunicação usa a interface LDAP e o cliente é autenticado por um controlador de domínio, a conta do cliente é verificada e transmitida ao agente de serviço do diretório pelo 'Gerenciador de contas de segurança' , em seguida à camada de banco de dados e ao banco de dados contido no ESE (Extensible Storage engine).

Solucionando problemas no processo de localização de domínio

Para solucionar problemas no processo de localização de domínio:

1. Verifique Visualizar eventos no cliente e no servidor. Os logs de evento podem conter mensagens de erro indicando que há um problema. Para exibir Visualizar eventos, clique em Iniciar, aponte para Programas, Ferramentas Administrativas e clique em Visualizar eventos. Verifique o log do sistema no cliente e no servidor. Além disso, verifique os logs de serviço de diretório no servidor e os logs DNS no servidor DNS.
2. Verifique a configuração IP usando o comando ipconfig /all em um prompt de comando.
3. Use o utilitário Ping para verificar a conectividade de rede e a resolução do nome. Execute o ping tanto no endereço IP quanto no nome do servidor. Também pode ser necessário executar o ping no nome de domínio.
4. Use a ferramenta Netdiag para determinar se os componentes de rede estão funcionando corretamente. Para enviar os resultados detalhados a um arquivo de texto, use o seguinte comando:
   netdiag /v >test.txt
   Revise o arquivo de log, em busca de problemas e examine quaisquer componentes envolvidos. Esse arquivo também possui outros detalhes de configuração de rede.
5. Para corrigir os problemas pequenos, use a ferramenta Netdiag com a seguinte sintaxe: netdiag /fix.
6. Use o comando nltest /dsgetdc:nomedodomínio para verificar se um controlador de domínio pode ser localizado para um domínio específico.
7. Use a ferramenta NSLookup para verificar se as entradas DNS estão corretamente registradas no DNS. Veja se os registros de host do servidor e os registros SRV GUID podem ser resolvidos.
   
   Por exemplo, para verificar um registro, use os seguintes comandos:
   nslookupnomedoservidor.childofrootdomain.rootdomain.com
   
   nslookup guid._msdcs.rootdomain.com
8. Se nenhum desses comandos funcionar, use um dos seguintes métodos para efetuar novamente os registros com o DNS:
   • Para forçar o registro de host, digite ipconfig /registerdns.
   • Para forçar o registro do serviço de um controlador de domínio, encerre e inicie o serviço Netlogon.
9. Para detectar problemas do controlador de domínio, execute o utilitário DCdiag em um prompt de comando. O utilitário executa diversos testes para verificar se o controlador de domínio está sendo executado corretamente. Use este comando para enviar os resultados a um arquivo de texto:
   dcdiag /v >dcdiag.txt
10. Use a ferramenta Ldp.exe para conectar e vincular-se ao controlador de domínio para verificar a conectividade LDP apropriada.
11. Se você desconfiar que um determinado controlador de domínio está apresentando problemas, é aconselhável ativar o log de depuração do Netlogon. Use o utilitário NLTest digitando o seguinte comando: nltest /dbflag:0x2000ffff. As informações são registradas na pasta Debug do arquivo Netlogon.log.
12. Se você ainda não tiver isolado o problema, use o Monitor de rede para monitorar o tráfego de rede entre o cliente e o controlador de domínio.

Para obter informações sobre como instalar o Monitor de rede, consulte o seguinte artigo na Base de Dados de Conhecimento da Microsoft:

Para obter informações adicionais, consulte o capítulo 10 do Windows 2000 Server Resource Kit, "Diagnóstico, solução de problemas e recuperação do Active Directory."