Что происходит за кулисами Windows, когда клиент аутентифицируется в домене. Предположим, компьютер уже включен в домен AD, как он определяет к какому ближайшему контроллеру домена Active Directory нужно обращаться?
- При загрузке компьютер запускается служба netlogon с набором API DsGetDcName.
- Служба через API собирает различную информацию о настройках клиента, в том числе его адрес.
- Клиент через службу netlogon запрашивает у указанного в конфигурации DNS сервера информацию о контроллерах домена в сайте AD, к которому относится его IP адрес (в дальнейшем имя сайта хранится в параметр DynamicSiteName в ветке реестра HKLM\System\CurrentControlSet\Services\Netlogon\Parameters
- DNS сервер возвращает клиенту список контроллеров домена в сайте (SRV записи в разделе _tcp)
- Клиент получает информацию о контроллерах домена и использует контроллер домена, ответивший первым.
Весь процесс поиска DC в сайте можно отследить с помощью любой утилиты для дампа трафика:
