Обнаружение контроллеров домена в Windows XP

Переводы статьи Переводы статьи
Код статьи: 314861 - Vizualiza?i produsele pentru care se aplic? acest articol.
Версия данной статьи для Microsoft Windows 2000:247811.
Развернуть все | Свернуть все

В этой статье

Аннотация

В данной статье описан механизм, используемый Windows XP Professional для обнаружения контроллера домена в домене под управлением Windows.

Здесь содержатся подробные инструкции по поиску домена с помощью его DNS-имени или NetBIOS-имени, которое используется в целях обратной совместимости. В остальных случаях рекомендуется использовать DNS-имена в качестве основной политики.

Кроме того, в статье рассматриваются вопросы, связанные с устранением неполадок в процессе обнаружения контроллеров домена.

Дополнительная информация

Следующая последовательность операций иллюстрирует, как локатор находит контроллер домена.
  • На клиенте (компьютере, который пытается обнаружить контроллер домена) локатор запускается в виде вызова удаленной процедуры (RPC) к локальной службе Netlogon. Служба Netlogon реализовывает вызов API локатора DsGetDcName.
  • Клиент собирает сведения, необходимые для выбора контроллера домена, и передает их службе Netlogon с помощью вызова DsGetDcName.
  • На основании полученных сведений служба Netlogon клиента ищет контроллер домена для указанного домена. Поиск ведется двумя способами:
    • Для обнаружения DNS-имени служба Netlogon обращается к DNS-серверу, используя IP/DNS-совместимый локатор: с помощью вызова DsGetDcName осуществляется вызов DnsQuery, который выбирает записи типа SRV и А с DNS-сервера, после того как имя домена добавляется в соответствующую строку, определяющую записи SRV.

      Рабочая станция, которая входит на домен под управлением Windows, запрашивает у DNS-сервера SRV-записи в следующем формате:
      _service._protocol.DnsDomainName
      На серверах Active Directory имеется «Облегченный протокол доступа к каталогам» (Lightweight Directory Access Protocol, LDAP), работающий по протоколу TCP. Поэтому для поиска сервера LDAP клиенты запрашивают у DNS-сервера запись в формате:
      _ldap._tcp.DnsDomainName
    • Для обнаружения NetBIOS-имени служба Netlogon находит контроллер домена с помощью локатора, совместимого с Microsoft Windows NT 4.0, используя механизм передачи данных, например службу имен Интернета для Windows (WINS).

      В ОС Windows NT 4.0 и более ранних версиях «обнаружение» – это процесс поиска контроллера домена для проверки подлинности в основном домене или в доверенном домене.
  • Служба Netlogon посылает датаграмму компьютерам, которые зарегистрировали данное имя. Для NetBIOS-имен доменов датаграмма реализована в виде сообщения почтовой ячейки. Для DNS-имен доменов – в виде поиска по протоколу LDAP User Datagram Protocol (UDP).

    UDP представляет собой протокол передачи датаграмм без установки подключения, входящий в состав пакета протоколов TCP/IP. TCP – транспортный протокол, предназначенный для выполнения подключений. Следует отметить, что протокол UDP позволяет программе, запущенной на одном компьютере, пересылать датаграммы программе, работающей на другом компьютере. Он включает номер порта протокола, с помощью которого отправитель может выбрать нужную программу из нескольких программ на удаленном компьютере.
  • Получив датаграмму, каждый контроллер домена подтверждает рабочий режим и возвращает сведения вызову DsGetDcName.
  • Служба Netlogon кэширует сведения контроллера домена с тем, чтобы процедуру обнаружения не нужно было повторять при последующих запросах. Кэширование этих сведений обеспечивает согласованное использование одного и того же контроллера домена и просмотр ресурсов, хранящихся в службе каталогов Active Directory.
Чтобы войти в сеть или присоединиться к ней, клиент должен найти контроллер домена. Клиент посылает DNS-серверу запрос для поиска контроллеров домена, предпочтительно в собственной подсети клиента. Таким образом, клиент находит контроллер домена, посылая DNS-серверу запрос на поиск записи в формате:
_LDAP._TCP.dc._msdcs.domainname
После обнаружения контроллера домена клиент устанавливает с ним соединение, используя протокол LDAP, чтобы получить доступ к службе каталогов Active Directory. В процессе соединения контроллер домена определяет местонахождение клиента на основании IP-адреса его подсети. Если клиент подключается не к ближайшему (или наиболее оптимальному) контроллеру домена, то контроллер возвращает имя сайта клиента.

Если клиент уже пытался найти контроллеры домена на этом сайте (например, посылая DNS-серверу запрос на просмотр DNS-имен для поиска контроллеров домена в собственной подсети), то клиентом будет использоваться неоптимальный контроллер домена. Или же клиент может снова выполнить запрос к DNS-серверу на поиск по конкретному сайту, используя имя оптимального сайта. Для идентификации сайтов и подсетей контроллер домена использует некоторые сведения службы каталогов.

После обнаружения клиентом контроллера домена запись об этом контроллере кэшируется. Если этот контроллер расположен не на оптимальном сайте, то через 15 минут клиент очищает кэш и удаляет соответствующую запись в кэше. После этого клиент пытается найти оптимальный контроллер домена в своем собственном сайте.

Установив канал связи с контроллером домена, клиент передает свои учетные данные для входа и проверки подлинности и, в случае необходимости, может установить безопасный канал связи (для компьютеров под управлением ОС семейства Windows). Теперь клиент готов обычным образом выполнять запросы и поиск информации в каталоге.

Для входа в систему клиент подключается к контроллеру домена по протоколу LDAP. В процессе входа в систему используется диспетчер учетных записей безопасности (SAM). Поскольку в канале связи используется интерфейс LDAP, а подлинность клиента устанавливается контроллером домена, то учетная запись клиента проверяется и передается диспетчером учетных записей безопасности агенту службы каталогов, затем на определенный уровень базы данных и, наконец, в базу данных модуля ESE.

Устранение проблем обнаружения контроллеров домена

Для устранения проблем обнаружения контроллеров домена выполните следующие действия:
  1. С помощью средства «Просмотр событий» проверьте, содержатся ли в журналах событий записи об ошибках. Проверьте, не зарегистрированы ли в системном журнале клиента и сервера неудачные попытки входа в систему. Кроме того, просмотрите журналы службы каталогов на сервере и журналы DNS на DNS-сервере.

    Чтобы запустить средство «Просмотр событий» в Windows XP, нажмите кнопку Пуск, выберите пункт Панель управления, дважды щелкните Администрирование, а затем Просмотр событий.
  2. Проверьте конфигурацию IP-адресов, введя в командную строку ipconfig /all. Убедитесь, что указаны правильные настройки сети.
  3. С помощью программы Ping проверьте подключение к сети и разрешение имен. Выполните команду ping для IP-адреса и имени сервера.
  4. В разделе «Справка и поддержка» щелкните ссылку «Использование служебных программ для просмотра информации о компьютере и диагностики неполадок», выберите средство «Диагностика сети» и проверьте, правильно ли установлены и работают ли сетевые компоненты. Средство «Диагностика сети» также выполняет некоторые проверки и предоставляет сведения о конфигурации сети, которая может помочь в процессе настройки.
  5. Запустите команду nltest /dsgetdc:имя_домена, чтобы проверить, обнаруживается ли контроллер домена в конкретном домене. Средство «NLTest» устанавливается вместе со средствами поддержки Windows XP.

    Инструкции по установке этих средств см. в следующей статье базы знаний Майкрософт:
    306794 Установка средств поддержки с компакт-диска Windows XP (эта ссылка может указывать на содержимое полностью или частично на английском языке)
  6. С помощью средства «NSLookup» проверьте, правильно ли DNS-записи зарегистрированы в DNS. Убедитесь, что записи сервера и записи GUID SRV разрешаются.

    Например, чтобы проверить правильность регистрации записи, используйте следующие команды:
    nslookup имя_сервера.дочерний_домен_корневого_домена.корневой_домен.com

    nslookup guid._msdcs.корневой_домен.com
  7. Если какая-то из этих команд не выполняется, зарегистрируйте записи в DNS, воспользовавшись одним из следующих способов:
    • Чтобы зарегистрировать запись узла, введите команду ipconfig /registerdns.
    • Для регистрации службы контроллеров домена перезапустите службу Netlogon.
  8. Чтобы проверить подключение по протоколу LDAP, запустите средство Ldp.exe для подключения к контроллеру домена. «Ldp.exe» – средство поддержки, которое можно установить с компакт-диска Windows XP.

    Инструкции по установке этих средств см. в следующей статье базы знаний Майкрософт:
    306794 Установка средств поддержки с компакт-диска Windows XP (эта ссылка может указывать на содержимое полностью или частично на английском языке)
  9. Если есть подозрение, что определенный контроллер домена испытывает проблемы, включите журнал отладки Netlogon. Запустите средство «NLTest», введя в командную строку nltest /dbflag:0x2000ffff. Соответствующие сведения заносятся в файл Netlogon.log в папке Debug.
  10. Если проблему так и не удалось устранить, используйте сетевой монитор для отслеживания сетевого трафика между клиентом и контроллером домена.
Дополнительные сведения содержатся в главе 10 «Active Directory Diagnostic, Troubleshooting, and Recovery» (Диагностика, устранение неполадок и восстановление Active Directory) пакета ресурсов Windows 2000 Server Resource Kit главе 10.

Свойства

Код статьи: 314861 - Последний отзыв: 10 марта 2006 г. - Revision: 1.0
Информация в данной статье применима к:
  • Microsoft Windows XP Professional Edition
Ключевые слова: 
kbdns kbenv kbinfo kbnetwork KB314861

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com