如果域控制器的硬件規格不一,但是按照域控制器的默認策略,每臺服務器的登錄數是一樣,有沒有辦法手動讓某臺域控接受更多的LDAP請求呢,經過查詢資料發現是可以的。
要了解客戶端尋找域控登陸,我們首先要了解SRV這個名詞。
SRV 記錄:
一般是爲Microsoft的活動目錄設置時的應用。DNS可以獨立於活動目錄,但是活動目錄必須有DNS的幫助才能工作。爲了活動目錄能夠正常的工作,DNS服務器必須支持服務定位(SRV)資源記錄,資源記錄把服務名字映射爲提供服務的服務器名字。活動目錄客戶和域控制器使用SRV資源記錄決定域控制器的IP地址。
SRV記錄提供了兩個數值依據——優先權和負載。這兩個數值決定了工作站如何選擇域控制器。
SRV優先權。
根據RFC 2782規定,工作站應首先嚐試連接擁有最低優先的SRV記錄,只有在無法連接的時候再嘗試連接優先稍高的服務器。這條規定提供了企業內關鍵服務的多層次冗餘功能:只需要將你的主服務器設置爲0,將備份服務器設置一個稍高的值。默認情況下,所有的域控制器發佈的SRV記錄中優先值都爲0,通過如下路徑“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters”創建“LdapSrvPriority”子鍵,該值出現在域控制器的_ldap SRV記錄中。
1. 在註冊表編輯器中,導航至 HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
2. 單擊 Edit,再單擊 New,然後單擊 DWORD value。
3. 對於新值名稱,鍵入 LdapSrvPriority 然後按 ENTER。
4. 雙擊剛鍵入的值名以打開 Edit DWORD Value 對話框。
5. 輸入從 0 到 65535 的一個值。默認值爲 0。
6. 選擇 Decimal 作爲基本選項,然後單擊 OK。
7. 單擊 File,然後單擊 Exit 關閉註冊表編輯器。
在一個站點中擁有兩個域控制器——DC1和DC2,我們希望只有在DC1無法使用的時候才使用DC2。現在我們就可以將DC1的優先值設爲0,DC2的優先值設爲10(具體數字並不重要,只要比DC1的高就可以)。這時工作站只有當DC1在100毫秒內沒有響應AD Ping的情況下才會選擇DC2。發生這種情況一般都意味着DC1當機或者異常繁忙。
SRV 負載均衡。
RFC 2782還提供了一個負載平衡的機制。每個SRV記錄有一個負載字段,它標誌着該服務器能夠爲工作站服務的能力。這使得在擁有相同優先權的SRV記錄中選擇更加有依據。
要爲域控制器定義不同的負載值,在“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters”創建“LdapSrvWeight”子鍵,從0到100。所有域控制器負載的默認值爲100,這意味着工作站選中它的機率是100%,步驟同上。
假設一個站點中有1000個用戶和兩臺域控制器。其中DC1配置了高端服務器,所有的FSMO都在其上,而DC2只是一臺備份用的服務器(很多摳門的公司會選擇一臺PC)。如果不通過手工調整,那麼大概只有一半的用戶會通過DC1認證,剩下的另一半就會嘗試通過DC2,顯然DC2的工作負載會很大。解決辦法就是將DC1的負載修改爲80,DC2的改爲20。這樣就根據服務器的性能調整用戶數量大致爲4比1。
實際直接在DNS上改更快些。定位到DNS上的TCP下的LDAP、SRV 記錄,修改優先值和負載值。