跳转到主内容

NetApp_Insight_2020.png 

什么是域控制器发现?

Views:
13
Visibility:
Public
Votes:
0
Category:
data-ontap-8
Specialty:
core
Last Updated:

可不使用  

适用于

Data ONTAP 8 7-模式

集群模式 Data ONTAP

解答

域控制器发现( DC 发现)是由安全守护进程( SecD )触发的一个自动过程。ONTAP 使用动态服务器发现来发现域控制器( DC )及其相关服务(例如 Lsa 、 Netlogon 、 Kerberos 和 LDAP )。它可以发现所有 DC 、包括首选 DC 、以及本地站点中的所有 DC 以及所有远程 DC 。

ONTAP 确定了对新 CIFS 连接进行身份验证的最佳 DC 。如果环境中有许多 DC ,则可能需要一些时间。因此,根据环境的不同、访问或枚举共享可能会明显缓慢。此外,存储控制器可能会选择一个小于最佳 DC 的数据流来进行身份验证,例如通过 WAN 发现的数据流。在某些情况下,由于防火墙 / 网络配置,远程 DC 可能无法永久访问。
在以下三种情况下,将自动执行发现过程(不会被用户特别触发):

  • 方案 1 :将 SVM 的 CIFS 服务器加入域。
  • 情形 2 :定期发现

定期搜索将以大约 4 小时的间隔执行、以检查服务器或 LIF 配置是否可能发生更改

  • 方案 3 :更改首选 DC

此操作将触发发现过程并自动重置定期发现的计数器

命令树vserver cifs domain discovered-servers允许管理员与域发现过程进行交互。

选项:

  1. show —显示发现的服务器信息 
  2. reset-servers —重置和重新发现 SVM 的服务器

 

  1. vserver cifs domain discovered-servers show

可用性:此命令可用于管理员权限级别的集群和虚拟服务器管理员。

说明:vserver cifs domain discovered-servers show命令可显示有关为一个或多个 SVM`s 的 CIFS 域发现的服务器的信息。服务器显示按节点和虚拟服务器分组、每个组之前都有节点和虚拟服务器标识。在每个分组中、服务器显示仅限于与域参数指定的域关联的显示(如果存在)。工作组 CIFS 服务器不支持此命令。

目前仅显示 SVM 的本地域。
 
执行该命令后,您将收到一个表格输出。每个列标题的详细信息如下:

域名



类型的 FQDN

未知服务器类型未知

Kerberos Kerberos 服务器

MS-LDAP Microsoft 轻型目录访问协议( Lightweight Directory Access Protocol , LDAP )服务器

MS-DC Microsoft 域控制器

LDAP 轻型目录访问协议( LDAP )服务器

NIS 网络信息服务( NIS )服务器

 
首选项

从 0-3 编制索引的首选项有 4 种类型:

  • unknown = 0 此服务器的首选项级别未知
  • Preferred=1 由于此服务器位于首选服务器列表中,因此此服务器已被管理员标记为首选服务器
  • favoued=2 由于站点成员资格,此服务器被标记为受服务器发现过程青睐。如果发现过程中标记为 "g" ,则表示发现的域控制器与文件管理器位于相同的站点中。

注意:在 9.1 中、此过程完全自动、不能“影响”。如果文件管理器管理员和 AD 管理员已决定使用默认配置 "default-site" 并且列出了所有域控制器,则还意味着在某些情况下,文件管理器将最终使用高延迟响应域控制器、 在高身份验证负载下、可能会导致文件管理器允许用户延迟访问他们要访问的共享。

在 9.3 中,此行为发生了变化。请参见以下 9.3 详细信息:

足够 =3 此服务器是由服务器发现过程发现的、可以使用、但没有与其关联的优先级。
 
DC-Name :

中列出的域控制器的 NetBIOS 名称 DC-Address :

中列出的域控制器的 IP 地址状态:可能的状态为:

  • 确定 - 可以使用与此服务器的连接。

当我们与域控制器建立主动 - 持续连接时,会显示此状态

  • 不可用—此服务器当前不可用。

此状态显示我们先前已连接到域控制器,但此时没有任何活动会话。

给定 LDAP 查询的性质(开放会话、执行 1 查询、关闭会话),此状态也被视为正状态。

  • 缓慢—与此服务器的连接可用但速度较慢。
  • 已过期—与此服务器的连接已过期。
  • 未确定—未尝试与此服务器建立连接。运行发现过程时发现该服务器、无需连接到该服务器。
  • 无法访问—此服务器当前无法访问。已发现此服务器 - 无法连接到该服务器 

注意:在某些情况下,您可能会在 EMS 日志中看到某些域控制器被标记为不可用 / 不可用

NetApp 支持部门遇到的一个已知问题是,由于NetrLogonSamLogonEx response, Unknown error 0xc0000413为域信任设置了 " 选择性身份验证 " ,导致从 "" 返回给受信任域用户的错误响应会强制使用非本地高度潜能的 DC 进行身份验证。 

 
从 9.3 开始,发现行为发生了更改:
="============================================

discovery-mode在命令目录下添加了一个新选项 ""vserver cifs domain discovered-servers ,用于控制服务器发现。

新添加的命令有三个选项:

  1. all —默认选项。通过发现域中的所有域控制器,其行为将与以前相同。
  2. 将发现本地站点中的仅站点 DC 。
  3. —不会进行服务器发现、只取决于配置的首选 DC 。
  • 在 9.3 集群中创建的任何新虚拟服务器都将发现模式设置为 "all" 。根据客户环境、可以对其进行修改以满足客户需求。
  • 在最后一个节点升级到 9.3 时、集群中的所有虚拟服务器都将服务器发现模式设置为“全部”。
  • 如果没有为虚拟服务器配置首选 DC ,则将“ iscRecovery - Mode ”设置为“ none ”将失败。删除首选 DC 时,如果将“ iscRecovery - mode ”设置为“ none ”,则会发出警告。
  • 可以vserver cifs domain preferred-dc add使用“”命令添加首选 DC 。
  • 如果 CIFS 配置中不存在 "default-site" ,则将 "iscovery -mode" 设置为 "ite" 将失败。如果将“ iscovery -mode ”设置为“ Site ”(站点),则删除“ default-site ”配置将被阻止。
  • 对于新的 CIFS 配置、可以将 'default-site" 与 ''vserver cifs create 命令一起提供。
  • 对于现有 CIFS 配置、可以vserver cifs modify使用 '' 命令配置 'default-site" 。只有当 ONTAP 由于任何原因无法发现站点信息时、 CIFS 的“默认站点”才会用作回退。 

 

  1. vserver cifs domain discovered-servers reset-servers

此命令将强制清除已发现服务器的信息并触发新的重新发现。这通常用于执行域配置的突然更改、并且不会发生发现过程的情况。用户可能希望强制重新发现以使 ONTAP 具有可用的服务器。 

有关详细信息,请参阅:管理域控制器发现

其他信息

在此处添加您的文本。