我发现在我的 Active Directory(Windows 2003 Interm)中,有 4 个 DC,每个都是一个 GLOBAL CATALOG SERVER。所以理论上任何人都应该能够对用户进行身份验证。
我们的 XP 客户端有一个冗长的 HOSTS 和 LMHOSTS 文件(它们都是相同的条目)
我担心的是我的一台 AD 服务器(持有 PDC 角色的服务器)出现问题,并且它关闭了几个小时,我认为 HOSTS/LMHOSTS 中的条目对我的问题没有帮助。我能够将这个服务器的角色换成一个替代的角色,尽管一些 XP 系统仍然不想玩得很好。
192.168.1.2 "BDC_NT \0x1b" #PRE 192.168.1.2 AD-PDC #PRE #DOM:BDC_NT
192.168.1.3 AD-BDC1 #PRE #DOM:BDC_NT
192.168.1.4 AD-BDC2 #PRE #DOM:BDC_NT
192.168.1.5 AD -BDC3 #PRE #DOM:BDC_NT
当第一行的条目引用的服务器是离线时的服务器时,这些条目是否会妨碍用户连接到服务器和使用全局目录进行身份验证的能力?看起来这会覆盖网络上的一些(如果不是全部)其他域控制器,并导致尝试登录系统的人出现问题。
我是接近还是偏离这个基础?我一直是那种保持非常干净的 HOSTS 和 LMHOSTS 文件并让 DNS 和 WINS 负责解决问题的类型,以便系统可以在这种情况下进行更改。
你为什么首先使用 hosts/lmhosts 文件?那只是在乞求问题。如果您的 AD 域是本地的,您应该丢失这些文件并让 DNS 来处理。
即使它不是本地的,如果您的 PC 已加入域,那么几乎没有理由拥有一个很大的长主机/lmhosts 文件,其中包含与域相关的条目,它们是所有域的共同成员。
上次我不得不使用 LMHOSTS 是在我们遇到不可靠的 WINS 服务器的严重问题时,为 NT 系统启用跨子网的 NETBIOS 登录。我根本看不出有任何理由在带有 XP 客户端的 W2K3 域上的 LMHOSTS 中有任何条目。当您必须对 DC 进行任何维护时(如您所见),#DOM #PRE 条目确实会干扰 XP 客户端。
如果您有 DNS 服务器,则没有任何理由拥有主机文件。单独使用主机文件可能存在一些争论,但从系统管理员的角度来看,您真的不想担心管理它们的麻烦,尤其是在客户端 PC 上。主机文件也只处理名称解析,因此如果实际 DNS 失败,它们在域上下文中没有用处,无法处理支持域登录所需的 SRV 查询。
简而言之,如果您有一个可操作的 WINS 基础结构和一个 Windows 2000(或更新)域,并且您的所有客户端都是 Windows 2000(或更新),那么您不应该使用主机或 lmhosts 文件。
仍然有很多理由使用 LMHOST 文件,但它实际上可以完全替代资源密集型的 WINS 服务器。在 SMB 空间中,如果您的硬件动力不足,则可能需要这样做。如果您仔细查看默认文件,它会告诉您 Hashtags 定义了条目的外观:
10.XX32 BIGSERVER #DOM:Domain1 应该允许您解析 netbios 名称。10.XX33 BIGSERVER #DOM:acme.com 应该允许您解析树名。
对于正常的 WINS/DNS 信息。 然而,一般来说,您必须拥有正确的 WINS 地址,因此主/次域控制器应该是您的 DNS 和 WINS 第一行条目。WINS 服务器是必需的,它通常与 DNS 无关,但如果 DNS 服务器和 WINS 服务器是同一个 IP,那么您有 95% 的成功机会。
干杯,斯图尔特。