域控制器是指在“域”模式下，至少有一臺服務器負責每一臺聯(lián)入網(wǎng)絡的電腦和用戶的驗證工作，包含了由這個域的賬戶、密碼、屬于這個域的計算機等信息構(gòu)成的數(shù)據(jù)庫。在WindowsXP中如何定位并登錄域控制器，具體內(nèi)容如下所述。

下面介紹如何用定位器查找域控制器：

在客戶機（搜索域控制器的計算機）上，定位器的啟動是以對本地Netlogon服務執(zhí)行遠程過程調(diào)用(RPC)的形式執(zhí)行的。定位器DsGetDcName應用程序編程接口(API)調(diào)用是通過Netlogon服務實現(xiàn)的。

客戶機收集在選擇一個域控制器時所需的信息，并使用DsGetDcName調(diào)用將這些信息傳遞到Netlogon服務。

客戶機上的Netlogon服務使用收集的這些信息從一個域控制器中查找指定的域，采用的是下面兩種方法之一：

對于DNS名稱，Netlogon通過使用IP/DNS兼容定位器查詢DNS--即在DNS將域名附加到指定SRV記錄的適當?shù)淖址?，DsGetDcName調(diào)用DnsQuery調(diào)用從DNS讀取“服務資源”(SRV)記錄和“A”記錄。

登錄到基于Windows的域的工作站向DNS查詢一般形式的SRV記錄：_service._protocol.DnsDomainName

ActiveDirectory服務器通過TCP協(xié)議提供“輕量目錄訪問協(xié)議”(LDAP)服務。因此，客戶機通過向DNS查詢以下形式的一條記錄找到一個LDAP服務器：_ldap._tcp.DnsDomainName

對于NetBIOS名稱，Netlogon通過使用MicrosoftWindowsNT4.0版兼容定位器來執(zhí)行域控制器發(fā)現(xiàn)（即通過使用特定于傳輸?shù)臋C制，例如WINS）。在WindowsNT4.0及更早版本中，“discovery”是在主域或受信域中用于定位一個用于身份驗證的域控制器的過程。

Netlogon服務將一個數(shù)據(jù)報發(fā)送到注冊該名稱的計算機。對于NetBIOS域名，數(shù)據(jù)報是作為一個mailslot消息實現(xiàn)的。對于DNS域名，數(shù)據(jù)報是作為一個LDAP用戶數(shù)據(jù)報協(xié)議(UDP)搜索實現(xiàn)的。（UDP是無連接數(shù)據(jù)報傳輸協(xié)議，它是TCP/IP協(xié)議組的一部分。TCP是一個面向連接的傳輸協(xié)議。）

每個可用的域控制器都響應此數(shù)據(jù)報，表明它當前處于運行狀態(tài)，并將該信息返回到DsGetDcName。Netlogon服務緩存域控制器信息，以便后續(xù)請求不必重復此發(fā)現(xiàn)過程。緩存此信息有利于保證使用同一域控制器時的一致性和ActiveDirectory視圖的一致性。

當一個客戶機登錄或加入網(wǎng)絡時，它必須能夠找到一個域控制器。此客戶機向DNS發(fā)送一個“DNS查找”查詢以搜索域控制器，并優(yōu)先在當前子網(wǎng)內(nèi)查詢。因此，客戶機通過向DNS查詢以下形式的一條記錄找到一個域控制器：_LDAP._TCP.dc._msdcs.domainname

在客戶機找到一個域控制器后，它將使用LDAP建立通訊，以獲得對ActiveDirectory的訪問權(quán)。作為此協(xié)商的一部分，域控制器根據(jù)客戶機的IP子網(wǎng)來確定此客戶機所在的站點。如果此客戶機正在與一個不在最近（最佳）站點的域控制器通訊，此域控制器將返回此客戶機的站點名稱。

如果此客戶機已經(jīng)嘗試在此站點中查找域控制器（例如，當客戶機向DNS發(fā)送“DNS查找”查詢以在此客戶機的子網(wǎng)內(nèi)查找域控制器時），則此客戶機將使用這個并非最佳的域控制器。否則，此客戶機將使用此新的最佳站點名稱重新執(zhí)行一個特定于站點的DNS查找。

域控制器使用一些目錄服務信息來標識站點和子網(wǎng)。在客戶機找到一個域控制器后，此域控制器的條目將被緩存。如果此域控制器不在最佳站點，此客戶機在十五分鐘后將刷新緩存并丟棄緩存條目。然后它將嘗試在它自己所在的站點內(nèi)查找一個最佳的域控制器。在客戶機建立到域控制器的通訊路徑之后，它就可以建立登錄和身份驗證憑證，而且，對于基于Windows的計算機，在必要時還可以建立一個安全通道。然后此客戶機就可以在目錄中執(zhí)行常規(guī)查詢和搜索信息了?？蛻魴C建立一個到域控制器的LDAP連接以便登錄。此登錄過程要使用“安全帳戶管理器”。因為通訊路徑使用了LDAP接口，且此客戶機是由一個域控制器進行身份驗證的，所以此客戶帳戶在得到驗證后通過“安全帳戶管理器”傳遞到目錄服務代理，然后到數(shù)據(jù)庫層，最后到“可擴展存儲引擎”(ESE)中的數(shù)據(jù)庫。

希望本文介紹的在Windows XP中如何定位并登錄域控制器的方法能夠?qū)ψx者有所幫助，更多有關域控制器的內(nèi)容還需要讀者去探索和學習。

【編輯推薦】

1. 在RHEL4系統(tǒng)中如何搭建主域控制器？
2. windows 2000域控制器診斷工具簡介
3. 域控制器與成員服務器以及獨立服務器簡介
4. 利用域控制器中的組策略給客戶打補丁的方法
5. Windows 2000域控制器中用戶、組、共享資源的管理