Identifica os aplicativos que estão configurados para se conectar a um controlador de domínio específico

Encerre cada CD por alguns dias e aguarde os gritos.

Sério, é o único jeito.

Quem quer que queira conversar com o Active Directory deve encontrar um controlador de domínio usando o processo adequado . Mas alguns desenvolvedores de aplicativos são definitivamente tolos o suficiente para querer um DC definido estaticamente; bem, é culpa deles, e eles devem pagar por isso.

Mas você, como administrador do AD, não tem absolutamente nenhuma maneira de saber se um aplicativo está falando com um DC específico porque ele realmente o pesquisou da maneira correta ou porque alguém o configurou estaticamente.

Infelizmente, desligar cada CD e verificar se alguma coisa para de funcionar é o único caminho.

Outro método para tentar identificar esses servidores pode ser executar algo como o Network Monitor nos controladores de domínio e executar uma captura, filtrando o tráfego de autenticação. Você poderia filtrar ainda mais os endereços IP de seus servidores para restringir os resultados exibidos. O truque será determinar qual tráfego de autenticação está relacionado aos seus aplicativos. Procure por AS Request Cname tráfego que contém um nome de usuário, como na captura de tela abaixo, e investigue isso. Evidentemente, eu nunca tive que fazer isso, mas este é certamente um método que eu tentaria.

Uma coisa que você pode fazer é remover o registro A e os outros mnemônicos do DNS. Isso resultaria nos registros DNS usuais para um controlador de domínio não registrado e não retornado para conexões de política de autenticação ou de grupo normais. Em seguida, execute uma captura de pacote para identificar de onde o tráfego pode estar originando.

Como otimizar a localização de um controlador de domínio ou catálogo global que reside fora do site de um cliente
link

Geralmente, isso é feito para uma topologia de hub e spoke. Para um site spoke, você não desejaria que o DC registrasse registros DNS para que apenas os clientes desse site se conectassem a ele. Depois de configurar isso, o tráfego de autenticação normal deve ser minimizado para o controlador de domínio.

1. Adicione novos controladores de domínio em seu ambiente (mesma versão do sistema operacional ou nova versão do sistema operacional, se tiver certeza sobre a compatibilidade de aplicativos).
2. Mascare os antigos controladores de domínio no DNS, isso significa remover tudo registrado pelo serviço NetLogon (bem, nem tudo, os registros GUID são usados para a replicação, portanto, devemos manter este).
3. Espere até que os caches dos clientes expirem e o TADA! Todas as consultas LDAP que você vê atingindo o DC mascarado, todas as solicitações de autenticação são de aplicativos e servidores que não aproveitam o DCLocator e acabam tendo uma configuração codificada. Como os controladores de domínio ocultos ainda estão em execução e sendo replicados, isso não afeta os aplicativos codificados permanentemente ao usá-los.

De: blogs.technet.com / ...