当外部客户端试图在外围网络中使用的只读域控制器登录到 Windows Server 2008 的服务器时,身份验证失败时

文章翻译 文章翻译
文章编号: 977510 - 查看本文应用于的产品
展开全部 | 关闭全部

本文内容

症状

外部客户端尝试登录到运行 Windows Server 2008 在外围网络 (也称为 DMZ、 非军事区和屏蔽子网) 中的服务器上。当服务器试图通过外围网络中使用只读域控制器 (RODC) 对外部客户端进行身份验证时,身份验证将失败。

注意如果该服务器,则允许使用内部域控制器 (DC) 对外部客户端进行身份验证,身份验证是成功的。

原因

当外部客户端不知道它首次进入外围网络中的站点时,会发生此问题。发生这种情况时外部客户端会使客户端可以连接到 DC 的 _msdcs.domain.com SRV 资源记录的一般域名系统 (DNS) 查询。默认状态下,rodc 不注册任何泛型的 DNS 信息。而是,rodc 只注册站点特定的 DNS 信息。因此,DsGetDCName 函数不会返回 RODC 域的域控制器的列表中。

注意如果没有结果从 DNS 查询生成的 DCLocator 函数由 DSGetDCName 函数调用的回到 NetBIOS 名称解析功能 (WINS 和广播)。但是,如果没有配置 WINS,并阻止广播则此回退机制也失败。

如果防火墙规则使外部客户端连接到至少一个读/写域控制器 (RWDC),外部客户端被重定向到 RODC。只要在 RWDC 确定外部客户端是在 RODC 的站点中,会出现这种情况。

注意在这种情况下这两台计算机应在外围网络中。

解决方案

若要解决此问题,您必须使 RODC 从一般的 DNS 查询可被发现。

注意您可以最大限度地减少通过更改 LDAPSrvPriority 值,以确保其他可用的只读域控制器或读/写域控制器是首选修正站点中 RODC 的注册泛型的 DNS 记录的安全效果。 有关详细的信息请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
306602如何优化的域控制器或全局编录位于客户端站点之外的位置
若要使 RODC 可被发现,指定在注册表中的 RegisterSiteSpecificDnsRecordsOnly DWORD 值。此 DWORD 值确定是否在 RODC 会尝试注册泛型 DNS 记录。
收起该表格展开该表格
注册表位置:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters
值名称:RegisterSiteSpecificDnsRecordsOnly
值类型:双倍字长

RegisterSiteSpecificDnsRecordsOnly

该 DWORD 值指定特定于站点的注册和 $ 仅别名 (CName) 记录。RODC 的默认值为 1 (TRUE)。如果将此值设置为 0 (FALSE),RODC 会尝试注册所有的 DNS 记录。这包括非站点特定的记录。

注意如果将该 DWORD 值设置为 0,您必须授予在 RODC 上相关的 DNS 区域所需的写权限,以便能够注册所有的 DNS 记录。

更多信息

有关如何确定在外围网络中的 RODC 位置的详细信息请访问下面的 Microsoft TechNet 博客网站:
http://blogs.technet.com/instan/archive/2009/03/24/troubleshooting-rodc-s-troubleshooting-rodc-location-in-the-dmz.aspx

属性

文章编号: 977510 - 最后修改: 2009年11月24日 - 修订: 1.1
这篇文章中的信息适用于:
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008 R2
  • Windows Web Server 2008
关键字:?
kbmt kbtshoot kbexpertiseinter kbsurveynew kbprb KB977510 KbMtzh
机器翻译
注意:这篇文章是由无人工介入的微软自动的机器翻译软件翻译完成。微软很高兴能同时提供给您由人工翻译的和由机器翻译的文章, 以使您能使用您的语言访问所有的知识库文章。然而由机器翻译的文章并不总是完美的。它可能存在词汇,语法或文法的问题,就像是一个外国人在说中文时总是可能犯这样的错误。虽然我们经常升级机器翻译软件以提高翻译质量,但是我们不保证机器翻译的正确度,也不对由于内容的误译或者客户对它的错误使用所引起的任何直接的, 或间接的可能的问题负责。
点击这里察看该文章的英文版: 977510
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com