我有一个办公室子网(例如 192.168.10.x)和一个访客子网(192.168.99.x),它们都使用 pfSense 盒作为网关/路由器。办公室子网由使用 Windows 2003 域控制器的 Active Directory“控制”--DC 发出 DHCP 租约、控制 DNS 等。我的访客子网由 pfSense 控制。
我想要位于来宾子网上的 WinXP 客户端计算机来访问 Active Directory 资源,就像它们位于办公室子网上一样。
VPN 可能是一种可能性,但由于两个子网都由同一个 pfSense 盒控制,因此路由变得混乱。
VLAN 实际上是不可能的。
我觉得我几乎可以做到了,但我遇到了问题。愚蠢的是,我们的域控制器上有文件服务器甚至 Exchange,而客户端无法正确访问这些资源。
以下是实际操作:
- 客户端和办公室子网上的大多数机器可以相互通信。
- 我在 Active Directory 站点和服务中设置了来宾子网
- 客户端可以访问办公室子网上的 DNS(也在域控制器上运行)
- 客户端可以通过 RDP 连接到办公室子网上的非域控制器
- 我认为客户端甚至可以验证是否正确登录
- 我手动将客户端的 DNS 条目添加到 Active Directory 的 DNS 中
但客户端无法通过 RDP 连接到域控制器、访问 Exchange 或访问文件共享。当我将客户端移至办公室子网时,它就可以执行这些操作。
据我所知,服务器事件日志没有提供任何线索。
客户端事件日志有一些线索。以下是一个例子:
W32Time eventID 18
The time provider NtpClient failed to establish a trust relationship between this
computer and the MYDOMAIN domain in order to securely synchronize time. NtpClient
will try again in 60 minutes. The error was: The trust relationship between this
workstation and the primary domain failed. (0x800706FD)
如果没有信任关系,那么我就无法进行身份验证,但我确信我可以。(我会再检查一遍,以确保它不仅仅是缓存的凭据。)
我怀疑域控制器上的某些设置使得它们在客户端位于远程子网时不信任它。但我无法找到可能的原因,也无法找到有关此问题的文档。
我错过了什么?
我还应该考虑其他解决这个问题的方法吗?
答案1
如果客户端加入了域,那么阻止其正常通信的唯一原因是流量没有正确地从一个子网路由到另一个子网,客户端的 DNS 设置错误,或者防火墙阻止了从一个子网到另一个子网的所需流量。
如果那里没有 DC 或者没有 AD 集成服务(Exchange、DFS),那么在 ADS&S 中设置其他子网实际上对您没有任何好处。
答案2
您的服务器上的 Windows 防火墙可能只允许来自本地子网的某些类型的流量?还要验证客户端是否正在使用适当的 AD DNS 服务器。如果您允许 pfSense 上的站点之间的所有流量,则它不是罪魁祸首。面向 DC 的 LAN 上的数据包捕获会说明,如果该服务器上的本地防火墙仅允许本地子网流量,您将看到流量离开 LAN 并且永远不会得到响应。