我们刚刚在新站点中添加了新的 Server 2008 (sp2) 域控制器,这是我们的第一个此类配置。它通过 VPN 网关 WAN(10Mbit)。不幸的是,它显示了一个奇怪的网络症状。如果连接是通过纯 IPv4 传入的,则主动拒绝与 SMB 端口(TCP/139 和 TCP/445)的连接。如果传入连接是通过 6to4 隧道传入的,则这些连接可以建立并正常工作。
这不是防火墙的问题,因为这种行为在防火墙关闭的情况下也可以重现。此外,它实际上向连接尝试发出 RST 数据包;只有当端口后面有服务并且服务本身拒绝访问时,才会在 Windows 防火墙上发生这种情况。我怀疑这是线路上的某个防火墙设备的问题,因为这个设备替换的服务器正在运行 Samba,从我们的主要网络访问它运行正常。
我认为这可能与 AD 站点和服务中的子网列表有关,但我不确定。我们没有在其中放置任何 IPv6 地址,只有 v4,并且 v4 连接被拒绝。不幸的是,我无法弄清楚。我们需要能够从主校区与此 DC 通信。是否存在某种基于站点的 SMB 级过滤?我可以很好地与校园内的 DC 通信,但这是通过 v6 隧道进行的。我无法访问该远程子网上的常规机器,这限制了我的测试能力。
答案1
这里回答我自己的问题,但 Helvick 回答得很准确。刚刚和我们的防火墙人员进行了一次长谈(他们一整天都不在办公室,忙着搭建新的远程站点,所以之前我还没有机会和他们交谈)。他们重新安排了规则顺序,似乎已经解决了问题。旧的传统 IPv4 BLOCK TCP/139 规则被 6to4 网关绕过,这就是流量通过的原因。
回想起来,我们之前进行的 Samba 访问不应该从主网络进行。我必须检查一下发生了什么。
反正已经解决了。