外部的用戶端嘗試使用唯讀網域控制站在周邊網路登入 Windows Server 2008 伺服器時,驗證便會失敗

文章翻譯 文章翻譯
文章編號: 977510 - 檢視此文章適用的產品。
全部展開 | 全部摺疊

在此頁中

徵狀

外部的用戶端嘗試來登入在周邊網路 (也稱為 DMZ、 非軍事區域和過濾的子網路) 中執行 Windows Server 2008 的伺服器。當伺服器嘗試驗證外部的用戶端在周邊網路中使用唯讀網域控制站 (RODC) 時,驗證失敗。

附註如果伺服器允許外部用戶端來驗證使用內部的網域控制站 (DC),驗證就成功。

發生的原因

當外部用戶端並不知道它第一次進入周邊網路中哪個網站時,就會發生這個問題。發生這種情況時外部用戶端會對泛型的網域名稱系統 (DNS) 查詢 _msdcs.domain.com SRV 資源記錄,用戶端可以連線的 DC。預設情況下,RODC 不註冊任何泛用的 DNS 資訊。而是,RODC 只註冊站台特定的 DNS 資訊。因此,DsGetDCName 函式永遠不會傳回 RODC 在網域的 DC 清單中。

附註如果沒有結果所產生的是從 DNS 查詢,DCLocator 函式是由 DSGetDCName 函式呼叫退回到 NetBIOS 名稱解析功能 ([WINS] 和 [廣播])。不過,如果沒有設定 WINS 且廣播會被封鎖,然後此後援機制也失敗。

如果防火牆規則讓外部用戶端連線到至少一個讀取/寫入網域控制站 (RWDC),外部用戶端會被重新導向至 RODC。當 [RWDC 決定外部用戶端是在 RODC 的站台,就會發生這個問題。

附註發生這種情況時兩部電腦都應該在周邊網路。

解決方案

若要解決這個問題,您必須讓 RODC 設定為可探索從泛用的 DNS 查詢。

附註您可以藉由變更 LDAPSrvPriority 值以確定其他可用的唯讀網域控制站或讀取/寫入網域控制站為慣用補救站台中 RODC 的登錄泛用的 DNS 記錄的安全性效果最小化。 如需詳細資訊,請按一下下列的文件編號,檢視 「 Microsoft 知識庫 」 中的文件:
306602如何最佳化的網域控制站或通用類別目錄位於用戶端的站台外的位置
若要將設定為可探索的 RODC,請在登錄中指定 RegisterSiteSpecificDnsRecordsOnly DWORD 值。此 DWORD 值會決定是否 RODC 嘗試登錄泛用的 DNS 記錄。
摺疊此表格展開此表格
登錄位置:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters
數值名稱:RegisterSiteSpecificDnsRecordsOnly
實值型別:DWORD

RegisterSiteSpecificDnsRecordsOnly

這個 DWORD 值指定站台特定的暫存器和僅別名 (CName) 記錄。RODC 在預設值為 1 (TRUE)。如果您將此值設為 0 (FALSE),RODC 會嘗試登錄所有的 DNS 記錄。這包括非站台特定的記錄。

附註如果您將這個 DWORD 值設為 0 時,您必須授與 RODC 需要的寫入權限在相關的 DNS 區域可透過註冊的所有 DNS 記錄。

其他相關資訊

如需有關如何判斷 RODC 位置,在的周邊網路請造訪下列的 Microsoft TechNet 部落格網站:
http://blogs.technet.com/instan/archive/2009/03/24/troubleshooting-rodc-s-troubleshooting-rodc-location-in-the-dmz.aspx

屬性

文章編號: 977510 - 上次校閱: 2009年11月24日 - 版次: 1.1
這篇文章中的資訊適用於:
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008 R2
  • Windows Web Server 2008
關鍵字:?
kbmt kbtshoot kbexpertiseinter kbsurveynew kbprb KB977510 KbMtzh
機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:977510
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com