Jak są rozlokowane kontrolery domeny w systemie Windows XP

Wersja tego artykułu dla systemu Microsoft Windows 2000: 247811 .

Streszczenie

W tym artykule jest opisany mechanizm, jakiego używa system Windows XP Professional do zlokalizowania kontrolera domeny w domenie systemu Windows.


W artykule przedstawiono szczegóły procesu lokalizowania domeny według jej nazwy typu DNS i nazwy typu płaskiego (NetBIOS), jaki jest stosowany dla zapewnienia zgodności ze starszymi systemami. We wszystkich innych przypadkach zaleca się użycie nazw typu DNS jako zasady.


W tym artykule uwzględniono także zagadnienia wynikające z rozwiązywania problemów z procesem lokalizowania kontrolera domeny.

Więcej informacji

Lokalizator znajduje kontroler domeny, wykonując kolejno czynności podane poniżej:
 • Na kliencie (komputerze, na którym próbuje się zlokalizować kontroler domeny) Lokalizator jest inicjowany jako zdalne wywołanie procedury (Remote Procedure Call) usługi lokalnej Netlogon. Usługa Netlogon implementuje wywołanie procedury DsGetDcName interfejsu programowania (API) Lokalizatora.
 • Klient zbiera informacje wymagane do wybrania kontrolera domeny i przekazuje je do usługi Netlogon za pomocą wywołania procedury DsGetDcName.
 • Usługa Netlogon na kliencie używa zebranych informacji do wyszukiwania kontrolera domeny dla wybranej domeny na dwa sposoby:
  • Dla nazwy DNS usługa Netlogon bada serwer DNS za pomocą Lokalizatora zgodnego z IP/DNS - to oznacza, że procedura DsGetDcName wywołuje procedurę DnsQuery do odczytania rekordów Service Resource (SRV) oraz rekordów „A” z serwera DNS po dodaniu nazwy domeny do odpowiedniego ciągu określającego rekordy SRV.


   Stacja robocza logująca się do domeny opartej na systemie Windows bada serwer DNS na wystąpienie rekordów SRV w postaci ogólnej:
   _service._protocol.DnsDomainName
   Serwery usługi Active Directory udostępniają usługę Lightweight Directory Access Protocol (LDAP) przez protokół TCP. To oznacza, że klient może znaleźć serwer LDAP, badając rekord serwera DNS w postaci:
   _ldap._tcp.DnsDomainName
  • Dla nazwy NetBIOS usługa Netlogon wykrywa kontroler domeny za pomocą Lokalizatora zgodnego z systemem Microsoft Windows NT w wersji 4.0 — używając mechanizmu określającego transport, na przykład Windows Internet Name Service (WINS).


   W systemie Windows NT 4.0 i starszych „wykrywanie” jest procesem lokalizowania kontrolera domeny w celu uwierzytelnienia w domenie podstawowej lub zaufanej.
 • Usługa Netlogon wysyła datagram do komputerów, które zarejestrowały nazwę. W przypadku nazw domen typu NetBIOS datagram jest implementowany jako wiadomość mailslot. W przypadku nazw domen typu DNS datagram jest implementowany jako wyszukiwanie protokołu User Datagram Protocol (UDP) serwera usługi LDAP.


  UDP jest bezpołączeniowym protokołem transportowym datagramów, który jest częścią pakietu protokołów TCP/IP. TCP jest zorientowanym na połączenie protokołem transportowym. Należy zauważyć, że protokół UDP zezwala programowi na jednym komputerze wysłanie datagramu do programu na innym komputerze. UDP zawiera numer portu protokołu, który zezwala nadawcy na wyróżnienie przeznaczenia spośród wielu (programów) na komputerze zdalnym.
 • Każdy dostępny kontroler domeny odpowiada na datagram, aby udzielić informacji, czy działa i zwraca informacje do procedury DsGetDcName.
 • Usługa Netlogon umieszcza w pamięci podręcznej informacje o kontrolerze domeny, aby kolejne żądania nie musiały powodować powtórzenia procesu poszukiwania. Umieszczenie tych informacji w pamięci podręcznej wpływa na spójne użycie tego samego kontrolera domeny i spójny obraz usługi Active Directory.
Gdy klient loguje się lub przyłącza do sieci, musi mieć możliwość lokalizowania kontrolera domeny. Klient wysyła kwerendę wyszukiwania DNS do serwera DNS w celu znalezienia kontrolerów domeny, najchętniej w lokalnej podsieci klienta. To oznacza, że klient znajduje kontroler domeny, badając rekord DNS w następującej postaci:
_LDAP._TCP.dc._msdcs.domainname
Po zlokalizowaniu kontrolera domeny klient ustanawia komunikację, korzystając z protokołu Lightweight Directory Access Protocol (LDAP) do uzyskania dostępu do usług Active Directory. W ramach negocjacji kontroler domeny określa, jaka jest lokacja klienta w podsieci IP tego klienta. Jeśli klient komunikuje się z kontrolerem domeny, którego lokacja nie jest najbliższa (najbardziej optymalna), kontroler domeny zwraca nazwę lokacji klienta.


Jeżeli klient już próbował znaleźć kontrolery domeny w danej lokacji (na przykład gdy klient wysyła zapytanie DNS Lookup do serwera DNS, aby znaleźć kontrolery domen we własnej podsieci klienta), klient używa kontrolera domeny, który nie jest optymalny. W przeciwnym przypadku klient wykonuje ponownie wyszukiwanie DNS specyficzne dla lokacji, używając nazwy optymalnej lokacji. Kontroler domeny używa niektórych informacji usługi katalogowej do określenia lokacji i podsieci.


Po zlokalizowaniu przez klienta kontrolera domeny wpis kontrolera domeny jest umieszczany w pamięci podręcznej. Jeśli kontroler domeny nie znajduje się w optymalnej lokacji, po 15 minutach klient opróżnia pamięć podręczną i usuwa wpis pamięci podręcznej. Następnie próbuje znaleźć optymalny kontroler domeny, znajdujący się w tej samej lokacji co klient.


Po ustanowieniu ścieżki komunikacji do kontrolera domeny, klient może ustanowić poświadczenia logowania i uwierzytelnienia oraz, jeśli to konieczne dla komputerów z systemem Windows, ustawić kanał bezpieczny. Klient jest gotowy do wykonywania zwykłych kwerend i wyszukiwania informacji w katalogu.


Klient ustanawia połączenie LDAP do kontrolera domeny w celu logowania. Podczas procesu logowania używany jest program Menedżer kont zabezpieczeń. Ponieważ ścieżka komunikacji korzysta z interfejsu LDAP i klient jest uwierzytelniany przez kontroler domeny, konto użytkownika jest weryfikowane i przekazywane przez program Menedżer kont zabezpieczeń do agenta usługi katalogowej, następnie do warstwy bazy danych i ostatecznie do bazy danych w aparacie Extensible Storage (ESE).

Rozwiązywanie problemów z procesem lokalizatora domeny

Aby rozwiązać problem z procesem lokalizatora domeny:
 1. Sprawdź w Podglądzie zdarzeń, czy dzienniki zdarzeń zawierają jakiekolwiek informacje o błędach. Na obu komputerach, kliencie i serwerze, sprawdź czy nie wystąpiły awarie w dzienniku systemu podczas procesu logowania. Także sprawdź dzienniki Usługi katalogowej na serwerze i dzienniki DNS na serwerze DNS.


  Aby wyświetlić Podgląd zdarzeń w systemie Windows XP, kliknij przycisk Start, kliknij polecenie Panel sterowania, kliknij dwukrotnie polecenie Narzędzia administracyjne, a następnie kliknij dwukrotnie polecenie Podgląd zdarzeń.
 2. Sprawdź konfigurację protokołu IP, uruchamiając polecenie ipconfig /all w wierszu polecenia. Zweryfikuj, czy konfiguracja jest poprawna dla danej sieci.
 3. Użyj narzędzia Ping do zweryfikowania łączności sieciowej i rozpoznawania nazw. Wykonaj operację Ping zarówno dla adresu IP jak i nazwy serwera.
 4. Sprawdź narzędzie Diagnostyka sieci na stronie Pomocy i obsługi technicznej w temacie „Użyj narzędzi do wyświetlenia informacji o komputerze i diagnozowania problemów”, aby określić, czy składniki sieciowe są poprawnie zainstalowane i działają poprawnie. Diagnostyka sieci uruchamia także niektóre testy i dostarcza informacji o konfiguracji sieci, która może być pomocna.
 5. Użyj polecenia nltest /dsgetdc: nazwa_domeny do zweryfikowania, czy kontroler domeny może być zlokalizowany dla określonej domeny. Narzędzie NLTest jest zainstalowane wraz z narzędziami obsługi systemu Windows XP.


  Aby uzyskać więcej informacji na temat, jak zainstalować te narzędzia, zapoznaj się z następującym artykułem bazy wiedzy Microsoft Knowledge Base:
  306794 How to Install the Support Tools from the Windows XP CD-ROM
 6. Użyj narzędzia NSLookup do sprawdzenia, czy wpisy DNS są poprawnie zarejestrowane w serwerze DNS. Sprawdź, czy główne rekordy serwera oraz rekordy GUID SRV mogą być rozpoznane.


  Na przykład, aby zweryfikować rejestrację rekordu, użyj następujących poleceń:
  nslookup
  nazwa_serweradomena_podrzędna_domeny_katalogu_głównegodomena_katalogu_głównego
  .com


  nslookup guid._msdcs.
  domena_katalogu_głównego
  .com
 7. Jeśli żadne z tych poleceń nie powiedzie się, użyj jednej z poniższych metod do ponownej rejestracji rekordów na serwerze DNS:
  • Aby wymusić rejestrację rekordów hosta, wpisz
   ipconfig /registerdns.
  • Aby wymusić rejestrację usługi kontrolera domeny, zatrzymaj i uruchom usługę Netlogon.
 8. Aby zweryfikować odpowiednią łączność LDAP, należy użyć narzędzia Ldp.exe do połączenia i wiązania z kontrolerem domeny. Narzędzie Ldp.exe jest narzędziem obsługi, które można zainstalować z dysku CD-ROM systemu Windows XP.


  Aby uzyskać więcej informacji na temat, jak zainstalować te narzędzia, zapoznaj się z następującym artykułem bazy wiedzy Microsoft Knowledge Base:
  306794 How to Install the Support Tools from the Windows XP CD-ROM
 9. Jeśli podejrzewasz, że są problemy ze szczególnym kontrolerem domeny, włącz rejestrowanie logowania Netlogon. Użyj narzędzia NLTest, wprowadzając
  nltest /dbflag:0x2000ffff
  w wierszu polecenia. Informacje są rejestrowane w folderze Debug pliku dziennika Netlogon.log.
 10. Jeśli problem wciąż nie został wyodrębniony, użyj Monitora sieci do monitorowania ruchu sieci między klientem a kontrolerem domeny.
Aby uzyskać dodatkowe informacje, zobacz zestaw Windows 2000 Sever Resource Kit, Rozdział 10, „Active Directory Diagnostic, Troubleshooting, and Recovery”.
Właściwości

Identyfikator artykułu: 314861 — ostatni przegląd: 08.04.2003 — zmiana: 1

Opinia