问使用复制设置的Active Directory --需要一种控制登录身份验证主机的方法

EN

听起来，您需要使用"Active站点和服务“管理单元( 使用连接良好的子网定义子网、物理位置(称为“站点”)以及站点之间的连接(称为“站点链接”)。 )，它构成了Active Directory (AD)的基础物理网络，这样您的域控制器就可以做出良好的复制决策，客户端可以就使用哪台服务器计算机(S)为登录提供服务做出正确的决定。如果没有对网络物理拓扑的描述，那么依赖于与域控制器(DC)计算机通信的服务器和客户端操作系统的所有部分基本上都是“飞盲”的，无法判断哪些DC物理上接近，因此与之进行更有效的通信。

一旦你告诉AD网络的物理布局，你会发现事情“只是工作”得更有效。不要太担心平衡“用户数量”的负载--一旦你定义了站点和子网(除非你有一个非常非常糟糕的用户与域控制器比率或很高的登录率)，这不会成为一个因素。我认为你的大部分问题都是因为你没有告诉AD你的网络的物理拓扑。(有一些更深层次的“调整”可以在DNS中执行，以影响给定站点内DC的选择，但基本上，客户端“滚动骰子”并与其站点中的任何DC通信。在生产部署中，这对我来说总是足够好的。)

所有这些对站点、站点链接和子网的调整实际上只是改变了DNS中存储的内容。客户端使用DNS来确定他们位于哪个站点(通过查找他们的子网)，并且，一旦他们知道了，他们就使用DNS来定位与DC通信的位置。实际的DNS记录是存储在"_msdcs.domain.com“DNS区域中的"SRV”资源记录。显然，要使所有这些都正常工作，客户端必须有权访问DNS服务器，该服务器可以返回"_msdcs.domain.com“DNS区域的记录。通常倾向于使用DC作为DNS服务器(因为Microsoft已经很好地实现了这种配置)，在客户端网络配置中不指定任何非基于DC的DNS服务器(即，不要将ISP DNS服务器设置为DHCP作用域中的“次要”DNS服务器或客户端/服务器上的“硬编码”DNS服务器)，并且始终要确保每个物理位置都有一个DNS服务器，这样WAN / VPN故障不会删除该物理位置上客户端的所有DNS服务。

我在这里假设，您没有跨多个位置连接一个IP子网。如果您已经这样做了，您将更好地服务于改变您的网络拓扑使用多个子网，而不是试图“黑客”AD来处理这样一个奇怪的拓扑。

罗伯特·莫尔为另一个问题写了一个很好的站点的“含义”概述。我会去那里看看的。

除此之外，您还需要考虑将每个站点中的至少一个DC标记为全局目录 (GC)服务器。将DC设置为GC的过程非常简单，您应该在每个站点中都有一个(即使您不一定理解它们的用途)。将每个DC标记为GC并不是最好的主意，尽管在一个像您这样小的环境中，它不会有太大的不同。然而，在更大的环境中，对于GC副本来说，更多并不一定更好。

你所描述的很可能是完全正常的。如果本地DC在短时间内没有响应，客户端将与域中的任何另一个DC联系，而不管位置如何。(Windows 2008有一个新的设置，使下一个最近的位置更有效)。实际上，Windows客户端遵循的是一种非常复杂的算法，称为DC定位器。

通过配置站点和站点链接成本(如果您还没有这样做)，以及通过在_msdcs子域中使用SRV记录的优先级和权重，可以使流程更具确定性。客户端试图以最低优先级与服务器联系。权重是一种负载平衡机制，用于从具有相同优先级的目标主机中选择目标主机。客户端随机选择指定要联系的目标主机的SRV记录，其概率与权重成正比。

DNS返回与SRV记录中的目标域匹配的IP地址列表(即指定域中域控制器的IP地址)，这些地址按优先级和权重排序。客户端按返回的顺序传递每个IP地址。ping是对端口389的UDP LDAP查询。客户端从列表中调用每个域控制器。每次ping之后，客户端等待对ping的响应(或对以前的ping)的十分之一秒，然后点击下一个域控制器。随机选择域控制器提供了第一级负载平衡。快速连续地执行多个ping操作可以确保发现算法在有限的时间内终止。

请注意，当客户端建立到DC的连接时，它会创建与该DC的亲缘关系(有时称为“粘性”)。默认情况下，Windows /2008及更高版本的客户端将尝试每12小时重新发现域控制器，这是通过组策略配置的。还有一个修复程序可以在Windows /2003中启用此行为。

更多信息：

如何优化驻留在客户站点http://support.microsoft.com/kb/306602之外的域控制器或全局目录的位置

SRV资源记录

http://technet.microsoft.com/en-us/library/cc961719.aspx

域控制器定位过程

http://technet.microsoft.com/en-us/library/cc978011.aspx

DsGetDcName函数

http://msdn.microsoft.com/en-us/library/windows/desktop/ms675983%28v=vs.85%29.aspx

使客户端能够找到下一个最近的域控制器

http://technet.microsoft.com/en-us/library/cc733142%28WS.10%29.aspx

定位器类型

http://technet.microsoft.com/en-us/library/cc978019.aspx

我将假设(可能是错误的)您在远程站点上有AD客户端，这就是为什么您在那个站点上有一个DC。如果是这样的话，那么正如Evan所说，您将希望为两个站点/子网设置站点和服务。然后，KCC将根据ADS&S配置在DC之间构建一个复制拓扑。现在看来，可能有复制流量基于站点内的复制拓扑而不是站点间的复制拓扑遍历WAN。

然后，每个客户端上的DC定位器将在其最接近的验证站点中找到一个DC。确保将远程站点上的DC配置为GC (或在远程站点的NTDS站点设置中启用通用组成员缓存)。

如果我错了，而您在远程站点没有AD客户端，为什么您在远程站点上有一个DC？