Как посмотреть к какому домену подключен компьютер
Сообщения: 100
Благодарности: 4
Есть 3 сервера,как узнать какой из них главный (первичный),а какие вторичные контроллеры домена.
Сообщения: 362
Благодарности: 11
Могу ошибатсья но вроде так.
Главным конроллером является тот, кому принадлежат роли Master
посмотреть это можно при в оснастке dsa.msc
встать на значек с именем своего Домена, щелкнуть второй мышкой и в меню выбрать Operations Masters.
в появившемся окне на Трех закладках будет указан, какой именно Контроллер домена в данный момент является Мастером в выполнении функций.
Как контроллеры домена находятся в Windows
В этой статье описывается механизм, используемый Windows для поиска контроллера домена в домене под управлением Windows.
Эта статья относится к Windows 2000. Поддержка Windows 2000 заканчивается 13 июля 2010 г. Центр решений для завершения поддержки Windows 2000 — это отправная точка для планирования стратегии миграции с Windows 2000. Дополнительные сведения см. в служба поддержки Майкрософт жизненного цикла.
Применимо к: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2
Исходный номер базы знаний: 247811
Аннотация
В этой статье подробно описан процесс поиска домена по его DNS-имени и имени в плоском стиле (NetBIOS). Имя в плоском стиле используется для обеспечения обратной совместимости. Во всех остальных случаях имена в стиле DNS следует использовать в качестве политики. В этой статье также рассматривается устранение неполадок с расположением контроллера домена.
Как указатель находит контроллер домена
Эта последовательность описывает, как указатель находит контроллер домена:
- На клиенте (компьютере, на котором находится контроллер домена) указатель запускается как удаленный вызов процедуры (RPC) к локальной службе Netlogon. Вызов интерфейса API приложения Locator DsGetDcName реализуется службой Netlogon.
- Клиент собирает сведения, необходимые для выбора контроллера домена. Затем он передает сведения в службу Netlogon с помощью вызова DsGetDcName.
- Служба Netlogon на клиенте использует собранные сведения для поиска контроллера домена для указанного домена одним из двух способов:
- Для DNS-имени Netlogon запрашивает DNS с помощью указателя, совместимого с IP/DNS. То есть DsGetDcName вызывает вызов DnsQuery для чтения записей ресурса службы (SRV) и записей «A» из DNS после добавления доменного имени к соответствующей строке, которая указывает записи SRV.
- Рабочая станция, которая выполняет вход в домен под управлением Windows, запрашивает DNS для записей SRV в общей форме:
_service._protocol.DnsDomainNameСерверы Active Directory предлагают службу протокола LDAP по протоколу TCP. Таким образом, клиенты могут найти сервер LDAP, запросив DNS для записи формы:
_ldap._tcp. DnsDomainName
UDP позволяет программе на одном компьютере отправлять датаграмму в программу на другом компьютере. UDP включает номер порта протокола, который позволяет отправитему различать несколько назначений (программ) на удаленном компьютере.
- Каждый доступный контроллер домена отвечает на датаграмму, чтобы указать, что он в настоящее время работает, и возвращает сведения в DsGetDcName.
- Служба Netlogon кэширует сведения о контроллере домена, чтобы последующие запросы не повторяли процесс обнаружения. Кэширование этих сведений способствует согласованному использованию одного контроллера домена и согласованному представлению Active Directory.
Когда клиент подключается к сети или присоединяется к ней, он должен иметь возможность найти контроллер домена. Клиент отправляет запрос поиска DNS в DNS для поиска контроллеров домена, предпочтительно в собственной подсети клиента. Таким образом, клиенты могут найти контроллер домена, запросив DNS для записи формы:
_LDAP._TCP.dc._msdcs.domainnameКогда клиент находит контроллер домена, он устанавливает связь с помощью LDAP для получения доступа к Active Directory. В рамках этого согласования контроллер домена определяет, на каком сайте находится клиент, на основе IP-подсети этого клиента.
Если клиент взаимодействует с контроллером домена, который находится не на ближайшем (оптимальном) сайте, контроллер домена возвращает имя сайта клиента. Если клиент уже пытался найти контроллеры домена на этом сайте, клиент использует неоптимальным контроллер домена. Например, клиент отправляет запрос подстановки DNS в DNS для поиска контроллеров домена в подсети клиента.
В противном случае клиент снова выполняет поиск DNS для конкретного сайта с новым оптимальным именем сайта. Контроллер домена использует некоторые сведения о службе каталогов для идентификации сайтов и подсетей.
Когда клиент находит контроллер домена, запись контроллера домена кэшируется. Если контроллер домена не является оптимальным сайтом, клиент очищает кэш через 15 минут и удаляет запись кэша. Затем он пытается найти оптимальный контроллер домена на том же сайте, что и клиент.
После того как клиент устанавливает путь связи к контроллеру домена, он может установить учетные данные для входа и проверки подлинности. При необходимости для компьютеров под управлением Windows можно настроить безопасный канал. Затем клиент готов выполнять обычные запросы и искать сведения в каталоге.
Клиент устанавливает подключение LDAP к контроллеру домена для входа в систему. В процессе входа используется диспетчер учетных записей безопасности. В пути связи используется интерфейс LDAP, а проверка подлинности клиента выполняется контроллером домена. Таким образом, учетная запись клиента проверяется и передается через диспетчер учетных записей безопасности агенту службы каталогов, а затем на уровень базы данных и, наконец, в базу данных в подсистеме расширяемого хранилища (ESE).
Устранение неполадок процесса указателя домена
Чтобы устранить неполадки с процессом указателя домена:
- Проверьте Просмотр событий как на клиенте, так и на сервере. Журналы событий могут содержать сообщения об ошибках, указывающие на наличие проблемы. Чтобы просмотреть Просмотр событий, нажмите кнопку «Пуск», наведитеуказатель мыши > на средства администрированияпрограмм, а затем выберите Просмотр событий. Проверьте системный журнал как на клиенте, так и на сервере. Также проверьте журналы службы каталогов на сервере и журналы DNS на DNS-сервере.
- Проверьте IP-конфигурацию с помощью команды ipconfig /all в командной строке.
- Используйте служебную программу проверки связи для проверки сетевого подключения и разрешения имен. Проверьте связь как с IP-адресом, так и с именем сервера. Кроме того, может потребоваться проверка связи с доменным именем.
- Используйте средство Netdiag, чтобы определить, правильно ли работают сетевые компоненты. Чтобы отправить подробные выходные данные в текстовый файл, используйте следующую команду: netdiag /v >test.txt
Просмотрите файл журнала, найдите проблемы и изучите все компоненты, в которые они были вовлечены. Этот файл также содержит другие сведения о конфигурации сети. - Чтобы устранить незначительные проблемы, используйте средство Netdiag со следующим синтаксисом: netdiag /fix .
- Используйте команду nltest /dsgetdc:domainname , чтобы убедиться, что контроллер домена может быть расположен для определенного домена.
- Используйте средство NSLookup , чтобы убедиться, что записи DNS правильно зарегистрированы в DNS. Убедитесь, что записи узла сервера и записи SRV GUID можно разрешить. Например, чтобы проверить регистрацию записей, используйте следующие команды:
nslookup servername. childofrootdomain. rootdomain.com
nslookup guid._msdcs. rootdomain.com - Если одна из этих команд не выполняется, используйте один из следующих методов для повторной регистрации записей с помощью DNS:
- Чтобы принудительно зарегистрировать запись узла, введите ipconfig /registerdns.
- Чтобы принудительно выполнить регистрацию службы контроллера домена, остановите и запустите службу Netlogon.
- Чтобы обнаружить проблемы с контроллером домена, запустите служебную программу DCdiag из командной строки. Служебная программа выполняет множество тестов, чтобы убедиться, что контроллер домена работает правильно. Используйте следующую команду для отправки результатов в текстовый файл: dcdiag /v >dcdiag.txt
- Используйте средство Ldp.exe для подключения и привязки к контроллеру домена для проверки соответствующего подключения LDAP.
- Если вы подозреваете, что у определенного контроллера домена возникли проблемы, может оказаться полезным включить ведение журнала отладки Netlogon. Используйте служебную программу NLTest, введя следующую команду: nltest /dbflag:0x2000ffff . Затем эти сведения регистрируются в папке «Отладка» в файле Netlogon.log.
- Если вы еще не изолируете проблему, используйте сетевой монитор для мониторинга сетевого трафика между клиентом и контроллером домена.
Ссылки
Дополнительные сведения см. в разделе «Windows Resource Kit, Chapter 10, «Active Directory Diagnostic, Troubleshooting, and Recovery».
Как определить какой контроллер домена вас аутентифицировал
Добрый день! Уважаемые читатели и гости IT блога Pyatilistnik.org. В данной статье, я хочу рассказать, как определить какой контроллер домена вас аутентифицировал. Иногда бывают ситуации, что нужно понять, данную информацию, для поиска проблем. Приведу простой пример, на пользователя была применена политика, которую я отключил на одном из контроллеров, через какое-то время, пользователь обратился, все стем же вопросом, выяснилось, что на другом DC, бала та же политика, отключив ее, все решилось, и в этом помогла информации, о том, кто его аутентифицировал.
- Открываем cmd и пишем в ней волшебную команду.
set
И видим, очень информативную выборку.
Как определить какой контроллер домена вас аутентифицировал
Или без лишней воды
set logon
- Второй метод определения контроллера домена, который проверил является использование команды:
nltest /dsgetdc:имя домена
- Третий метод вычисления контроллера домена, через который вы прошли аутентификацию, является использование старой, проверенной команды:
echo %logonserver%
Вот такая простоя, но очень полезная команда, и у нее еще очень много полезных функций. С вами был Иван Семин, автор и создатель IT блога pyatilistnik.org.
Популярные Похожие записи:
- Контроллер домена грузится в Safe Mode
- Исправляем Error issuing replication: 8452 (0x2104)
- Ошибка NETLOGON 5719: Перестал отвечать дочерний домен
- Ошибка репликации (2148074274) The target principal name is incorrect
- Ошибка при установке контроллера домена: Verification of prerequisites for Domain Controller promotion failed
- Просмотр и очистка DFS кэша
Определить на каком контроллере домена (Logon Server) вы аутентифицировались
05.03.2022
itpro
Active Directory, Windows 10, Windows Server 2019
Комментариев пока нет
В некоторых случаях вам нужно определить на каком контроллере домена вы аутентифицированы (ваш logonserver). Это может пригодиться при проблемах с применением групповых политик, когда пользователи жалуются на медленный вход в систему. Пользователь может аутентифицироваться на неверном контроллере домена из-за того, что ближайший к нему DC не доступен, доступ к нему блокируется межсетевым экраном, неверной настройки подсетей и сайтов в Active Directory или проблемами с DNS. В результате пользователь может получать все GPO, скрипты, и т.д., не с ближайшего контроллера домена, а с любого другого DC. Это может привести к долгому применению GPO, медленной установке программ, медленной загрузки перемещаемых профилей или файлов в перенаправленных папках.
Как узнать на каком контроллере домена вы залогинены?
Вы можете узнать контроллер домена, через который вы выполнили вход в домен несколькими способами:
-
- Из командной строки: set log
LOGONSERVER=\\MSK-DC02
- Из результатов команды: systeminfo | find /i “logon server”
- Из переменного окружения: echo %logonserver%
- Значение переменной окружения можно получить и с помощью PowerShell: $env:LOGONSERVER
- В результатах команды gpresult /r:
Group Policy was applied from: DC02
Если вы вошли на компьютер под локальной учетной записью, то вместо имени контроллера домена в переменной LogonServer будет указано имя вашего компьютера.
Зная контроллер домена, можно различную информацию о пользователя из журналов безопасности DC (например, историю входов пользователя в домен и другие логи).
Можно автоматически записывать информацию, на каком контроллере домена авторизовался пользователь в описание компьютера в AD. Так можно узнать LogonServer для конкретного компьютера из AD, не обращаясь к конкретному компьютеру по сети или локально.
Как Windows определяет ближайший контроллер домена?
За определение LogonServer при загрузке Windows отвечает служба NetLogon. Она должны быть запущена:
Упрощенно процесс поиска контроллера домена клиентом Windows выглядит так:
- При загрузке Windows служба NetLogon делает DNS запрос за списком контроллеров домена (SVR записи _ldap._tcp.dc._msdcs.domain_ ;
- DNS возвращает список DC в домене;
- Клиент делает LDAP запрос к DC для определения сайта AD по-своему IP адресу;
Вы можете переключить ваш компьютер на другой контроллер домена AD вручную с помощью команды:
Flags: 30 HAS_IP HAS_TIMESERV Trusted DC Name \\MSK-DC02.winitpro.ru Trusted DC Connection Status Status = 0 0x0 NERR_Success The command completed successfully
Если указанный DC не доступен, появится ошибка:
I_NetLogonControl failed: Status = 1311 0x51f ERROR_NO_LOGON_SERVERS
Если ни один из контроллеров домена не доступен, или компьютер отключен от сети, то при входе пользователя появится надпись:
There are currently no logon servers available to service the logon request.
Найти ближайший к вам контроллер домена согласно иерархии сайтов, подсетей и весов можно с помощью командлета Get-ADDomainController из модуля Active Directory для PowerShell:
Get-ADDomainController -Discover -NextClosestSite
Так вы сможете определить имя контроллера домена, через который должен аутентифицироваться компьютер. Если он отличается от текущего, нужно понять почему.
Предыдущая статья Следующая статья 
Читайте далее в разделе Active Directory Windows 10 Windows Server 2019
Настройка двухфакторной аутентификации (2FA) в Windows с помощью MultiOTP
Настройка перенаправления папок пользователей в AD с помощью GPO
Как изменить имя (переименовать) домен Active Directory?
Групповые политики: запуск скрипта только один раз