Назад | Перейти на главную страницу

Компьютерная аутентификация с неправильным DC… вроде как

У меня есть сценарий входа в систему, который использует переменную среды LOGONSERVER. У меня несколько удаленных офисов. В каждом офисе есть один файловый сервер / контроллер домена, и каждый офис является отдельным сайтом. Поэтому, когда пользователь входит в офис, он должен пройти аутентификацию с помощью этого контроллера домена.

Проблема, с которой я столкнулся, заключается в том, что некоторые компьютеры в офисе (не все) будут проходить аутентификацию со случайным DC из другого офиса в некоторые дни, но в некоторые дни это будет нормально. Так, например, парень входит в офис 16, он должен аутентифицироваться с помощью SERVER16, однако он аутентифицирован с помощью SERVER13. Когда я проверил средство просмотра событий на его компьютере, я увидел, что время синхронизировано с правильным сервером (SERVER16), однако его диски сопоставлены с SERVER13, и при запуске set из командной строки он показывает его LOGONSERVER как SERVER13.

Итак, как компьютер может синхронизировать время с правильным контроллером домена для своего сайта, но при этом аутентифицироваться с сервером на другом сайте? Я проверил сайты и службы AD и DNS. У каждого сайта есть только один DC, правильный, и записи сайта DNS для каждого сайта верны. По всей логике, нет причин, по которым это должно происходить, если только я чего-то не упускаю. Кроме того, мы используем смешанную среду Windows 2003/2008, и не имеет значения, на какой платформе находится сервер.

На самом деле это встречается чаще, чем вы думаете. Проверьте следующее, чтобы узнать, помогает ли это:

Как заставить машины на сайте AD проходить аутентификацию с помощью GC на их собственном сайте

Мы видели это по нескольким причинам:

  1. DNS / WINS неправильно настроен на клиентах. Убедитесь, что у них нет вторичного сервера DNS / WINS, который не находится в их локальной сети.
  2. Убедитесь, что стоимость ссылок выше, чем по умолчанию в AD Sites and Services. Если это не так, а локальный контроллер домена занят, удаленные контроллеры домена могут ответить раньше, потому что стоимость канала установлена ​​достаточно низкой, чтобы он считал, что должен отвечать как ближайший контроллер домена.