Bản tóm tắt của "xi măng đất trên" kịch bản trong tên miền Active Directory

Hỗ trợ cho Windows Server 2003 đã kết thúc vào ngày 14 tháng 7 năm 2015

Microsoft đã kết thúc hỗ trợ cho Windows Server 2003 vào ngày 14 tháng 7 năm 2015. Thay đổi này đã ảnh hưởng đến các bản cập nhật phần mềm và tùy chọn bảo mật của bạn. Tìm hiểu ý nghĩa của điều này với bạn và cách thực hiện để luôn được bảo vệ.

QUAN TRỌNG: Bài viết này được dịch bằng phần mềm dịch máy của Microsoft chứ không phải do con người dịch. Microsoft cung cấp các bài viết do con người dịch và cả các bài viết do máy dịch để bạn có thể truy cập vào tất cả các bài viết trong Cơ sở Kiến thức của chúng tôi bằng ngôn ngữ của bạn. Tuy nhiên, bài viết do máy dịch không phải lúc nào cũng hoàn hảo. Loại bài viết này có thể chứa các sai sót về từ vựng, cú pháp hoặc ngữ pháp, giống như một người nước ngoài có thể mắc sai sót khi nói ngôn ngữ của bạn. Microsoft không chịu trách nhiệm về bất kỳ sự thiếu chính xác, sai sót hoặc thiệt hại nào do việc dịch sai nội dung hoặc do hoạt động sử dụng của khách hàng gây ra. Microsoft cũng thường xuyên cập nhật phần mềm dịch máy này.

Nhấp chuột vào đây để xem bản tiếng Anh của bài viết này:305027
Bài viết này đã được lưu trữ. Bài viết được cung cấp "nguyên trạng" và sẽ không còn được cập nhật nữa.
Quan trọng Bài viết này chứa thông tin về làm thế nào để sửa đổi các sổ đăng ký. Hãy chắc chắn sao lưu sổ đăng ký trước khi bạn sửa đổi nó. Làm cho chắc chắn rằng bạn biết làm thế nào để khôi phục sổ đăng ký nếu một vấn đề xảy ra. Để biết thêm thông tin về làm thế nào để sao lưu, khôi phục và sửa đổi các đăng ký, bấm vào các số bài viết sau để xem bài viết trong cơ sở kiến thức Microsoft:
322756 Cách sao lưu và lưu trữ sổ đăng kư trong Windows
TÓM TẮT
Bài viết này mô tả "piling trên" kịch bản trong tên miền mà sử dụng Windows 2000 Server, Windows Server 2003 và Windows Server 2008. Nó cũng mô tả làm thế nào để khắc phục và giải quyết một số vấn đề xảy ra khi "xi măng đất trên" xảy ra.
THÔNG TIN THÊM

Tổng quan

Với một số ngoại lệ, bộ điều khiển vùng Active Directory thư mục dịch vụ rừng trong Windows 2000 Server, Windows Server 2003, và trong Windows Server 2008 là bằng đồng nghiệp về các đặc điểm như sau:
  • Sáng tạo đối tượng
  • Xoá bỏ đối tượng
  • Đối tượng nhân bản
  • Xác thực
  • Hồi đáp tới giao thức truy cập thư mục nhẹ (LDAP) truy vấn
Bộ nhớ, CPU sử dụng và thời gian phản ứng máy chủ nói chung tương tự cho bộ điều khiển vùng sử dụng cùng một phần cứng và rằng có thực hiện nhiệm vụ tương tự tại một trang web thư mục hoạt động cụ thể.

Một số hoạt động trong các thành viên tên miền hoặc bộ điều khiển vùng ưu tiên một cụ thể điều khiển vùng hoặc lớp của bộ điều khiển vùng (bỏ qua trang web sở thích). Điều này làm cho bộ điều khiển tên miền cụ thể để trải nghiệm lớn hơn việc sử dụng CPU, sử dụng bộ nhớ, mạng lưới giao thông và đĩa i/O, hoặc sử dụng nhiều hơn một sự kết hợp của các thành phần này.

Nhắm mục tiêu một bộ điều khiển tên miền cụ thể hoặc nhóm các bộ điều khiển vùng được gọi là một "piling trên" kịch bản. Điều này hành vi có thể xảy ra nếu một số tên miền-rộng và toàn doanh nghiệp hoạt động mà không được dự định cho vị trí multi-master nằm trên một tên miền duy nhất bộ điều khiển tên miền hoặc rừng. Các hoạt động đơn-master xảy ra trong các môi trường có thể được giải quyết hoặc giảm thiểu tối đa của thay đổi cấu hình.

"Piling trên" kịch bản

Danh sách sau đây tóm tắt các kịch piling trên bản mà có thể xảy ra, mô tả các triệu chứng mà bạn có thể gặp trong mỗi trường hợp, và chứa thông tin về cách giải quyết mỗi kịch bản:
  • PDC thanh ghi hai 1 C hồ sơ
  • PDC hồ sơ sẽ xuất hiện ở trên cùng của cửa sổ Internet tên Danh sách dịch vụ (thắng) [1 C]
  • Bộ nhặt đối tượng truy vấn PDC độc quyền
  • Xác thực Pass-through đi vào PDC độc quyền
  • Windows 2000 khách hàng trong tên miền Windows NT 4.0 là chứng thực độc quyền của PDC
  • Khách hàng Windows 2000, Windows XP và Windows Server 2003 trong hỗn hợp vận hành hệ thống tên miền được xác nhận độc quyền của mô hình sau này bộ kiểm soát miền sau khi được phát hiện
  • Nhiều phiên bản trước đó khách hàng có thể dẫn đến PDC không hoạt động đúng
  • Cao số lại mật khẩu không đúng có thể gây ra cao tải trên PDC
  • Các máy chủ DFS kéo bàn kiến thức phân vùng (PKT) từ PDC ngày thay đổi cấu hình DFS

PDC thanh ghi hai 1 C hồ sơ

Để giải quyết vấn đề này vào bộ kiểm soát miền Windows 2000 dựa trên, có được và cài đặt Windows 2000 service pack mới nhất. Để có thêm thông tin về làm thế nào để có được Windows 2000 service pack mới nhất, bấm số bài viết sau đây để xem bài viết trong cơ sở kiến thức Microsoft:
260910 Làm thế nào để có được các Windows 2000 Service Pack mới nhất
Để biết thêm chi tiết về vấn đề này, bấm vào các số bài viết sau để xem bài viết trong cơ sở kiến thức Microsoft:
269424THẮNG cân tính năng Prepend1BTo1CQueries Aids-bằng tải giữa bộ kiểm soát miền
Dựa trên Windows Server 2003 tên miền bộ điều khiển, chỉ cấu hình các registry.

PDC hồ sơ sẽ xuất hiện ở đầu danh sách Windows Internet tên dịch vụ (thắng) [1 C]

Hiện tượng

Danh sách đoạt giải [1 C] sắp xếp theo địa chỉ IP; Vì vậy, các máy chủ với địa chỉ IP thấp nhất trở lại lần đầu tiên và có thể được ưa chuộng bởi khách hàng.

Giải pháp

Để giải quyết vấn đề này, sử dụng một trong những phương pháp sau đây (như thích hợp của bạn Phiên bản của Windows):
  • Windows NT 4.0

    Để giải quyết vấn đề này, cài đặt Windows NT 4.0 Service Pack 4 (SP4) hoặc sau này, và sau đó kích hoạt các
    Randomize1CList
    giá trị đăng ký trong sổ đăng ký. Cho thêm thông tin về làm thế nào để có được Windows NT 4.0 service pack mới nhất, bấm số bài viết sau đây để xem bài viết trong các kiến thức Microsoft Cơ sở:
    152734Làm thế nào để có được gói dịch vụ mới nhất của Windows NT 4.0
    Để thêm thông tin về làm thế nào để Kích hoạt tính năng Randomize1cList, nhấp vào số bài viết sau đây để xem bài viết trong cơ sở kiến thức Microsoft:
    231305THẮNG cân Randomize1cList tính năng Aids-bằng tải giữa DCs
  • Windows 2000

    Để giải quyết vấn đề này, cho phép các
    Randomize1CList
    giá trị đăng ký bằng cách chỉnh sửa registry. Để biết thêm chi tiết về làm thế nào để làm như vậy, bấm vào các số bài viết sau để xem bài viết trong cơ sở kiến thức Microsoft:
    231305THẮNG cân Randomize1cList tính năng Aids-bằng tải giữa DCs

Bộ nhặt đối tượng truy vấn PDC độc quyền

Hiện tượng

Khi bộ nhặt đối tượng vào các khách hàng pre-Windows 2000 Service Pack 3 (SP3) liệt kê người dùng, nhóm hoặc tài khoản máy tính từ một tên miền dựa trên hệ điều hành trước đó, chỉ PDC được liên hệ để cung cấp danh sách các đối tượng.

Giải pháp

Để thêm thông tin về làm thế nào để có được các mới nhất Windows 2000 service pack, bấm vào sau bài viết số để xem các bài viết trong cơ sở kiến thức Microsoft:
260910 Làm thế nào để có được các Windows 2000 Service Pack mới nhất

Xác thực Pass-through đi vào PDC độc quyền

Xác thực yêu cầu từ khách hàng Windows NT LAN Manager (NTLM) với an ninh các kênh để Windows NT 4.0 và Windows 2000 tên miền sao lưu bộ điều khiển (BDCs) đang được chuyển tiếp đến PDC nếu yêu cầu xác thực không thành công và bất kỳ các mã trạng thái sau đây được trả về:
  • STATUS_ACCOUNT_LOCKED_OUT
  • STATUS_WRONG_PASSWORD
  • STATUS_PASSWORD_MUST_CHANGE
  • STATUS_PASSWORD_EXPIRED
Chú ý NTLM khách hàng bao gồm LanMan, Microsoft Windows 95, Microsoft Windows 98, Windows NT 4.0, và đôi khi Windows 2000 khách hàng.
Các sau kịch bản có thể gây ra PDC để trải nghiệm một cách sử dụng lớn hơn của CPU, bộ nhớ, đĩa hoặc tài nguyên khác hơn so với các bộ kiểm soát miền trong tên miền:
  • Trương mục dịch vụ trên các máy tính thành viên tên miền với hết hạn mật khẩu đã an ninh các kênh với bộ điều khiển vùng không PDC (STATUS_WRONG_PASSWORD).
  • Chứng thực đăng nhập cho trương mục người dùng khi cácNgười dùng phải thay đổi mật khẩu kiểm tra hộp được chọn trong Windows NT 4,0 tên miền, hoặc trên máy sử dụng mạng Windows mà không phải là multi-master nhận thức. Hoặc, một thiết lập lại của các Người dùng phải thay đổi mật khẩu thuộc tính đối với nhiều người người sử dụng.
  • Người sử dụng nhập mật khẩu khi đăng nhập hay mạng xác thực không khớp với mật khẩu tương ứng của họ về an ninh của họ kênh điều khiển vùng.
Đủ về số lượng các hoạt động cá nhân có thể quá tải một bộ điều khiển vùng, hoặc họ có thể làm cho đầy đủ tải gia tăng để ảnh hưởng đến cấp dịch vụ.

Giải pháp

  • Nếu trương mục dịch vụ đang cố gắng để đăng nhập với lỗi thời mật khẩu, xác định các vấn đề dịch vụ tài khoản bằng cách sử dụng ưa thích của bạn tài khoản khóa công cụ chống lại PDC, và sau đó hoặc ngừng các trương mục dịch vụ hoặc đặt lại mật khẩu.
  • Nếu mật khẩu thiết lập lại xảy ra đối với nhiều người sử dụng, phạm vi số tài khoản của nơi Người dùng phải thay đổi mật khẩu được thiết lập.
  • "Ẩn" PDC trong thắng và DNS bằng cách chỉnh sửa registry để cho phép các
    Randomize1CList
    giá trị đăng ký.

    Để biết thêm chi tiết về làm thế nào để làm điều này, bấm vào đây số bài viết để xem bài viết trong cơ sở kiến thức Microsoft:
    231305THẮNG cân Randomize1cList tính năng Aids-bằng tải giữa DCs
  • Điều tra cho dù PDC chứa tiêu cực bộ nhớ đệm bản sửa lỗi được thảo luận trong bài viết sau trong kiến thức Microsoft Cơ sở:
    272065 Xấu mật khẩu nỗ lực rất nhiều lần chuyển tiếp từ bộ điều khiển vùng để làm chủ các hoạt động PDC

Windows 2000 khách hàng trong Windows NT 4.0 tên miền được xác nhận độc quyền của PDC

Hiện tượng

Windows 2000 khách hàng trong tên miền Windows NT 4.0 là ban đầu xác thực chỉ bởi PDC tên miền.

Giải pháp

Để giải quyết vấn đề này, cài đặt Windows 2000 Service Pack 2 (SP 2) hoặc mới hơn.

Windows 2000, Windows XP và Windows Server 2003 khách hàng trong hỗn hợp vận hành hệ thống tên miền được xác nhận độc quyền của bộ điều khiển sau đó mô hình vùng sau khi được phát hiện

Hiện tượng

Windows 2000, Windows XP và Windows Server 2003 khách hàng đã tham gia để trộn vận hành hệ thống tên miền được xác thực chỉ bởi bộ kiểm soát miền Windows 2000 hoặc Windows Server 2003 sau khi các kênh bảo mật được Cập Nhật.

Giải pháp

Hành vi này là do thiết kế, nhưng nó có thể được giảm nhẹ bởi triển khai bổ sung Active Directory miền lý, đặc biệt là trong Active Directory các trang web có chứa nhiều người sử dụng. Ngoài ra, hãy chắc chắn rằng các
NT4Emulator
khóa sổ đăng ký được thiết lập một cách chính xác để ngăn chặn hàng loạt an ninh kênh di chuyển sang một bộ điều khiển vùng Active Directory.
Để biết thêm thông tin, bấm vào số bài viết sau để xem bài viết trong Cơ sở Kiến thức Microsoft:
298713Làm thế nào để ngăn chặn quá tải vào bộ điều khiển vùng đầu tiên trong khi nâng cấp tên miền

Nhiều phiên bản trước đó khách hàng có thể dẫn đến PDC không hoạt động đúng

Hiện tượng

Nếu bạn có nhiều khách hàng Windows NT (nhiều hơn 25.000), và họ tất cả gửi PDC yêu cầu thay đổi mật khẩu người dùng hoặc mật khẩu trương mục máy tính, bỏ yêu cầu khách hàng "đi như là quá cũ."

Vấn đề này xảy ra bởi vì một yêu cầu thay đổi mật khẩu người dùng hoặc mật khẩu máy tính được gửi cụ thể để PDC dưới hình thức một mailslot Yêu cầu chính. Xếp theo mặc định, như các mailslots được nhận bởi PDC, họ hàng để 15 giây trước khi bị bỏ đi như là quá cũ. Tuy nhiên, trong Windows 2000 Service Pack 3 (SP3) hoặc trước đó, lập bản đồ khách hàng-tên để IP được tổ chức trong bộ nhớ cache NBT chỉ 10 giây. Do đó, PDC có thể phải liên hệ với hệ phục vụ WINS giải quyết tên khách hàng đến một địa chỉ IP cho mỗi yêu cầu khách hàng. Nếu độ phân giải tên không thể hoàn tất trước khi hết hạn của mailslot giới hạn bộ nhớ cache 15-thứ hai, của PDC mailslot chế biến không thể phục hồi từ tình trạng này. Vì vậy, các yêu cầu khách hàng sẽ được bỏ "đi như là quá cũ."

Giải pháp

Windows 2000 Service Pack 4 (SP4) chứa một hotfix tăng giới hạn bộ nhớ cache NBT được tương đương với thời gian chờ mailslot của 15 giây.
Cho thêm thông tin về hotfix này, nhấp vào số bài viết sau đây để xem các bài viết trong cơ sở kiến thức Microsoft:
316803Khách hàng trước đó có thể không thay đổi mật khẩu hoặc tham gia trong một Windows 2000 tên miền
Để giải quyết vấn đề này, có được các mới nhất gói dịch vụ cho Windows 2000. Để biết thêm chi tiết, bấm vào đây số bài viết để xem bài viết trong cơ sở kiến thức Microsoft:
260910 Làm thế nào để có được các Windows 2000 Service Pack mới nhất

Cao số lại mật khẩu không đúng có thể gây ra tải cao trên PDC

Hiện tượng

Theo mặc định, khi người dùng nhập mật khẩu không chính xác, mật khẩu được gửi đến PDC trong trường hợp mật khẩu được thay đổi gần đây. Trong phạm vi có nhiều người sử dụng, điều này có thể gây ra tải cao về tài nguyên của PDC. Hoặc, nhiều máy tính trong phạm vi có thể chạy một chương trình hoặc một dịch vụ sử dụng ủy nhiệm đăng nhập không chính xác và có thể thử lại các thông tin đăng nhập nhiều lần.

Giải pháp

Để giải quyết hành vi này, bạn đặt AvoidPdcOnWan khóa sổ đăng ký để có này tải tắt PDC.

Để biết thêm chi tiết về vấn đề này, nhấp vào số bài viết sau đây để xem bài viết trong cơ sở kiến thức Microsoft:
225511Thay đổi mật khẩu mới và cuộc xung đột độ phân giải chức năng trong Windows

Các máy chủ DFS kéo kiến thức bảng phân vùng (PKT) từ PDC trên thay đổi cấu hình DFS

Hiện tượng

Khi cấu hình DFS của một DFS chịu lỗi gốc thay đổi, tất cả các mục tiêu gốc được thông báo về sự thay đổi cấu hình. Họ sau đó nhận được PKT mới từ PDC tên miền. Nếu bạn có nhiều mục tiêu gốc và thay đổi thường xuyên, nó có thể là một tải trọng đáng kể vào sự PDC.

Giải pháp

Windows Server 2003 thực hiện một tính năng gọi là chế độ khả năng mở rộng gốc. Khi tính năng này được bật, thay đổi không được gửi như thông báo cho các mục tiêu gốc, và các mục tiêu không kéo PKT từ PDC. Thay vào đó, họ kéo PKT từ bộ điều khiển vùng gần nhất của họ. Mặc dù thay đổi cấu hình di chuyển mạng chậm hơn, tải trên PDC là thấp hơn đáng kể. Để bật chế độ khả năng mở rộng gốc, hãy chạy lệnh sau:
dfsutil root: \\tên miền\dfsroot / RootScalability /Enable
Chú ý Chỉ các máy chủ đang chạy Windows Server 2003 có thể sử dụng này thiết lập.

Cảnh báo: Bài viết này được dịch tự động

Thuộc tính

ID Bài viết: 305027 - Xem lại Lần cuối: 12/06/2015 04:34:23 - Bản sửa đổi: 2.0

Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Server, Microsoft Windows Small Business Server 2003 Premium Edition, Microsoft Windows Small Business Server 2003 Standard Edition, Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 Standard

  • kbnosurvey kbarchive kbinfo kbmt KB305027 KbMtvi
Phản hồi