Компьютеры на сайте не проходят проверку подлинности на RODC
У меня 2 сети:
У меня есть DC во внутренней сети для моего домена и RODC в DMZ для того же домена. Между этими двумя сетями существует межсетевой экран, позволяющий использовать только те порты / трафик, которые я указал.
Когда я добавляю компьютер в DMZ и пытаюсь добавить его в домен, он все равно пытается получить доступ к моему DC во внутренней сети, а не к RODC в DMZ. Я сделал изменение, как указано здесь ( http://support.microsoft.com/kb/977510, то есть позволяет обнаруживать RODC).
Я разрешаю следующие порты между моим RODC и DC:
Назначение источника службы Эфемерные порты 49152:65535 49152:65535 FRsRPC 1:65535 53248 Kerberos 1:65535 88 LDAP 1:65535 389 SMB 1:65535 445 NTP 1:65535 123 Конечная точка RPCC 1:65535 135
У меня есть два сайта настройки... DMZ и внутренний. RODC является частью сайта DMZ, а DC - частью внутреннего сайта. Подсети также настроены и назначены на правильные сайты.
Если я запускаю nltest /dsgetdc:mydomain.local на компьютере в DMZ, возвращается RODC.
1 ответ
Несколько вещей:
Перехват пакетов netmon почти наверняка укажет вам правильное направление.
Отладка Netlogon на клиенте предоставляет полезную информацию.
Журналы сохраняются по адресу: C:\Windows\debug\netlogon.log.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters]
"DBFlag"=dword:24401F04
"MaximumLogFileSize"=dword:3200000
Когда вы настраиваете сайты, действительно важно, какие DNS-записи возвращаются клиенту. Вот как он знает, к какому DC подключаться. На самом деле netlogon.log покажет вам зону:
01/14 06:46:53 [CRITICAL] NetpDcGetDcNext: _ldap._tcp.ACMEHQ._sites.dc._msdcs.acme.com.
Я бы осмотрел эту зону в DNS.
Тогда позже:
01/14 06:46:55 [CRITICAL] NetpDcGetName: acme.com.: IP and Netbios are both done.
Таким образом, либо запись DNS для RODC не находится в ожидаемой зоне, либо не возвращается вашим DNS-сервером, либо клиент получает правильную запись DNS, но возникает другая проблема, и он подключается к другому контроллеру домена. Что, кстати, является ожидаемым поведением.