我有两个位于不同 LAN 中的独立 Windows 域。我在两者之间建立了站点到站点 VPN。Red 是域 Dom_a 的 Windows 2003 域控制器。Blue 是域 Dom_b 的 Windows 2008 R2 域成员。我想从 Blue 安装 Red 共享文件夹。
[Red] --- [Gateway A] === [Gateway B] --- [Blue]
Share NAT / Router Router
--------------------- ----------------------
A B
Blue 可以 ping Red,执行 RDP 连接或访问 A 中的任何服务器。路由是通过 Red 和 Blue 上的静态路由完成的。如果我在 blue 的资源管理器中输入 \\red.domain\,我会得到一个密码提示。提交后,我收到错误消息,提示用户无权从此站连接。凭证应该没问题。机器上的“Net use”给我一个系统错误 2240(用户无权从此站连接)。
接下来,我将网关 A 配置为面向 Red 的 NAT。因此,来自 B 的所有流量似乎都来自 A 的本地网络。情况仍然相同。
唯一特别的是两个域名的前半部分是一致的,后半部分不一致,用户名也不一样,我觉得应该没问题。
在我看来,DC 似乎不允许来自非域计算机的连接。也许是某种网络隔离?我无法直接访问 Red。
答案1
我刚刚解决了这个问题。我将总结一些值得注意的方面:
- 使用了不同的登录名。使用 name@domain 架构。权限不正常。它实际上是一组 DFS 共享。
- 重新启用 NAT。某些文件夹仍然无法从其他子网访问。
- 为 (B) 内部的远程域 (A) 创建了一个存根区域 (带有到 A DNS 服务器的转发器)。
- 手动配置 DNS 后缀。首先是远程网络 (A) 的域,然后是本地 (B)
现在可以使用主机名、FQDN 和 IP 来访问 Red。
关于系统错误 2240 的更新
这是由用户帐户引起的另一个问题。帐户已配置为仅允许从特定计算机登录。将 Blue 的主机名添加到用户后,它立即起作用。这是在 AD 中完成的。请参阅不相关的问题从批处理文件更改允许登录计算机的列表。