Как контроллеры домена расположены в Windows

В этой статье описывается механизм, используемый Windows для поиска контроллера домена в домене на основе Windows.

Эта статья относится к Windows 2000. Поддержка Windows 2000 заканчивается 13 июля 2010 г. Центр решений для окончания поддержки Windows 2000 — это отправная точка для планирования стратегии миграции из Windows 2000. Дополнительные сведения см. в политике жизненного циклаподдержки Майкрософт.

Исходная версия продукта: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2
Исходный номер КБ: 247811

Аннотация

В этой статье подробно данная статья посвящена поиску домена по его DNS-имени и имени в плоском стиле (NetBIOS). Имя плоского стиля используется для обеспечения обратной совместимости. Во всех остальных случаях имена в стиле DNS должны использоваться в качестве вопроса политики. Эта статья также посвящена устранению неполадок в процессе определения местоположения контроллера домена.

Дополнительные сведения

Эта последовательность описывает, как локатор находит контроллер домена:

На клиенте (компьютере, который находится на контроллере домена) локатор инициирует удаленный вызов процедуры (RPC) локальной службе Netlogon. Вызов API Locator DsGetDcName реализуется службой Netlogon.

Клиент собирает сведения, необходимые для выбора контроллера домена, и передает их в службу Netlogon с помощью вызова DsGetDcName.

Служба Netlogon на клиенте использует собранные сведения для получения контроллера домена для указанного домена одним из двух способов:

Для DNS-имени Netlogon запрашивает DNS с помощью Locator, совместимого с IP/DNS, то есть DsGetDcName вызывает вызов DnsQuery для чтения записей ресурсов службы (SRV) и записей «A» из DNS после того, как он добавил доменное имя в соответствующую строку, которая указывает записи SRV.

На рабочей станции, входя в домен под учетной записью Windows, DNS запрашивает записи SRV в общем виде:

Серверы Active Directory предлагают службу LDAP по протоколу TCP. Таким образом, клиенты находят сервер LDAP, запрашивая запись формы в DNS:

Для netBIOS-имени Netlogon выполняет обнаружение контроллера домена с помощью средства Locator, совместимого с Microsoft Windows NT версии 4.0 (то есть с помощью механизма транспорта (например, WINS).

В Windows NT 4.0 и более ранних, «обнаружение» — это процесс обнаружения контроллера домена для проверки подлинности в основном или доверенном домене.

Служба Netlogon отправляет datagram на компьютеры, которые зарегистрировали имя. Для доменных имен NetBIOS датаграмма реализована в качестве сообщения mailslot. Для доменных имен DNS datagram реализован в качестве поиска по протоколу UDP LDAP. (UDP — это транспортный протокол без подключения к данным, который входит в набор протоколов TCP/IP. TCP — это транспортный протокол, ориентированный на подключение.)

Каждый доступный контроллер домена отвечает на гистограмму, чтобы указать, что он в настоящее время работает, и возвращает сведения dsGetDcName.

UDP позволяет программе на одном компьютере отправлять данные в программу на другом компьютере. UDP включает номер порта протокола, который позволяет отправителю различать несколько назначений (программ) на удаленном компьютере.

• Каждый доступный контроллер домена отвечает на гистограмму, чтобы указать, что он в настоящее время работает, и возвращает сведения dsGetDcName.
• Служба Netlogon кэшетет данные контроллера домена, чтобы последующие запросы не повторяли процесс обнаружения. Кэшинг этих сведений способствует согласованному использованию одного контроллера домена и согласованному представлению Active Directory.

Когда клиент входит в сеть или присоединяется к ней, он должен иметь возможность найти контроллер домена. Клиент отправляет запрос поиска DNS в DNS для поиска контроллеров домена, предпочтительно в собственной подсети клиента. Таким образом, клиенты находят контроллер домена, запрашивая запись формы в DNS:

После того как клиент находит контроллер домена, он устанавливает связь с помощью LDAP для получения доступа к Active Directory. В рамках этого согласования контроллер домена определяет сайт, на котором находится клиент, на основе IP-подсети этого клиента. Если клиент общается с контроллером домена, который находится не на ближайшем (оптимальном) сайте, контроллер домена возвращает имя сайта клиента. Если клиент уже попытался найти контроллеры домена на этом сайте (например, когда клиент отправляет запрос поиска DNS в DNS для поиска контроллеров домена в подсети клиента), клиент использует не оптимальный контроллер домена. В противном случае клиент снова выполняет DNS-подыском для конкретного сайта с новым оптимальным именем сайта. Контроллер домена использует некоторые сведения службы каталогов для идентификации сайтов и подсетей.

После того как клиент находит контроллер домена, запись контроллера домена кэшется. Если контроллер домена находится не на оптимальном сайте, клиент очищает кэш через 15 минут и удаляет запись кэша. Затем он пытается найти оптимальный контроллер домена на том же сайте, что и клиент.

После того как клиент установит путь для связи с контроллером домена, он может установить учетные данные для входа и проверки подлинности, а при необходимости для компьютеров с Windows настроить безопасный канал. После этого клиент готов к выполнению обычных запросов и поиску информации по каталогу.

Клиент устанавливает подключение LDAP к контроллеру домена для входа. При этом используется диспетчер учетных записей безопасности. Так как путь связи использует интерфейс LDAP, а клиент проходит проверку подлинности контроллером домена, учетная запись клиента проверяется и передается через диспетчер учетных записей безопасности агенту службы каталогов, затем на уровень базы данных и, наконец, в базу данных в ESE.

Устранение неполадок процесса локатора домена

Для устранения неполадок процесса локатора домена:

Проверьте просмотр событий как на клиенте, так и на сервере. Журналы событий могут содержать сообщения об ошибках, указывающие на проблему. Чтобы просмотреть программу просмотра событий, нажмите кнопку «Начните», выберите пункты «Программы», «Администрирование» и «Просмотр событий». Проверьте системный журнал как на клиенте, так и на сервере. Кроме того, проверьте журналы службы каталогов на сервере и журналы DNS на DNS-сервере.

Проверьте конфигурацию IP-адресов с ipconfig /all помощью команды в командной подсказке.

Используйте с помощью средства Ping проверку сетевого подключения и разрешения имен. Ping both the IP address and the server name. Кроме того, может потребоваться проавнозовка имени домена.

Используйте средство Netdiag, чтобы определить, правильно ли работают сетевые компоненты. Чтобы отправить подробные выходные данные в текстовый файл, используйте следующую команду:

netdiag /v >test.txt
Просмотрите файл журнала, найдите проблемы и изучите все замещобные компоненты. Этот файл также содержит другие сведения о конфигурации сети.

Для устранения незначительных проблем используйте средство Netdiag со следующим синтаксис: netdiag /fix .

Используйте эту команду, чтобы убедиться, что контроллер домена может быть nltest /dsgetdc:domainname расположен для определенного домена.

С помощью средства NSLookup проверьте правильность регистрации записей DNS в DNS. Убедитесь, что можно разрешить записи сервера и записи SRV GUID.

Например, чтобы проверить регистрацию записей, используйте следующие команды:
nslookup servername. childofrootdomain. rootdomain.com
nslookup guid._msdcs. rootdomain.com

Если любая из этих команд не будет успешной, используйте один из следующих методов для повторной регистрации записей в DNS:

• Чтобы принудительно зарегистрировать запись хоста, введите ipconfig /registerdns.
• Чтобы принудительно зарегистрировать службу контроллера домена, остановите и запустите службу Netlogon.

Чтобы обнаружить проблемы с контроллером домена, запустите совкорпную программа DCdiag из командной подсказки. Программа выполняет ряд тестов для проверки правильности работы контроллера домена. Используйте эту команду для отправки результатов в текстовый файл: dcdiag /v >dcdiag.txt

Используйте средство Ldp.exe для подключения и привязки к контроллеру домена для проверки правильности подключения LDAP.

Если вы подозреваете, что у определенного контроллера домена возникли проблемы, может быть полезно включить ведение журнала отлаки Netlogon. Для этого введите команду: nltest /dbflag:0x2000ffff . Затем эти сведения регистрируются в папке Debug в файле Netlogon.log.

Если проблема не изолируется, используйте сетевой монитор для отслеживания сетевого трафика между клиентом и контроллером домена.

Ссылки

Дополнительные сведения см. в комплекте ресурсов Windows, главе 10 «Диагностика, устранение неполадок и восстановление Active Directory».

В настоящей статье мы подробно рассмотрим процесс развёртывания контроллера домена на на базе Windows Server 2016, а также процесс настройки служб AD DS и DNS.

Первое, что необходимо сделать, это подготовить систему для развертывания служб.

Для этого устанавливаем операционную систему Windows Server 2016 и обновляем её до актуального состояния.

Следующий шаг, это изменяем имя сервера. Для этого идём в Диспетчер серверов и переходим на вкладку Локальный сервер. Кликаем по имени компьютера.

В появившемся окне жмём Изменить

И изменяем имя на своё (например BEARNET_DC1)

Жмём ОК! Система затребует перезагрузку. Жмём Перезагрузить позже.

Следующий шаг, это указать статические IP-адреса в настройках TCP/IP и изменить настройки временной зоны на относящуюся к нам.

Для этого всё в том же Диспетчере серверов кликаем по настройкам сетевой карты и часовому поясу.

Примеры настройки TCP/IP и временной зоны:

На этом первоначальная подготовка система закончена, перезагружаем сервер и можно приступать к развертыванию служб.

Приступим к развертыванию служб Active Directory и DNS.

Добавляем новую роль на сервере. Для этого идём в Диспетчер серверов и на вкладке панель мониторинга кликаем Добавить роли и компоненты.

В появившемся окне жмём Далее.

Выбираем первый пункт Установка ролей и компонентов и жмём Далее

В следующем окне выбираем сервер на котором будет развёрнута роль. Жмём Далее.

Галочкой отмечаем роль Доменные службы Active Directory и в подтверждающем запросе мастера добавления ролей и компонентов жмём Добавить компоненты. Жмём Далее.

В следующем окне система предлагает выбрать дополнительные компоненты. В моём случае в этом нет необходимости. Жмём Далее.

Следующее окно является информационным. на нём наше внимание обращается на то что желательно иметь по два контролера домена в каждом домене. Также здесь говорится о том что службы Active Directory требуют наличие установленного в сети DNS-сервера, если он не установлен, то будет предложено его установить. Жмём Далее.

На завершающей странице мастера жмём Установить.

После завершения установки Роли, в Диспетчере серверов кликаем по значку Флажка с восклицательным знаком и выбираем Повысить роль этого сервера до уровня контроллера домена.

Далее открывается окно Мастера настройки доменных служб Active Directory где необходимо выбрать вариант развёртывания контроллера домена. Выбираем добавить новый лес и указываем корневое имя домена. Жмём Далее.

В параметрах контролера домена оставляем всё по умолчанию, задаём пароль для восстановления служб каталогов (DSRM). Проверяем наличие галочки в пункте DNS-сервер, она необходима для автоматического поднятия роли DNS.

В параметрах DNS оставляем всё по умолчанию. На ошибку делегирования не обращаем внимание, т.к. роль DNS поднимается в процессе конфигурации контроллера домена. Жмём Далее.

Следующие три окна просто жмём Далее.

Дожидаемся окончания проверки готовности к установке. После сообщения мастера об успешной проверке жмём Установить.

В ходе установки конфигурации Контроллера домена, сервер будет перезагружен. После того, как сервер перезагрузился добавим в DNS зону обратного просмотра. Зоны обратного просмотра служат для разрешения IP-адресов в имена устройств.

В Диспетчере серверов кликаем по кнопке Средства и вападающем списке выбираем DNS.

В диспетчере DNS выделяем вкладку Зоны обратного просмотра, кликаем правой кнопкой мыши и выбираем Создать новую зону.

В мастере создания новой зоны выбираем тип добавляемой зоны. Выбираем Основная зона и жмём Далее.

Далее предлагается выбрать каким образом будет выполняться репликация добавляемой зоны. Выбираем Для всех DNS-серверов, работающих на контролерах домена в этом домене.

В следующем окне выбираем Зону обратного просмотра IPv4 и жмём Далее.

Далее задаём Идентификатор сети. В моём варианте это 192.168.1. Жмём Далее.

В следующем окне выбираем Разрешить любые динамические обновления и жмём Далее.

В завершении мастера создания новой зоны жмём Готово.

На следующем этапе укажем Сервера пересылки. Они необходимы для того чтобы кэшировать и перенаправлять DNS-запросы с локального DNS-сервера на внешний DNS-сервер в сети интернет. Это необходимо для того чтобы локальные компьютеры доменной сети смогли получить доступ в интернет.

В диспетчере DNS выделяем наш сервер и кликаем правой кнопкой мыши. В Выпадающем меню выбираем свойства

далее переходим во вкладку Сервер пересылки и жмём кнопку Изменить.

В редакторе серверов пересылки вводим IP-адрес или DNS имя провайдера или например DNS Google (8.8.8.8). Жмём ОК.

Контроллер домена развёрнут и настроен. Можно добавлять компьютеры в домен.