ad cmdlets en de domain controller waar ze mee werken

Ik ben op dit moment bezig met het troubleshooten van enkele powershell scripts die hier in de organisatie draaien die over user management gaan. Deze scripts maken zeer veel gebruik van active directory commandlets.

In het verleden zijn er enkele problemen geweest met deze scripts wanneer deze gebruik gingen maken van een domain controller in een andere regio en er kortstondig een onderbreking in de verbinding was. Hierop werden de scripts aangepast waarbij de AD cmdlets allemaal werden uitgevoerd met de -server parameter met behulp van

Dit had evenwel een groot neveneffect waar ik recent op gestoten ben. Elke cmdlet die je met een -server draait gaat een logon doen op die domain controller en zo zag ik in de security logs dus veel te vaak meer dan 10 000 logons per minuut komen vanaf het service account dat deze scripts draait. (I know, een review en optimalisatie dringt zich op en staat in de planning)

Vandaar de volgende vraag: iemand die weet hoe een AD cmdlet gaat bepalen welke DC te gebruiken? Is dat de server waartegen de gebruiker geauthenticeerd is? Of gaat deze telkens een nieuwe discovery doen om te bepalen welke DC te gebruiken? We zouden vooral willen dat ze binnen de eigen site blijven.

De sites lijken mij op dit moment goed opgezet te zijn. Nadeel aan een nieuwkomer te zijn is dat ik niet kan verifieren of dat dit recent gedaan is of niet. Ik heb, sinds het schrappen van de -server parameter zelf, ook nog geen activiteit waargenomen in andere regios die vanuit deze scripts zouden kunnen komen.

Een snelle blik met wireshark heeft gelukkig wel aangetoond dat er niet telkens een DNS lookup plaatsvindt maar dat er gelukkig wel gecached wordt. Zal dus moeten monitoren of de site instellingen gerespecteerd worden want er worden zowel srv records opgevraagd voor de site als voor het volledige domein heb ik gezien.