主页 / server / 问题 / 645958
Accepted
BIGmog
Asked: 2014-11-21 14:39:46 +0800 CST

识别配置为连接到特定域控制器的应用程序

  • 772

我使用具有许多域控制器 (DC)的Windows 域。我希望删除其中的一些,但我知道有些应用程序经过硬编码以使用特定的域控制器进行身份验证。但是我不知道这些应用程序是什么。如何确定哪些应用程序可以设置为使用单个域域控制器,以便在该 DC 脱机时防止中断?

active-directory

4 个回答

  1. Best Answer

    关闭每个 DC 几天,然后等待尖叫声。

    说真的,这是唯一的办法。

    任何想与 Active Directory 交谈的人/任何人都应该能够使用正确的过程找到域控制器。但是一些应用程序开发人员肯定是傻到想要一个静态定义的 DC。好吧,这是他们的错,他们应该为此付出代价。

    但是,作为 AD 管理员,您绝对无法知道应用程序是否正在与特定的 DC 通信,因为它实际上以正确的方式查找它,或者因为有人对其进行了静态配置。

    可悲的是,关闭每个 DC 并检查是否有任何东西停止工作是唯一的方法。

    • 6

  2. 尝试识别这些服务器的另一种方法可能是在域控制器上运行网络监视器之类的东西并运行捕获、过滤身份验证流量。然后,您可以通过服务器的 IP 地址进一步过滤以缩小显示的结果。诀窍是确定哪些身份验证流量与您的应用程序相关。查找AS Request Cname包含用户名的流量,如下面的屏幕截图所示,并对其进行调查。诚然,我从来没有这样做过,但这肯定是我会尝试的一种方法。

    在此处输入图像描述

    • 2

  3. 您可以做的一件事是删除 A 记录和其他 DNS 助记符。这将导致未注册 DC 的常用 DNS 记录,并且不会为正常的身份验证或组策略连接返回。然后运行数据包捕获以识别任何流量可能来自何处。

    如何优化位于客户端站点之外的域控制器或全局编录的位置
    http://support.microsoft.com/kb/306602

    这通常是为中心辐射型拓扑所做的。对于分支站点,您不希望 DC 注册 DNS 记录,以便只有该站点中的客户端才能连接到它。配置后,域控制器的正常身份验证流量应最小化。

    • 1
    1. 在您的环境中添加新的域控制器(如果您对应用程序兼容性有信心,则使用相同的操作系统版本或新的操作系统版本)。
    2. 屏蔽 DNS 中的旧域控制器,这意味着删除 NetLogon 服务注册的所有内容(不是所有内容,GUID 记录用于复制,所以我们必须保留这个)。
    3. 等到客户端的缓存过期和 TADA!您看到的每个 LDAP 查询都到达被屏蔽的 DC,每个身份验证请求都来自未利用 DCLocator 并最终具有硬编码配置的应用程序和服务器。由于隐藏域控制器仍在运行和复制,因此不会影响硬编码的应用程序使用它们。

    来自:blogs.technet.com/...

    • 0

相关问题