Modifiche del localizzatore del controller di dominio Active Directory
Si applica a: Windows Insider Preview Build 25921 e versioni successive
Questo articolo illustra le modifiche apportate all'algoritmo di posizione del controller di dominio Active Directory (DC), inclusi gli annunci di deprecazione.
Panoramica
L'autenticazione è il primo passaggio in tutti gli scenari funzionali in un ambiente aziendale di Active Directory. L'autenticazione, a sua volta, non può verificarsi a meno che il client non possa prima comunicare con un controller di dominio Active Directory.
La posizione del controller di dominio fa riferimento all'algoritmo in base al quale un computer client trova un controller di dominio appropriato. La posizione del controller di dominio è una funzionalità di base fondamentale in tutti gli ambienti aziendali.
I domini di Active Directory hanno sempre due nomi distinti: il nome di dominio completo DNS (FQDN) e il nome di dominio NetBIOS. I nomi di dominio NetBIOS hanno lunghezza legacy e altri vincoli. Ad esempio, i domini NetBIOS sono limitati a 15 caratteri.
Il nome di dominio NetBIOS di un dominio di Active Directory non deve essere correlato in alcun modo al primo componente dell’FQDN del dominio Active Directory. Ad esempio, l'FQDN di un dominio Active Directory potrebbe essere contoso.com con un nome di dominio NetBIOS di fabrikam.
La posizione del DC in Windows può funzionare in due modalità di base:
Individuazione basata su DNS: questa modalità si basa sull'annuncio del controller di dominio tramite DNS.
I controller di dominio registrano vari record SRV in DNS. Ad esempio, i record che rappresentano le funzionalità chiave (Centro distribuzione chiavi o Catalogo globale) o i record che descrivono la località (record del sito di Active Directory). I client eseguono query DNS per i record SRV appropriati e quindi effettuano il ping di tali server usando ping LDAP basati su UDP.
Questa modalità è supportata solo quando si usano nomi di dominio DNS. Questa modalità è supportata con i controller di dominio Windows 2000 e versioni successive. I client Windows 2000 e versioni successive preferiscono questa modalità, ma possono eseguire il fallback all'altra modalità in alcune circostanze.
Individuazione basata su NetBIOS: questa modalità si basa su controller di dominio che registrano prima i record in Windows Internet Name Service (WINS). I client eseguono query WINS per i record appropriati, seguiti dal ping dei possibili DC candidati di destinazione.
Una variante di questa modalità usa un meccanismo di trasmissione supportato dai messaggi mailslot. In questo meccanismo, il client trasmette i pacchetti nella sua rete locale per cercare i DC. Questa modalità è supportata con i controller di dominio legacy di Windows NT 4 e versioni precedenti e funziona solo quando si usano nomi di dominio NetBIOS brevi.
Le organizzazioni preferiscono l'individuazione basata su DNS rispetto a quella basata su NetBIOS, sia per motivi di affidabilità che di sicurezza.
DsGetDcName è l'API di posizione del DC primario.
Questa descrizione è solo una breve panoramica. Per altre informazioni sul processo di posizione del DC, vedere Modalità di individuazione dei controller di dominio in Windows.
Deprecazione di WINS e mailslot
Microsoft ha annunciato in precedenza la deprecazione di wins e mailslot. Queste tecnologie legacy non sono più sicure negli ambienti attuali.
Questa deprecazione influisce sulla posizione del DC. Le sezioni successive di questo articolo descrivono i passaggi di mitigazione.
Mappatura dei nomi di dominio NetBIOS con i nomi di dominio DNS
Quando un'applicazione richiede un DC ma specifica un nome di dominio di tipo NetBIOS breve, la posizione del DC tenta sempre di eseguire la mappatura di tale nome di dominio breve con un nome di dominio DNS. Se la posizione del DC individua una mappatura di questo tipo, usa l'individuazione basata su DNS con il nome di dominio DNS mappato.
I nomi di dominio di tipo NetBIOS sono storicamente mappati con i nomi di dominio DNS tramite più origini nell'ordine seguente:
Informazioni memorizzate nella cache da una ricerca precedente
Tutti i domini nella foresta corrente
Nomi di primo livello (TLN) per tutti i trust tra attendibilità foreste e trust esterni
Sessioni di accesso nel computer client
Quando nessuna di queste origini può trovare un nome di dominio DNS, la posizione del DC può procedere con l'individuazione basata su NetBIOS usando il nome di dominio breve di tipo NetBIOS originale.
Importante
È consigliabile eseguire la migrazione di tutte le applicazioni per usare solo i nomi di dominio DNS di Active Directory per l'autenticazione o altri scopi.
Miglioramenti del localizzatore del DC per supportare la deprecazione di WINS e mailslot
La deprecazione dei messaggi WINS e mailslot significa che tali meccanismi sono più disponibili come opzione di fallback quando le applicazioni specificano nomi di dominio di tipo NetBIOS brevi. Tale deprecazione può quindi causare interruzioni in alcuni ambienti.
Le sezioni seguenti descrivono i miglioramenti nella build 25921 di Windows Insider Preview.
Impostazione dei criteri Netlogon BlockNetBIOSDiscovery
BlockNetBIOSDiscovery è una nuova impostazione di Criteri di gruppo booleani per il servizio Netlogon. Per accedere ai criteri in Editor Gestione Criteri di gruppo, passare a Configurazione computer> Modelli amministrativi> Sistema>Net Logon>Record DNS del localizzatore di DC>Blocca l'individuazione basata su NetBIOS per la posizione del controller di dominio.
Le impostazioni seguenti si applicano a BlockNetBIOSDiscovery:
TRUE(impostazione predefinita): il localizzatore DC non consente l'uso della posizione del DC di tipo NetBIOS.FALSE: il localizzatore di DC consente l'uso dell'individuazione basata su WINS/mailslot, se tutti i vincoli legacy lo consentono.
Usare l'impostazione BlockNetBIOSDiscovery per applicare un comportamento sicuro per impostazione predefinita per la posizione del DC. È consigliabile mantenerlo impostato su TRUE. Disabilitarlo solo per i periodi temporanei, mentre si eseguono altre mitigazioni.
La nuova impostazione dei criteri è simile alla seguente:
Suggerimento
È possibile abilitare o disabilitare separatamente la possibilità di usare mailslot a livello di computer usando l'impostazione dei criteri EnableMailslots SMB. Affinché il localizzatore di DC sia in grado di usare mailslot per l'individuazione del DC, è necessario abilitare i messaggi di posta elettronica a livello di SMB ed è necessario disabilitare BlockNetBIOSDiscovery. È possibile eseguire query e stabilire l'impostazione EnableMailslots usando i cmdlet di PowerShell Get-SmbClientConfiguration e Set-SmbClientConfiguration.
Download e memorizzazione nella cache delle informazioni complete sul dominio
Netlogon scarica e memorizza nella cache informazioni sulla denominazione dei domini e dei domini figlio in tutte le foreste attendibili. Queste informazioni vengono usate quando si esegue il mapping dei nomi di dominio in stile NetBIOS con i nomi di dominio DNS.
Download e memorizzazione nella cache dei mapping dei nomi di dominio configurati dall'amministratore
Se un'applicazione o un ambiente richiede altri mapping di nomi di dominio che altre origini non forniscono automaticamente, gli amministratori della foresta possono configurare mapping personalizzati dal nome di dominio DNS al nome di dominio NetBIOS a livello di foresta. I mapping configurati dall'amministratore sono un meccanismo facoltativo che è consigliabile usare solo quando tutte le altre opzioni non sono sufficienti.
I mapping dei nomi di dominio personalizzati vengono archiviati in un oggetto serviceConnectionPoint che si trova nel contesto di denominazione per la configurazione di Active Directory. Ad esempio:
CN=DCLocatorDomainNameMappings,CN=Windows NT,CN=Services,CN=Configuration,DC=contoso,DC=com
L'attributo msDS-Setting di questo oggetto serviceConnectionPoint può contenere uno o più valori. Ogni valore contiene il nome di dominio DNS e il nome di dominio NetBIOS, separati da un punto e virgola:
dnsdomainname.com:NetBIOSdomainname
Ad esempio:
contoso.com:fabrikam
tatertots.contoso.com:tots
tailspintoys.com:tailspintoys
È possibile configurare questi mapping usando lo snap-in di gestione Domini e trust di Active Directory come indicato di seguito:
- Fare clic con il pulsante destro del mouse sul dominio.
- Selezionare Proprietà.
- Selezionare la scheda Mapping del localizzatore di DC.
Il servizio Netlogon nei client scarica e memorizza nella cache i mapping personalizzati nell'oggetto DCLocatorDomainNameMappings ogni 12 ore. Queste informazioni vengono quindi usate automaticamente quando si esegue il mapping dei nomi di dominio in stile NetBIOS con i nomi di dominio DNS.
La nuova pagina di gestione dei Domini e trust di Active Directory è simile alla seguente:
Importante
Configurare i mapping dei nomi di dominio a livello di foresta configurati dall'amministratore solo quando si è certi che tutte le altre origini di mapping dei nomi non siano sufficienti. Come regola generale, tali mapping arbitrari sono necessari solo quando non esiste alcuna relazione di trust tra i client e i domini di destinazione e non è possibile eseguire la migrazione delle applicazioni client per specificare i nomi di dominio in stile DNS.
Nuovo mapping dei nomi di dominio NetBIOS con i nomi di dominio DNS
Quando un'applicazione richiede un DC ma specifica un nome di dominio di tipo NetBIOS breve, la posizione del DC tenta sempre di eseguire la mappatura di tale nome di dominio breve con un nome di dominio DNS. Se la posizione del DC individua una mappatura di questo tipo, usa l'individuazione basata su DNS con il nome di dominio DNS mappato.
Con i miglioramenti descritti in questo articolo, i nomi di dominio in stile NetBIOS vengono mappati con i nomi di dominio DNS usando più origini nell'ordine seguente:
Informazioni memorizzate nella cache da una ricerca precedente
Tutti i domini nella foresta corrente
TLN per tutti i trust tra foreste attendibili e trust esterni
Mapping dei nomi di dominio configurati dall'amministratore
Mapping dei nomi di dominio per tutte le foreste e i sottodomini nei trusting tra foreste
Sessioni di accesso nel computer client
Quando nessuna di queste origini può trovare un nome di dominio DNS, la posizione del DC può procedere con l'individuazione basata su NetBIOS usando il nome di dominio breve di tipo NetBIOS originale.
Risoluzione dei problemi
È possibile usare i passaggi standard per la risoluzione dei problemi per la posizione del DC. Vedere Traccia ETW in DsGetDcName.
Vedi anche
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per