Назад | Перейти на главную страницу

Какие протоколы используются, когда машина присоединяется к домену Windows?

Я пытаюсь понять, что именно происходит, когда машина добавляется в домен. После ввода имени домена: 1) Какой протокол использует машина, чтобы определить, какой контроллер домена использовать? 2) Как ищется доменное имя? Пример: домен настроен как dc = company, dc = com, но домен "Windows" - COMPA. Каким-то образом эти имена соотносятся друг с другом.

Я знаю, что Active Directory и DNS тесно интегрированы, но я не совсем понимаю детали. Каков лучший источник информации о технических деталях. Большая часть того, что я могу найти, говорит вам, КАК это сделать, но не то, что происходит под покровом.

Здесь задействовано много DNS.

Вот рабочий процесс, когда рабочей станции дается имя NetBIOS для присоединения (COMPA в вашем примере)

  1. Проверяет свой кэш преобразователя, чтобы убедиться, что COMPA уже решена.
  2. Выполняет поиск в DNS для "COMPA" без какого-либо домена, чтобы узнать, нашел ли его DNS-сервер.
  3. Выполняет поиск в DNS для "COMPA" с различными доменами в списке поиска DNS.
  4. (если он у вас есть) Выполняет поиск WINS, чтобы узнать, существует ли COMPA как рабочая группа или домен.
  5. Проверяет список просмотра сети, чтобы увидеть, виден ли домен COMPA.

Как только он находит контроллер домена, он запрашивает его имя AD DNS. Затем,

  1. Проверяет DNS на наличие записей SRV для контроллеров домена company.com

Сравните это с рабочим процессом для стиля имени DNS (company.com в вашем примере)

  1. Проверяет DNS на наличие записей SRV для контроллеров домена company.com
  2. Запрашивает в DNS записи SRV, относящиеся к сайтам AD домена.

Намного короче. После того, как он определил контроллеры домена в домене, он затем использует учетные данные, предоставленные пользователем домена, чтобы попытаться связаться с DC. Это может произойти с любым из протоколов безопасности, используемых AD:

  • LanMan (LM)
  • NTLM
  • NTLMv2
  • Kerberos

Точный протокол согласовывается между рабочей станцией и контроллером домена. Если не удается согласовать общий протокол, рабочая станция не может быть доменной.

1) Какой протокол использует машина, чтобы определить, какой контроллер домена использовать?

DNS. В частности Записи DNS SRV.

2) Как ищется доменное имя?

Вы указываете доменное имя в процессе присоединения к домену, и Windows знает, какие запросы к SRV-записи необходимо отправить, чтобы получить имя / IP-адрес контроллера домена.

После того, как DC будет расположен, будет поток другого трафика. Некоторые CIFS, некоторые Kerberos и, возможно, еще несколько необходимы для установления доверительных отношений, передачи объектов групповой политики и т. Д. Вы, вероятно, найдете очень интересным запустить Wireshark и выполнить захват пакета процесса присоединения к домену. Из-за шифрования вы не сможете увидеть фактическую полезную нагрузку пакета, но вы воля иметь возможность видеть номера портов и относительные объемы данных.

Процесс определения домена по существу одинаков, независимо от того, присоединяется ли клиентский компьютер к домену или входит в домен, подробно описано здесь:

http://support.microsoft.com/kb/247811

В этой статье подробно рассказывается, как DNS поддерживает AD:

http://technet.microsoft.com/en-us/library/cc759550(WS.10).aspx