Active Directory Leonardo Duarte
Como controlar e priorizar solicitações de autenticação e logon do cliente em controladores de domínio
Introdução
Cada domínio associado ao cliente Windows localiza um Controlador de Domínio apropriado usando um componente chamado “DCLocator” como parte do serviço NETLOGON.
Consulte o seguinte artigo para obter informações detalhadas (altamente recomendado)
Agora surge a pergunta, se há uma lógica que o controlador de domínio responde primeiro às consultas do DCLocator. Com base em minhas experiências, os seguintes fatos entram em jogo.
- A versão do sistema operacional do DC (por exemplo, um DC de 2012 geralmente responde antes de um DC de 2003)
- A capacidade de resposta (principalmente com base nos recursos de HW)
- A ordenação nos registros SRV do DNS (_ldap / _gc)
- Os valores de prioridade e peso para os registros SRV
Existem vários cenários em que você pode limitar as solicitações LDAP a um ou mais dos seus controladores de domínio. Os seguintes são os mais comuns:
- DC mantendo o PDC Emulator é mais carregado do que outros DCs (causando problemas de desempenho de logon em grandes ambientes de usuário)
- Atualizando / instalando novos controladores de domínio como parte de uma atualização do AD (fazendo com que os logons ocorram no novo DC por dwfault)
O serviço NETLOGON possui dois parâmetros que controlam o comportamento de resposta para solicitações LDAP: LdapSrvWeigth e LdapSrvPriority
Por padrão, cada Controlador de Domínio tem uma prioridade de 0 e um peso de 100. O peso pode ser usado para preferir DCs específicos com a mesma prioridade.
Se o valor de prioridade for definido, ele terá precedência sobre o valor do peso.
- Os controladores de domínio com o maior peso e a menor prioridade têm mais probabilidade de ser contatados
Para modificar o comportamento, basta criar dois valores REG_DWORD (LdapSrvWeight e LdapSrvPriority) sob a chave:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ services \ Netlogon \ Parameters
Escolha um valor entre 0 e 65335
Reinicie o serviço NETLOGON e observe os registros SRV no DNS, eles devem ser atualizados em breve com os novos valores.
A tabela a seguir ilustra um exemplo de configuração
Nome | Prioridade | Peso | Pedido Efetivo |
DC1 | 10 | 50 | 2 |
DC2 | 10 | 100 | 1 |
DC3 | 100 | 0 |