域控制器在域中只有一個，為什么主域控制器關機后，域客戶機還能登錄到域呢？下文給出詳細解釋。

當一臺域計算機脫離域環境中后，與控制器失去聯系，用戶登陸到域中使用的緩存信息登陸。在域控制器不可用的情況下可被緩存的前次登陸個數為１０。如果超過這個默認的次數，有可能造成用戶無法使用緩存登陸。可以嘗試更改這個默認的鍵值然后重新啟動計算機并且禁用緩存登陸。那么我們如何去修改這個默認的鍵值呢？

在  "本地計算機策略--計算機配置--Windows  設置--安全設置---本地策略--安全選項"中，存在如下設置項：

Interactive logon: Number of previous logons to cache (in case domain controller is not available)  ：      10 logons

這里所指的10次，是10個用戶登陸。而不是一個用戶登陸的最大有效次數，一個用戶可登陸的次數理論上是無限的。如果要禁止此項設定，您可以把這個值設為0。

這些信息存在 HKEY_LOCAL_MACHINE\SECURITY\Cache 里。其下設定10個子鍵，名稱從 NL$1-NL$10，每當一個帳戶登陸此計算機，其Profile被創建在 %HOMEDRIVE%\Documents and Settings 下，相應的帳戶信息和安全性描述被緩存下來，并在此鍵值中作出記錄。該鍵值中記錄已經登陸帳戶的名稱及其相關標識。

（注：默認情況下，管理員組對于 HKEY_LOCAL_MACHINE\SECURITY 子鍵沒有讀寫權限，您可以執行 regedt32.exe <windows 2000> 或者 regedit.exe <windowsXP> 添加對于該子鍵的讀權限。關于注冊表的描述和操作，請參考 Microsoft Windows 注冊表說明 ）

值得注意的是，這里所說的 10 個用戶帳戶，是指已經在本地登陸過的，也就是已經 cache 到本地了的帳戶，而不是任意的帳戶。如果沒有登陸過帳戶，由于在登陸的時候，需要查詢域控制器，那么在交互式登陸下，系統立刻會提示當前域不可用。在加入域的計算機中，此策略的有效設定，最終取決于域策略的設定。

由于windows中此項機制的運作，此鍵值可以作為入侵檢測的項目之一。

關于此設定描述，可以參考 825805 "Interactive Logon: Number of Previous Logons to Cache" Help Topic

有趣的是，即便在Windows 2003 的隨機文檔中，關于此項的描述也是錯誤的，或許這個設定從字面上來理解，太容易讓人誤解了

主域控制器關機后，域客戶機還能登錄到域的原因上文已給出詳細的解釋，希望本文能夠對讀者有所幫助。

【編輯推薦】

1. 域控制器降級基礎知識
2. 域控制器的安裝及降級的方法
3. windows 2003域控制器之無縫遷移
4. 主域控制器的安裝與配置步驟與方法
5. windows2003域控制器升級和降級的圖文教程