机器join到Windows域时使用什么协议?

我试图找出当一台机器被添加到一个域时究竟发生了什么。 一旦你input域名:1)机器使用什么协议来确定使用哪个域控制器? 2)如何查询域名? 例如:域设置为dc = company,dc = com,但“Windows”域是COMPA。 一些如何将这些名称映射到对方。

我知道Active Directory和DNS是紧密集成的,但我不太了解细节。 什么是技术细节的最佳信息来源。 我能find的大部分内容都告诉你如何完成工作,但不是在封面下面发生的事情。

涉及很多DNS。

下面是工作站在工作站被赋予一个NetBIOS名字join(在你的例子COMPA)

  1. 检查其parsing器caching以查看COMPA是否已解决。
  2. DNS查找没有任何域的“COMPA”,查看DNS服务器是否find它。
  3. DNS查找DNSsearch列表中的各个域的“COMPA”。
  4. (如果有的话)用WINS查找COMPA是否作为工作组或域存在。
  5. 检查networking浏览列表以查看COMPA域是否可见。

一旦find域控制器,它就会要求它为AD DNS名称。 然后,

  1. 检查DNS为company.com的域控制器的SRVlogging

将此与名称的DNS风格工作stream程(在您的示例中为company.com)

  1. 检查DNS为company.com的域控制器的SRVlogging
  2. 查询与域的AD站点相关的SRVlogging的DNS

短了很多。 一旦确定了域中的域控制器,它就会使用该域用户提供的凭据尝试联系DC。 这可能发生在AD使用的任何x安全协议上:

  • 兰曼(LM)
  • NTLM
  • NTLMv2身份
  • Kerberos的

在工作站和域控制器之间协商确切的协议。 如果没有共同的协议可以达成协议,工作站就不能成立。

1)机器使用什么协议来确定要使用哪个域控制器?

DNS。 特别是DNS SRVlogging 。

2)如何查询域名?

您在域join过程中提供域名,并且Windows知道需要发出哪些SRVlogging查询来获取DC的名称/ IP。

区议会落成之后,会有一连串的其他交通。 一些CIFS,一些Kerberos以及可能还有一些需要build立信任关系,传输组策略对象等。您可能会发现启动Wireshark并执行域join过程的数据包捕获非常有趣。 由于encryption,您将无法看到实际的数据包有效载荷,但您能够看到端口号和相关数据量。

无论客户端计算机是join域还是login到域,域定位器进程本质上都是相同的,详细信息如下:

http://support.microsoft.com/kb/247811

而这篇文章详细介绍了DNS如何支持AD:

http://technet.microsoft.com/en-us/library/cc759550(WS.10).aspx