В некоторых случаях вам нужно определить на каком контроллере домена вы аутентифицированы (ваш logonserver). Это может пригодиться при проблемах с применением групповых политик, когда пользователи жалуются на медленный вход в систему. Пользователь может аутентифицироваться на неверном контроллере домена из-за того, что ближайший к нему DC не доступен, доступ к нему блокируется межсетевым экраном, неверной настройки подсетей и сайтов в Active Directory или проблемами с DNS. В результате пользователь может получать все GPO, скрипты, и т.д., не с ближайшего контроллера домена, а с любого другого DC. Это может привести к долгому применению GPO, медленной установке программ, медленной загрузки перемещаемых профилей или файлов в перенаправленных папках.
Содержание:
- Как узнать на каком контроллере домена вы залогинены?
- Как Windows определяет ближайший контроллер домена?
Как узнать на каком контроллере домена вы залогинены?
Вы можете узнать контроллер домена, через который вы выполнили вход в домен несколькими способами:
Если вы вошли на компьютер под локальной учетной записью, то вместо имени контроллера домена в переменной LogonServer будет указано имя вашего компьютера.
Зная контроллер домена, можно различную информацию о пользователя из журналов безопасности DC (например, историю входов пользователя в домен и другие логи).
Можно автоматически записывать информацию, на каком контроллере домена авторизовался пользователь в описание компьютера в AD. Так можно узнать LogonServer для конкретного компьютера из AD, не обращаясь к конкретному компьютеру по сети или локально.
Как Windows определяет ближайший контроллер домена?
За определение LogonServer при загрузке Windows отвечает служба NetLogon. Она должны быть запущена:
get-service netlogon
Упрощенно процесс поиска контроллера домена клиентом Windows выглядит так:
- При загрузке Windows служба NetLogon делает DNS запрос за списком контроллеров домена (SVR записи
_ldap._tcp.dc._msdcs.domain_
; - DNS возвращает список DC в домене;
- Клиент делает LDAP запрос к DC для определения сайта AD по-своему IP адресу;
- DC возвращает сайт, которому соответствует IP клиента или наиболее близкий сайт (эта информация кэшируется в ветке реестра
HKLM\System\CurrentControlSet\Services\Netlogon\Parameters
и используется при следующем входе для более быстрого поиска); - Клиент через DNS запрашивает список контроллеров домена в сайте (в разделе _
tcp.sitename._sites...
);
- Windows пытается связаться со всеми DC в сайте и первый ответивший используется для выполнении аутентификации и в качестве LogonServer.
Вы можете переключить ваш компьютер на другой контроллер домена AD вручную с помощью команды:
nltest /SC_RESET:WINITPRO\MSK-DC02.winitpro.ru
Flags: 30 HAS_IP HAS_TIMESERV Trusted DC Name \\MSK-DC02.winitpro.ru Trusted DC Connection Status Status = 0 0x0 NERR_Success The command completed successfully
Если указанный DC не доступен, появится ошибка:
I_NetLogonControl failed: Status = 1311 0x51f ERROR_NO_LOGON_SERVERS
Если ни один из контроллеров домена не доступен, или компьютер отключен от сети, то при входе пользователя появится надпись:
There are currently no logon servers available to service the logon request.
Отсутствуют серверы, которые могли бы обработать запрос на вход в сеть.
Войти на такой компьютер можно только под сохраненными учетными данными доменного пользователя.
Найти ближайший к вам контроллер домена согласно иерархии сайтов, подсетей и весов можно с помощью командлета Get-ADDomainController из модуля Active Directory для PowerShell:
Get-ADDomainController -Discover -NextClosestSite
Так вы сможете определить имя контроллера домена, через который должен аутентифицироваться компьютер. Если он отличается от текущего, нужно понять почему.
Как найти все контроллеры домена
Как вы думаете, сколько есть способов получить список контроллеров домена? Давайте посчитаем. Для примера возьмет тестовый домен с оригинальным именем TEST.LOCAL, в котором есть один контроллер домена с еще более оригинальным 🙂 именем DC-TEST.
Первый способ, которым я обычно пользуюсь — утилита командной строки Netdom. Для получения списка контроллеров домена воспользуемся командой:
Netdom query DC
Второй пойдет утилита Nltest. Выведем список контроллеров командой:
Nltest /dclist:test.local
Способ третий — утилита DSQUERY, специально предназначенная для поиска объектов в Active Directory. Найти контроллеры домена с ее помощью можно так:
DSQUERY server -o rdn
или так:
DSQUERY server
Перейдем к PowerShell. Поименно вывести контроллеры домена можно командой:
Get-ADDomainController -Filter * | select Name
Переходим к нестандартным методам поиска. Выведем список контроллеров с помощью утилиты Nslookup. Каждый контроллер домена регистрирует в DNS запись SRV вида _ldap._tcp.dc._msdcs.domain.com, по которой его и можно найти. Для поиск по DNS воспользуемся командой:
Nslookup -type=all _ldap._tcp.dc._msdcs.test.local
С помощью WMI в Windows можно сделать практически все, в том числе и получить список контроллеров домена. Для этого нам потребуется класс Win32_NTDomain, в котором помимо прочего хранятся имена контроллеров домена. Получить их можно из командной строки:
wmic NTDOMAIN GET DomainControllerName
или из PowerShell:
Get-WmiObject -Class win32_NTDomain | ft -a DomainControllerName
Ну и последний из известных мне способов. Все домен контроллеры являются членами группы «Domain Controllers», и для их получения остается только вывести список членов этой группы. Сделать это можно из командной строки:
net group "Domain Controllers" /domain
или из PowerShell:
Get-ADGroupMember -Identity "Domain Controllers" | select Name
Всего получается семь способов. Если знаете еще, пишите.
Windows Domain Controller (DC) is a server that responds to security authentication requests within a Windows Domain (group of networked computers controlled by domain controller).
In this short note i will show how to find out which DC a computer is authenticated to using Windows CMD and PowerShell.
Cool Tip: Check if the computer is in a domain! Read more →
Get domain controller name in Windows CMD:
C:\> echo %LogOnServer%
Get domain controller name in PowerShell:
PS C:\> $env:LogOnServer
To find out the FQDN and IP address of the domain controller, you can use nslookup command that works both in Windows CMD and PowerShell:
C:\> nslookup MYDOMAINCONTROLLER01
Cool Tip: How to determine whether the current user is a Domain User account or a Local User account! Read more →
Was it useful? Share this post with the world!
DNS and DHCP are the best way to check since there can be Unix/Linux machines on the network managed by the AD domain controller or acting as the domain controller.
Plus, considering active directory is nothing more than Microsoft’s version of Kerberos, LDAP, dhcp and dns. It would be better to understand and debug things at lower layers than layer 7+. This is because the operating system would preform these same requests and the underlining RFC for each protocol actually operates at a OSI level not the «insert favorite tool here» level.
One can go a step further and query the dhcp for options 6, 15, and 44 to get the domain name, domain name server, and Wins/NetBIOS name server.
Then using dns to check for the _kerberos._tcp, _kpasswd._tcp, _LDAP._TCP.dc._msdcs, and _ldap._tcp SRV records:
nslookup -type=srv _kerberos._tcp.EXMAPLE.COM
nslookup -type=srv _kpasswd._tcp.EXAMPLE.COM
nslookup -type=srv _ldap._tcp.EXAMPLE.COM
nslookup -type=srv _ldap._tcp.dc._msdcs.EXAMPLE.COM
.EXAMPLE.COM ::= value returned from dhcp option-1
This breaks down into three areas, two are protocol supported DNS-SD records:
_kerberos._tcpand_kpasswd._tcp(also under UNIX/Linux/OSX+some windows networks has_kadmin._tcp) are for kerberos_ldap._tcpis for ldap (openldap, opendc, sun/oracle directory, ms ad)
_LDAP._TCP.dc._msdcsis the Microsoft only extension to ldap to map the domain controller.
Домен-контроллер является центральным элементом в сети Windows, он контролирует доступ пользователей к ресурсам и управляет процессом аутентификации. Знание, к какому домен-контроллеру подключен компьютер, может быть полезным в случае проблем с доступом к ресурсам или необходимости проверки работы доменной сети.
Существует несколько способов узнать, к какому домен-контроллеру подключен компьютер. Один из самых простых и распространенных способов — использование командной строки. Для этого нужно открыть командную строку, ввести команду «nltest /dclist:<имя_домена>» и нажать Enter. В результате будет выведен список всех домен-контроллеров, с которыми компьютер установил связь.
Еще один способ узнать, к какому домен-контроллеру подключен компьютер — воспользоваться инструментом Active Directory Users and Computers. Перейдите в этот инструмент, найдите в дереве структуры доменов ваш компьютер и откройте его свойства. Во вкладке «Общие» будет указано имя домен-контроллера, с которым компьютер взаимодействует.
Знание, к какому домен-контроллеру подключен компьютер, может быть важным при настройке безопасности сети, решении проблем с доступом к ресурсам и проверке работы доменной сети в целом. Узнать это можно с помощью командной строки или в инструменте Active Directory Users and Computers.
Содержание
- Как определить, к какому домен-контроллеру подключен компьютер: пошаговая инструкция
- Шаг 1: Откройте командную строку
- Шаг 2: Введите команду «echo %logonserver%»
- Шаг 3: Нажмите клавишу «Enter»
- Шаг 4: Результат: указанное имя домена будет отображено
- Вопрос-ответ
- Как узнать, к какому домен-контроллеру подключен компьютер?
- Как проверить, к какому домен-контроллеру подключен компьютер?
- Как узнать, к какому домен-контроллеру подключен мой компьютер через PowerShell?
- Я использую Mac. Как узнать, к какому домен-контроллеру подключен компьютер?
Как определить, к какому домен-контроллеру подключен компьютер: пошаговая инструкция
Когда компьютер подключен к сети с использованием домена Windows, он должен быть привязан к домен-контроллеру. Чтобы определить, к какому домен-контроллеру подключен компьютер, следуйте инструкции ниже:
- Откройте командную строку, нажав сочетание клавиш Win + R.
- Введите команду cmd и нажмите клавишу Enter.
- В открывшемся окне командной строки введите команду nltest /dsgetdc: и нажмите клавишу Enter.
- На экране появится список доступных домен-контроллеров. Вам будет предоставлена информация о каждом домене, включая имя сервера и его IP-адрес.
- Найдите строку, которая начинается с «Имя сервера» или «Server name», и рядом будет указано имя домен-контроллера.
Теперь вы знаете, к какому домен-контроллеру подключен ваш компьютер. Если в списке есть несколько серверов, значит ваш компьютер привязан к домену со связанными контроллерами.
Это удобно знать, если у вас возникли проблемы с вашим подключением или если вам нужно передать эту информацию в поддержку, чтобы решить какую-либо проблему.
Шаг 1: Откройте командную строку
Для того чтобы узнать, к какому домен-контроллеру подключен ваш компьютер, вам потребуется открыть командную строку. Командная строка в Windows позволяет выполнять различные команды и получать информацию о системе.
Чтобы открыть командную строку, выполните следующие действия:
- Нажмите на кнопку «Пуск» в левом нижнем углу экрана.
- В появившемся меню выберите «Выполнить».
- В открывшемся окне введите «cmd» (без кавычек) и нажмите Enter.
После выполнения этих действий должно открыться окно командной строки. Теперь вы готовы перейти к следующему шагу и узнать, к какому домен-контроллеру подключен ваш компьютер.
Шаг 2: Введите команду «echo %logonserver%»
Для того чтобы узнать, к какому домен-контроллеру подключен ваш компьютер, необходимо выполнить следующую команду:
- Откройте командную строку, нажав клавишу Win + R и введите команду «cmd». Нажмите Enter.
- В появившемся окне командной строки введите команду «echo %logonserver%» и нажмите Enter.
- На экране появится результат выполнения команды, в котором указан адрес домен-контроллера, к которому подключен ваш компьютер.
Пример вывода команды:
| Результат выполнения команды |
|---|
| \\DC01 |
В данном примере компьютер подключен к домен-контроллеру с именем DC01.
Теперь вы знаете, как узнать, к какому домен-контроллеру подключен ваш компьютер с помощью команды «echo %logonserver%».
Шаг 3: Нажмите клавишу «Enter»
После ввода команды в командную строку нажмите клавишу «Enter», чтобы выполнить команду.
Когда вы нажимаете клавишу «Enter», операционная система начинает выполнение команды, и результаты появляются в командной строке.
В данном случае, после нажатия клавиши «Enter» будет произведена проверка подключения вашего компьютера к домен-контроллеру.
Шаг 4: Результат: указанное имя домена будет отображено
После выполнения предыдущих шагов, инструкция выведет указанное имя домена, к которому подключен компьютер.
Найдите строчку «Предпочитаемый контроллер домена» — указанное значение представляет собой имя домена.
Например, если у вас отображается имя домена «mydomain.local», значит ваш компьютер подключен к домену с таким именем.
Вопрос-ответ
Как узнать, к какому домен-контроллеру подключен компьютер?
Для того чтобы узнать к какому домен-контроллеру подключен компьютер, вы можете воспользоваться несколькими способами. Один из самых простых способов — это использовать команду «set» в командной строке. Введите команду «set» и найдите значение переменной «LOGONSERVER». Это значение покажет имя домен-контроллера, к которому подключен компьютер.
Как проверить, к какому домен-контроллеру подключен компьютер?
Есть несколько способов проверить, к какому домен-контроллеру подключен компьютер. Один из способов — это использовать команду «nltest» в командной строке. Введите команду «nltest /dsgetdc:» и замените «» на имя вашего домена. Результат покажет информацию о текущем домен-контроллере, к которому подключен компьютер.
Как узнать, к какому домен-контроллеру подключен мой компьютер через PowerShell?
Если вы хотите узнать, к какому домен-контроллеру подключен ваш компьютер с помощью PowerShell, вы можете воспользоваться следующей командой: «Get-WmiObject -Class Win32_ComputerSystem | Select-Object -ExpandProperty DomainController». Эта команда покажет имя текущего домен-контроллера, к которому подключен ваш компьютер.
Я использую Mac. Как узнать, к какому домен-контроллеру подключен компьютер?
Если вы используете компьютер на ОС Mac, вы можете узнать, к какому домен-контроллеру он подключен, выбрав меню «Apple» и перейдя в раздел «Системные настройки». Затем выберите «Пользователи и группы», и вкладку «Вход». Ниже имени пользователя будет указан домен, к которому подключен компьютер.