Como otimizar a autenticação de passagem de contas de usuário depois de criar uma relação de confiança externa entre duas Microsoft Windows Server 2003 Service Pack 1 (SP1)-com base em florestas

O suporte para o Windows Server 2003 termina em 14 de julho de 2015.

A Microsoft terminou o suporte para o Windows Server 2003 em 14 de julho de 2015. Esta alteração afetou as suas atualizações de software e opções de segurança. Saiba o que isto significa para você e como permanecer protegido.

IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.

Clique aqui para ver a versão em Inglês deste artigo: 916474
INTRODUÇÃO
Você criou uma confiança externa entre duas Microsoft Windows Server 2003 Service Pack 1 (SP1) - com base em florestas usando totalmente qualificado (FQDN) de nomes de domínio. No entanto, nesse caso, autenticação de passagem das contas de usuário no domínio que não se originam a relação de confiança (o domínio de TARGET) pode levar muito tempo. Quando você executa o comando nltest /sc_query , você pode descobrir que para o domínio na outra floresta, um controlador de domínio foi escolhido que é menos ideal para a topologia de rede. Este artigo descreve como otimizar a autenticação de passagem depois de criar uma relação de confiança externa entre duas florestas baseadas no Windows Server 2003 SP1.
Mais Informações
Quando você cria uma confiança externa entre duas florestas usando FQDNs, o nome DNS (Domain Name System) é referenciado no objeto de domínio confiáveis (TDO), utilizando um valor trustType:2. Este objeto é especificado na pasta sistema do Active Directory Users and Computers. Este objeto representa a relação de confiança entre os domínios de duas florestas.

Por exemplo, suponha que o nome da floresta em que você criar a relação de confiança é SOURCE. COM. assume que o nome da floresta para que você criar a relação de confiança é TARGET. COM. Suponha também que uma relação de confiança externa é estabelecida entre .com de SOURCE e TARGET .com na floresta usando o FQDN. Além disso, a relação de confiança está configurada da seguinte maneira:
  • Relações de confiança origem destino
  • TARGET contém as contas de usuário
Depois de estabelecer uma relação de confiança entre essas duas florestas, execute o comando nltest juntamente com o / domain_trusts alternar no controlador de domínio para o domínio que iniciou a relação de confiança (o domínio de SOURCE). Esse comando lista o número de relações de confiança são criadas na SOURCE domínio. Por exemplo, o comando nltest /domain_trusts exibe saída semelhante à seguinte:
List of domain trusts:    0: TARGET TARGET.COM (NT 5)    1: SOURCE SOURCE.COM (NT 5)

Como o serviço Logon de rede usa localizador de DC para configurar um canal seguro de confiança entre florestas

Para configurar um canal seguro de confiança entre um controlador de domínio na floresta .com SOURCE e um controlador de domínio na floresta TARGET .com, o localizador inicia o processo a seguir:
  1. Para localizar um controlador de domínio na floresta TARGET .com, o localizador inicia um DNS específicos do site consulta. O nome do site que é usado para a consulta é o nome do site que hospeda o controlador de domínio no domínio de SOURCE. No entanto, a parte de domínio consulta a DNS usa o nome da floresta TARGET .com. Por exemplo, se o nome da floresta for TARGET .com e o nome do site é SourceSite, a consulta DNS é da seguinte maneira:
    _ldap._tcp.SourceSite._sites.DC._msdcs. TARGET .com
  2. O servidor DNS de .com TARGET o domínio de floresta (o domínio de TARGET ) envia uma resposta para o servidor DNS no domínio de SOURCE que informa que o domínio não é possível localizar uma correspondência apropriada para SourceSite. Essas informações são passadas ao controlador de domínio de origem.
  3. O domínio de SOURCE envia outra consulta DNS que não especifica qualquer informação de site. No exemplo é usado nesta seção, a consulta DNS envia a consulta a seguir:
    _ldap._tcp.DC._msdcs. TARGET .com
  4. Quando o DNS de TARGET servidor recebe essa consulta, ele procura uma lista de controladores de domínio que são registrados no TARGET domínio.
  5. O domínio de TARGET DNS servidor tenta selecionar um controlador de domínio usando a ordem de máscara de rede do DNS e responde ao controlador de domínio no domínio de SOURCE enviando as informações sobre o controlador de domínio selecionado.
No entanto, a estrutura de endereço IP e a estrutura de máscara de sub-rede do controlador de domínio na floresta .com TARGET podem ser diferente do controlador de domínio na floresta .com SOURCE. Portanto, um destino remoto até que ponto controlador de domínio pode ser escolhido e autenticação de passagem é iniciada na SOURCE .com floresta para os usuários na floresta .com TARGET tempo.

Observação Verifique se o resultado. Execute o comando nltest /sc_query no controlador de domínio no domínio de SOURCE para localizar o controlador de domínio que o domínio TARGET que é usado para estabelecer uma confiança segura canal com o domínio de SOURCE.

Como otimizar a autenticação de passagem de contas de usuário

Para otimizar a autenticação de passagem de contas de usuário da floresta TARGET .com, use um dos seguintes métodos.

Método 1: Criar o mesmo nome de site na floresta para o qual você deseja criar uma relação de confiança

  1. Criar um site de TARGET domínio que tenha o mesmo nome que o site que hospeda o controlador de domínio no domínio de SOURCE.
  2. Vincular este site para outros sites no domínio de TARGET e atribua controladores de domínio para este site.
O controlador de domínio de TARGET deve ser um servidor que tenha boa conectividade de rede para SourceSite.

Método 2: Usar NET logon a diretiva de grupo para registrar o nome do site em um controlador de domínio

  1. Selecione um controlador de domínio no domínio de TARGET.
  2. Use as configurações de diretiva de grupo de serviço de logon de rede Sites incluídos o localizador de controlador de domínio nos registros do servidor DNS nesse controlador de domínio para registrar o nome de site de domínio de SOURCE.
Um controlador de domínio de TARGET deve ser um servidor que tenha boa conectividade de rede para SourceSite.

Método 3: Usar um recurso de otimização do serviço Logon de rede

  1. Obtenha a configuração de site de domínio no sites do Active Directory snap-in Serviços e as informações de sub-rede IP para o site de domínio de SOURCE SourceSite. Se o endereço IP do controlador de domínio que os hosts de site de domínio de SOURCE não coincide com as informações de sub-rede, você pode usar o endereço IP do controlador de domínio em vez disso.
  2. No domínio de TARGET, crie um objeto de sub-rede correspondente para as informações de sub-rede IP ou para o endereço IP do controlador de domínio que você adquiriu anteriormente de SOURCE domínio.
  3. Use o snap-in Serviços e sites do Active Directory para criar esta sub-rede.
  4. Depois de criar a sub-rede, atribua esta sub-rede a um site existente localizado próximo a sub-rede de site de domínio de SOURCE . Neste exemplo, o subsite é chamado TargetSite.
Observação Convém identificar a sub-rede mais ampla que define o site de domínio de SOURCE e atribuir a sub-rede ao site de domínio de TARGET, desde que ele não está em conflito com definições de site anterior. Essa configuração permite para clientes no site de domínio de SOURCE e a maioria dos controladores de domínio para localizar o recurso melhor ou mais próximo no TARGET domínio.

Depois de concluir essas etapas, a seguir otimização ocorre para este exemplo:
  1. O controlador de domínio no domínio de SOURCE envia a seguinte consulta de pesquisa DNS específicos do site que tenha seu próprio site para um servidor LDAP no domínio de TARGET:
    Target.com DNS: 0x3A16:Std Qry para _ldap._tcp.SourceSite._sites.dc._msdcs.target.com
  2. Porque o nome do site é desconhecido, o servidor DNS do domínio de TARGET (target.com) gera a seguinte mensagem de erro:
    DNS: O nome não existe
  3. Consultas do controlador de domínio SOURCE a maneira após o retorno:
    Qry para _ldap._tcp.dc._msdcs.target.com
  4. O servidor DNS do domínio de TARGET (target.com) gera uma lista de servidores LDAP que são registrados globalmente.
  5. Um controlador de domínio é selecionado de servidores LDAP que estão registrados globalmente e uma SearchRequest LDAP (ping do Netlogon) é enviada para o controlador de domínio.
  6. O LDAP como resposta, o controlador de domínio consultado propaga seu nome, o site que ele aborda e o site que tem uma configuração de site de sub-rede correspondente para o IP do envio SOURCE controlador de domínio. O controlador de domínio consultado agora é TargetSite para a correspondente configuração de sub-rede de site conforme descrito no método 3.
  7. Porque o controlador de domínio responde está em um site diferente do que a correspondência de sub-rede de site é retornado, o controlador de domínio responde inicia a seguinte site específica consulta de DNS a correspondência de site recebidos no domínio target.com:
    Qry para _ldap._tcp.TargetSite._sites.dc._msdcs.target.com
  8. O servidor DNS do domínio target.com gera uma lista de servidores LDAP que são registrados para este site.
  9. O controlador de domínio origem envia outro LDAP SearchRequest (ping do Netlogon) para o controlador de domínio local que é retornado do servidor DNS.
  10. Na resposta da pesquisa, o controlador de domínio indica que ele aborda o site correspondente (TargetSite).
  11. Controlador de domínio de SOURCE seleciona este controlador de domínio TARGET para configurar o canal seguro de confiança para o domínio target.com.
Essas etapas são documentadas no arquivo Netlogon.log no controlador de domínio no domínio de SOURCE. Se você tiver ativado o log de serviço de logon de rede, entradas são registradas que ter o seguinte aspecto:
10/13 10:18:51 [MAILSLOT] NetpDcPingListIp: target.com: Sent UDP ping to 10.137.199.14310/13 10:18:51 [MISC] NetpDcGetNameIp: target.com Trying to find a DC in a closer site: TargetSite  // optimization step10/13 10:18:51 [MAILSLOT] NetpDcPingListIp: target.com: Sent UDP ping to 10.129.0.10810/13 10:18:51 [SESSION] SOURCE: EU: NlDiscoverDc: Found DC \\DC04.target.com
Observação método 3 é específico para configuração de endereço IP dos controladores de domínio no domínio de SOURCE. Se um usuário do domínio de TARGET executa um logon interativo em um cliente do domínio de SOURCE, autenticação pode exigir que um controlador de domínio que é um servidor de catálogo global. Se o endereço IP do cliente não tem nenhuma correspondência na configuração do site correspondente no domínio de TARGET, um controlador de domínio que atua como um servidor de catálogo global pode ser escolhido que pode ser o menos ideal. Se uma correspondência na configuração do site estiver disponível, o método 3 pode ser uma maneira melhor de localizar um recurso DFS local que o método 1 ou que o método 2. Decida qual método usar baseada nos requisitos comerciais.
Referências
Para obter mais informações sobre o utilitário Nltest.exe, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
158148Domínio Secure Channel utilitário--Nltest.exe
Para obter mais informações sobre a diretiva de grupo logon rede que é usado para registrar um site em um controlador de domínio, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
306602Como otimizar a localização de um controlador de domínio ou catálogo global que reside fora do site do cliente
Para obter mais informações sobre como habilitar logon de rede serviço de log, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
109626Habilitar log de depuração para o serviço Logon de rede

Aviso: este artigo foi traduzido automaticamente

Proprietăți

ID articol: 916474 - Ultima examinare: 12/28/2006 17:25:11 - Revizie: 3.1

Microsoft Windows Server 2003 Service Pack 1

  • kbmt kbtshoot KB916474 KbMtpt
Feedback