我有 2 台 Sharepoint 服务器和 1 台 Fast 服务器(所有 Windows 2008 R2)从内部网络移至 DMZ 层。现在这 3 台服务器无法与 DC 和 DNS(Windows 2000)通信。防火墙 WatchGuard 已双向打开所有相关端口。但我可以 ping DC 和 DNS。我可以在 DC 和 DNS 上访问共享文件夹。
登录太慢,当我尝试将域用户添加到本地管理员组时,出现以下错误:
错误:RPC 服务器不可用。事件日志错误:**组策略处理失败。Windows 无法解析用户名。这可能是由以下一个或多个原因造成的:a) 当前域控制器上的名称解析失败。b) Active Directory 复制延迟(在另一个域控制器上创建的帐户尚未复制到当前域控制器)。
答案1
- 使用网络监视器当您尝试执行某些失败的操作(例如添加本地管理员)时,监视来自 DMZ 上的服务器的数据包重新传输。
- 由于您的 DMZ 服务器 >= 2008 而您的旧内部 AD 盒不是,因此复杂性增加了。2008 更改了 RPC 端口范围。我看到您在评论中列出了一些,但请确保2003 和 2008 上的所有端口均双向开放。
- 您应该将 DMZ 路由到内部网络,而不是通过 NAT。NAT 会使事情变得更加困难,甚至无法正常工作。微软对此确实有一些建议。
- 通过使用 IPSec 隧道可以使这一切变得更容易,但我不相信它也可以采用 NAT。