マシンがWindowsドメインに参加するときに使用されるプロトコルは何ですか?
マシンがドメインに追加されたときに正確に何が起こるかを理解しようとしています。ドメイン名を入力すると、次のようになります。1)使用するドメインコントローラーを特定するために、マシンはどのプロトコルを使用しますか? 2)ドメイン名はどのように検索されますか?例:ドメインはdc = company、dc = comとして設定されていますが、「Windows」ドメインはCOMPAです。これらの名前が互いにどのようにマッピングされているか。
Active DirectoryとDNSが緊密に統合されていることは知っていますが、詳細はよくわかりません。技術的な詳細に関する最良の情報源は何ですか。私が見つけることができるもののほとんどは、物事を成し遂げる方法をあなたに教えますが、隠れて何が起こるかは教えません。
関係するDNSはたくさんあります。
ワークステーションに参加するNetBIOS名が与えられた場合のワークフローは次のとおりです(この例ではCOMPA)
- リゾルバキャッシュをチェックして、COMPAがすでに解決されているかどうかを確認します。
- ドメインなしで「COMPA」のDNSルックアップを実行して、DNSサーバーがそれを検出するかどうかを確認します。
- DNS検索リストのさまざまなドメインで「COMPA」のDNSルックアップを実行します。
- (お持ちの場合)WINSルックアップを実行して、COMPAがワークグループまたはドメインとして存在するかどうかを確認します。
- ネットワーク参照リストをチェックして、COMPAドメインが表示されているかどうかを確認します。
ドメインコントローラーが見つかると、ADDNS名を尋ねられます。次に、
- Company.comのドメインコントローラーのSRVレコードのDNSをチェックします
これをDNSスタイルの名前のワークフロー(例ではcompany.com)と比較してください。
- Company.comのドメインコントローラーのSRVレコードのDNSをチェックします
- ドメインのADサイトに関連するSRVレコードのDNSを照会します
はるかに短い。ドメイン内のドメインコントローラーを識別すると、ドメインユーザーから提供された資格情報を使用してDCへの接続を試みます。これは、ADが使用するxセキュリティプロトコルのいずれかで発生する可能性があります。
- LanMan(LM)
- NTLM
- NTLMv2
- Kerberos
正確なプロトコルは、ワークステーションとドメインコントローラーの間でネゴシエートされます。共通のプロトコルに同意できない場合、ワークステーションをドメイン化することはできません。
1)使用するドメインコントローラーを特定するために、マシンはどのプロトコルを使用しますか?
DNS。具体的には DNS SRVレコード 。
2)ドメイン名はどのように検索されますか?
ドメイン参加プロセスでドメイン名を指定すると、Windowsは、DCの名前/ IPを取得するために発行する必要のあるSRVレコードクエリを認識します。
DCが検出されると、他のトラフィックが急増します。信頼関係の確立、グループポリシーオブジェクトの転送などに必要なCIFS、Kerberos、その他のトラフィックがいくつかあります。 Wiresharkを起動し、ドメイン参加プロセスのパケットキャプチャを実行することは非常に興味深いと思われます。暗号化のため、実際のパケットペイロードを表示することはできませんが、ポート番号と相対データ量を確認できます。
ドメインロケーターのプロセスは、クライアントコンピューターがドメインに参加している場合でも、ドメインにログオンしている場合でも、基本的に同じです。詳細は次のとおりです。
http://support.Microsoft.com/kb/247811
また、この記事では、DNSがADをサポートする方法について詳しく説明します。
http://technet.Microsoft.com/en-us/library/cc759550(WS.10).aspx