我有2个网络:
我在域的内部网络中有一个 DC,在同一个域的 DMZ 中有一个 RODC。这两个网络之间存在防火墙,仅允许我指定的端口/流量。
当我在 DMZ 中添加计算机并尝试将其添加到域时,它仍会尝试访问内部网络上的 DC,而不是 DMZ 中的 RODC。我已按照此处指定的方式进行了更改 (http://support.microsoft.com/kb/977510,即允许 RODC 被发现)。
我允许 RODC 和 DC 之间的以下端口:
服务来源目的地 临时端口 49152:65535 49152:65535 FRsRPC 1:65535 53248 Kerberos 1:65535 88 LDAP 1:65535 389 中小企业 1:65535 445 NTP 1:65535 123 RPCC 端点 1:65535 135
我设置了两个站点...DMZ 和内部。RODC 是 DMZ 站点的一部分,而 DC 是内部站点的一部分。还设置了子网,并将其分配给正确的站点。
如果我在 DMZ 中的计算机上运行 nltest /dsgetdc:mydomain.local,则会返回 RODC。
答案1
一些东西:
Netmon 数据包捕获几乎肯定会为您指明正确的方向。
客户端上的 Netlogon 调试提供了有用的信息。
日志保存在:C:\Windows\debug\netlogon.log。
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters]
"DBFlag"=dword:24401F04
"MaximumLogFileSize"=dword:3200000
配置站点时,真正重要的是返回给客户端的 DNS 记录。这样它就知道要连接到哪个 DC。netlogon.log 实际上会向您显示区域:
01/14 06:46:53 [CRITICAL] NetpDcGetDcNext: _ldap._tcp.ACMEHQ._sites.dc._msdcs.acme.com.
我会在 DNS 中检查该区域。
然后后来:
01/14 06:46:55 [CRITICAL] NetpDcGetName: acme.com.: IP and Netbios are both done.
因此,要么是 RODC 的 DNS 记录不在预期区域中,要么是 DNS 服务器未返回该记录,要么是客户端获取了正确的 DNS 记录,但发生了其他问题,导致客户端连接到了其他 DC。顺便说一句,这是预期的行为。