...%E2%80%9D%20%E9%94%99%E8%AF%AF%E6%B6%88%E6%81%AF%E7%9A%84%E6%89%80%E6%9C%89%E5%8F%AF%E8%83%BD%E5%8E%9F%E5%9B%A0%E6%98%AF%E4%BB%80%E4%B9%88%EF%BC%9F.png)
之前,我在将我的一个工作站(客户端)连接到我的域时遇到了问题,我认为这是因为该域尚未归我所有(参考:这个问题)。但是,根据答案,我是否认为还有其他事情发生?我在网上搜索过,但找不到答案为什么我仍然遇到问题,所以我想我应该问问这个错误信息可能是什么原因造成的。这是我的设置:
Server (DC)
==============================
IP: 192.168.0.2
Subnet Mask: 255.255.255.0
Default Gateway: 192.168.0.1
Preferred DNS: 192.168.0.2
Workstation
==============================
IP: DHCP
Subnet Mask:
Default Gateway:
Preferred DNS: 192.168.0.2
此外,我有一个针对本地域 (internal.domain.com) 的正向查找区域。以下是客户端和服务器的 nslookups 转储:
> nslookup internal.domain.com
Server: cdns02.comcast.net
Address: 2001:558:feed::2
Non-authoritative answer:
Name: internal.domain.com
Address: 50.19.***.*** (definitely not my IP address)
> nslookup -type=SRV _Kerberos._tcp.dc._msds.internal.domain.com
Server: cdns02.comcast.net
Address: 2001:558:feed::2
primary name server = ns.buydomains.com
responsible mail addr = hostmaster.buydomains.com
serial = ...
refresh = ...
retry = ...
expire = ...
default TTL = ...
这在服务器和客户端上都显示相等,这让我认为它们都是不是使用我的服务器作为 DNS 查找,这就是我遇到问题的原因?我真的不知道这里发生了什么。我只是在寻找可能存在的问题,并尝试回答上一个问题的答案中的大部分后续问题。
更新:
我用了这个问题的答案生成一个伪唯一的 IPv6 地址,其格式为 xxxx:xxxx:xxxx:xxxx::/64。以下是我在服务器上使用的设置:
Server (DC) IPv6
=============================================================
IPv6 Address: xxxx:xxxx:xxxx:xxxx::1
Subnet Prefix Length: 64
Default Gateway: xxxx:xxxx:xxxx:xxxx:ffff:ffff:ffff:ffff
我进入路由器并更改了 IPv6 设置。它显示“Obtain a DNS server address automatically or enter a specific DNS server address.“,在这种情况下,我选择将 DNS 服务器地址指定为我的服务器的静态地址。我还将 Google 的公共 DNS 服务器设置为辅助服务器。
最后,我的客户端计算机能够立即加入网络。另外,为了保险起见,我将客户端计算机的 IPv6 DNS 设置为指向我的服务器(同样,为了保险起见)。
如果其他人遇到 IPv6 问题,这似乎就是解决方案。好消息是,我现在可以使用 RSAT 从我的主要客户端管理我的服务器(我可以从服务器上移除我的显示器、键盘和鼠标)。
答案1
我猜你找不到很多描述你看到的内容的文章,因为绝大多数 Active Directory 部署都没有使用 IPv6。输出中显示的地址nslookup表明你肯定在使用 IPv6(考虑到 Comcast 是你的 ISP,这也说得通)。
您的客户端从您的 ISP(您无法控制的 DNS 服务器)获取 IPv6 DNS,因此,不会参考您 DNS 服务器上的权威正向查找区域。一般而言,建议您的客户端仅指定 Active Directory 域控制器 (DC) 的 DNS 服务器。
在您的 DHCPv6 范围上配置 DNS 服务器选项(选项“0023 DNS 递归名称服务器 IPv6 地址”)以将您的 DC 指定为 DNS 服务器,并且您的客户端将停止在您的 LAN 之外寻找 DHCP。
编辑:
假设您不记得在 Windows Server 计算机上设置 IPv6 范围,则您可能有一个充当 DHCPv6 服务器的路由器。如果不知道路由器是什么(如果它是 IPv6 的 DHCP 服务器),我无法为您提供有关如何更改它的分步指南。
查看路由器的管理界面,看看是否可以配置 DHCP 服务器的 IPv6 选项。假设可以,您可以将 Windows Server 计算机设置为静态 IPv6 地址,并将其指定为 PC 的 DNS 服务器。
如果路由器不允许您修改 IPv6 选项的 DHCP 选项,则您需要在路由器上禁用 IPv6 DHCP,并在 Windows Server 计算机上为 IPv6 配置 DHCP 范围。您需要创建一个唯一本地地址对于 IPv6 网络,请为 Windows Server 计算机分配一个静态 IPv6 地址,并在 IPv6 范围的选项中将其配置为 DNS 服务器。这里有一篇文章介绍如何在 Windows Server 2008 上配置 IPv6 DHCP并且对于 Windows Server 2012 来说至少应该是合理准确的。
作为所有这些的替代方案,您可以选择配置 Windows 优先使用 IPv4 而不是 IPv6 或直接禁用 IPv6在服务器和客户端计算机上。这不是 Microsoft 推荐的做法,但你可以这样做。一篇不错的 Technet 维基文章,其中包含组策略的管理模板禁用 IPv6,但您会陷入先有鸡还是先有蛋的境地,在您解决此问题之前,您的客户端将无法处理组策略。
最后,我对你选择的 Active Directory 域名感到担忧。过去曾发生过关于此问题的宗教战争,但推荐的最佳做法对于 Active Directory 域名,假设您可以选择一个不是(并且永远不会成为)有效 Internet 名称的名称。您正在使用 Comcast 的 DNS 服务器可以解析的内容,这可能会给移动客户端带来问题,因为解析域名的能力是客户端在启动期间使用的协议的一部分,用于确定是否应尝试联系 DC 并处理组策略。当客户端连接到 Internet 时,您可能会有非常长的启动时间,无法真正到达您的 DC,但会收到 Active Directory 域名的虚假 DNS 响应。(多年来,我诅咒了几位顾问,他们建立了网络,后来我以这种方式“继承”了这些网络……谢谢大家!这将是一个即将进行的域名重命名……)
答案2
此错误通常与 DNS 有关。您的工作站需要使用内部 DNS 服务器,并且必须具有 AD 相关(已创建)记录。
如果您的 nslookup 正在解析来自网络外部的地址,则意味着您的查询正在被转发到外部服务器,并且您正在使用现有的有效名称来访问您的内部域。