如何在 Windows XP 中定位域控制器

文章翻译 文章翻译
文章编号: 314861 - 查看本文应用于的产品
有关本文的 Microsoft Windows 2000 版本,请参见 247811
展开全部 | 关闭全部

本文内容

概要

本文介绍了 Windows XP Professional 用来在基于 Windows 的域中定位域控制器的机制。

本文详细介绍了根据域的 DNS-style 名称及其 flat-style (NetBIOS) 名称(用于向后兼容)定位域的过程。在其他所有情况下,建议您根据策略使用 DNS-style 名称。

本文还解决了排查域控制器定位进程中的问题时涉及的问题。

更多信息

以下内容介绍了定位器查找域控制器的方法:
  • 在客户端(尝试定位域控制器的计算机)上,定位器作为对本地 Netlogon 服务的远程过程调用 (RPC) 而启动。Netlogon 服务实现了定位器 DsGetDcName API 调用。
  • 客户端将收集选择域控制器所需的信息,然后使用 DsGetDcName 调用,将该信息传递到 Netlogon 服务。
  • 客户端上的 Netlogon 服务使用所收集的信息,通过下面的两种方式之一,为指定的域查找域控制器:
    • 对于 DNS 名称,Netlogon 使用与 IP/DNS 兼容的定位器来查询 DNS,即在将域名追加到用于指定 SRV 记录的适当字符串以后,DsGetDcName 会调用 DnsQuery 调用以从 DNS 中读取服务资源 (SRV) 记录和“A”记录。

      登录到基于 Windows 的域的工作站将查询 DNS 是否存在以下常规格式的 SRV 记录:
      _service._protocol.DnsDomainName
      Active Directory 服务器可以通过 TCP 协议提供轻型目录访问协议 (LDAP) 服务。因此,客户端会通过查询 DNS 是否存在以下格式的记录来查找 LDAP 服务器:
      _ldap._tcp.DnsDomainName
    • 对于 NetBIOS 名称,Netlogon 使用与 Microsoft Windows NT 4.0 兼容的定位器(即,使用特定于传输的机制,如 Windows Internet 名称服务 (WINS))来执行域控制器发现。

      在 Windows NT 4.0 及更早版本中,“发现”是定位域控制器以对主域或受信任域执行身份验证的过程。
  • Netlogon 服务将向已注册该名称的计算机发送数据报。对于 NetBIOS 域名,数据报以邮件槽消息的形式实现。对于 DNS 域名,数据报以 LDAP 用户数据报协议 (UDP) 搜索的形式实现。

    UDP 是无连接数据报传输协议,该协议是 TCP/IP 协议包的一部分。TCP 是面向连接的传输协议。请注意,UDP 允许一台计算机上的程序向另一台计算机上的程序发送数据报。UDP 包括一个协议端口号,这使得发件人可以区分远程计算机上的多个目标(程序)。
  • 每个可用的域控制器都可响应数据报以表明其正在工作,然后将信息返回到 DsGetDcName
  • Netlogon 服务可缓存域控制器信息,以使后续请求不必重复搜索过程。缓存该信息有助于同一域控制器的一致使用,和保持一致的 Active Directory 视图。
当一个客户端登录或加入网络时,该客户端必须能够定位域控制器。该客户端会向 DNS 发送一个 DNS 查找查询以查找域控制器 -- 最好在客户端自己的子网上找到。因此,客户端可通过查询 DNS 是否存在以下格式的记录来查找域控制器:
_LDAP._TCP.dc._msdcs.domainname
在客户端找到了域控制器以后,它会使用轻型目录访问协议 (LDAP) 建立通信,以获得对 Active Directory 的访问权限。作为该协商的一部分,域控制器可根据该客户端的 IP 子网识别该客户端所在的站点。如果客户端与不在最近(最佳)站点中的域控制器通信,则域控制器将返回该客户端站点的名称。

如果客户端已尝试在该站点中查找域控制器(例如,如果客户端向 DNS 发送一个 DNS 查找查询,以在客户端自己的子网中查找域控制器),则该客户端将使用此并非最佳的域控制器。否则,客户端将使用最佳站点的名称再次执行特定于站点的 DNS 查找。域控制器会使用一些目录服务信息来识别站点和子网。

客户端定位了一个域控制器后,该域控制器条目将缓存起来。如果域控制器不在最佳站点中,则该客户端将在 15 分钟后刷新缓存,并丢弃缓存条目。然后,该客户端会尝试在其自己的站点中查找最佳域控制器。

客户端建立了到域控制器的通信路径后,便会建立自己的登录凭据和身份验证凭据,如有必要,还会针对基于 Windows 的计算机建立安全通道。然后,该客户端将执行常规查询,并搜索相关目录中的信息。

客户端将建立到域控制器的 LDAP 连接,以进行登录。登录过程使用安全帐户管理器 (SAM)。由于通信路径使用的是 LDAP 接口,且客户端由域控制器进行身份验证,因此将对客户端帐户进行验证,并通过 SAM 将其传送到目录服务代理,然后传送到数据库层,最后到达可扩展存储引擎 (ESE) 中的数据库。

解决域定位器进程中的问题

要解决域定位器进程中的问题,请执行以下操作:
  1. 检查“事件查看器”,以查看事件日志是否包含错误信息。在客户端和服务器上,检查系统日志,看是否存在登录过程中出现失败的问题。此外,还需检查服务器上的目录服务日志以及 DNS 服务器上的 DNS 日志。

    要在 Windows XP 中查看“事件查看器”,请单击开始,单击控制面板,双击管理工具,然后双击事件查看器
  2. 在命令提示符处运行“ipconfig /all”命令,以检查 IP 配置。验证网络配置是否正确。
  3. 使用 Ping 工具验证网络连接和名称解析。同时 Ping IP 地址和服务器名称。
  4. 选中“帮助和支持”中“使用工具查看您的计算机信息并分析问题”下的“网络诊断”工具,以确定网络组件是否安装正确,以及是否运行正常。“网络诊断”还可运行某些测试,并提供有关网络配置的有用信息。
  5. 使用“nltest /dsgetdc:domainname”命令验证是否可以为特定域定位域控制器。NLTest 工具是随 Windows XP 支持工具一起安装的。

    有关如何安装这些工具的信息,请参考下面的 Microsoft 知识库文章:
    306794 如何从 Windows XP CD-ROM 安装支持工具
  6. 使用 NSLookup 工具验证是否在 DNS 中正确注册了 DNS 项。验证是否能够解析服务器主机记录和 GUID SRV 记录。

    例如,要确认记录注册,请使用下面的命令:
    nslookup server_name.child_of_root_domain.root_domain.com

    nslookup guid._msdcs.root_domain.com
  7. 如果不能成功执行上述任一命令,请使用下列方法之一向 DNS 注册记录:
    • 要强制注册主机记录,请键入 ipconfig /registerdns
    • 要强制注册域控制器服务,请停止然后重新启动 Netlogon 服务。
  8. 要确认正确的 LDAP 连接,请使用 Ldp.exe 工具连接并绑定到域控制器。Ldp.exe 是一个支持工具,可从 Windows XP CD-ROM 进行安装。

    有关如何安装这些工具的信息,请参考下面的 Microsoft 知识库文章:
    306794 如何从 Windows XP CD-ROM 安装支持工具
  9. 如果您怀疑特定的域控制器有问题,请打开 Netlogon 调试日志记录。在命令提示符处键入 nltest /dbflag:0x2000ffff,以使用 NLTest 工具。信息将记录到 Debug 文件夹中的 Netlogon.log 文件中。
  10. 如果仍未找到问题所在,请使用网络监视器来监视客户端和域控制器之间的网络通信。
有关其他信息,请参考 Windows 2000 Server Resource Kit 的第 10 章“Active Directory 诊断、疑难解答及恢复”。

属性

文章编号: 314861 - 最后修改: 2005年10月12日 - 修订: 1.0
这篇文章中的信息适用于:
  • Microsoft Windows XP Professional Edition
关键字:?
kbinfo kbdns kbenv kbnetwork KB314861
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com