我有一个使用 LOGONSERVER 环境变量的登录脚本。我有几个远程办公室。每个办公室都有一个文件服务器/DC,每个办公室都是自己的站点。因此,当用户登录办公室时,他们应该使用该域控制器进行身份验证。
我一直看到的问题是办公室中的某些计算机(不是全部)有时会使用来自另一个办公室的随机 DC 进行身份验证,但有时会很好。例如,一个人登录到办公室 16,他应该使用 SERVER16 进行身份验证,但是他使用 SERVER13 进行了身份验证。当我在他的计算机上检查事件查看器时,我可以看到时间与正确的服务器 (SERVER16) 同步,但是他的驱动器映射到 SERVER13,当从命令提示符运行 set 时,它显示他的 LOGONSERVER 为 SERVER13。
那么,计算机如何将时间与其站点的正确 DC 同步,但仍与不同站点中的服务器进行身份验证呢?我检查了 AD 站点和服务以及 DNS。每个站点只有一个DC,正确的一个,每个站点的DNS站点记录都是正确的。按照所有逻辑,没有理由发生这种情况,除非我遗漏了一些东西。此外,我们正在运行混合的 2003/2008 Windows 环境,服务器的平台是什么并不重要。
这实际上比你想象的更常见。检查以下内容是否有帮助:
如何强制 AD 站点中的机器对自己站点中的 GC 进行身份验证
我们看到这一点有几个不同的原因: