Компьютеры на сайте не проходят проверку подлинности на RODC

У меня 2 сети:

  • 172.33.0.x: Моя внутренняя сеть
  • 192.168.1.x: Моя сеть DMZ
  • У меня есть DC во внутренней сети для моего домена и RODC в DMZ для того же домена. Между этими двумя сетями существует межсетевой экран, позволяющий использовать только те порты / трафик, которые я указал.

    Когда я добавляю компьютер в DMZ и пытаюсь добавить его в домен, он все равно пытается получить доступ к моему DC во внутренней сети, а не к RODC в DMZ. Я сделал изменение, как указано здесь ( http://support.microsoft.com/kb/977510, то есть позволяет обнаруживать RODC).

    Я разрешаю следующие порты между моим RODC и DC:

    Назначение источника службы
    Эфемерные порты 49152:65535     49152:65535
    FRsRPC            1:65535         53248
    Kerberos          1:65535         88
    LDAP              1:65535         389
    SMB               1:65535         445
    NTP               1:65535         123
    Конечная точка RPCC 1:65535         135
    

    У меня есть два сайта настройки... DMZ и внутренний. RODC является частью сайта DMZ, а DC - частью внутреннего сайта. Подсети также настроены и назначены на правильные сайты.

    Если я запускаю nltest /dsgetdc:mydomain.local на компьютере в DMZ, возвращается RODC.

    1 ответ

    Несколько вещей:

    Перехват пакетов netmon почти наверняка укажет вам правильное направление.

    Отладка Netlogon на клиенте предоставляет полезную информацию.

    Журналы сохраняются по адресу: C:\Windows\debug\netlogon.log.

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters]  
    "DBFlag"=dword:24401F04  
    "MaximumLogFileSize"=dword:3200000  
    

    Когда вы настраиваете сайты, действительно важно, какие DNS-записи возвращаются клиенту. Вот как он знает, к какому DC подключаться. На самом деле netlogon.log покажет вам зону:

    01/14 06:46:53 [CRITICAL] NetpDcGetDcNext: _ldap._tcp.ACMEHQ._sites.dc._msdcs.acme.com.  
    

    Я бы осмотрел эту зону в DNS.

    Тогда позже:

    01/14 06:46:55 [CRITICAL] NetpDcGetName: acme.com.: IP and Netbios are both done.  
    

    Таким образом, либо запись DNS для RODC не находится в ожидаемой зоне, либо не возвращается вашим DNS-сервером, либо клиент получает правильную запись DNS, но возникает другая проблема, и он подключается к другому контроллеру домена. Что, кстати, является ожидаемым поведением.

    Другие вопросы по тегам