在提出问题之前,我将先介绍一些背景信息。
网络设置:
带云防火墙的 5 站点 MPLS。SSLVPN 客户端连接到云防火墙并通过 LDAP 根据我们的 PDC 对用户进行身份验证,并为其提供可在 MPLS 上路由的 IP。
设备位置:
虚拟化服务器 2003 SE 作为 PDC @site1
虚拟化服务器 2012 作为 DC Slave @site5
虚拟化服务器 2003 SE 作为文件服务器@site5
XP Pro 客户端使用 SSLVPN 从家里连接到 MPLS。
场景:
一名员工最近开始在家办公。她将公司拥有的域连接笔记本电脑带回家,通过我们的 SSLVPN 连接进行工作。用户可以使用域凭据登录 SSLVPN,并能够与上述三台服务器通信。用户在文件服务器上有 2 个需要访问的共享。这些共享在权限/安全性方面分配了 4 个组:会计、本地管理员、域管理员、经过身份验证的用户。当他们在 site1 时,他们可以使用他们的凭据访问共享。当他们通过 SSLVPN 从家里连接并尝试从他们的域帐户访问这些共享时,他们会收到消息“无法找到 DC 来验证此用户”(他们的用户名在会计组中)。但是,我可以输入我的凭据(域管理员组),它可以正常进行身份验证并允许访问。
我检查了所有共享和安全设置,没有发现任何导致问题的地方。我还编辑了她电脑的主机文件,以自动将每台服务器解析为正确的 IP 地址,即 Servername 和 servername.domain.com。可以通过 ping 验证通过主机名和 FQDN 进行的通信。我研究了 XP 如何定位 DC,但无法确定它为什么无法找到 DC 进行身份验证。现在,该用户必须通过 RDP 访问 site5 上的应用服务器中的共享文件,但这并不是最佳选择。
问题:
为什么我的域凭据能够通过 DC 进行身份验证,但用户凭据在尝试访问共享时会出现“无法找到 DC 来验证用户”的情况。
答案1
看起来,我们的防火墙为 SSLVPN 适配器提供了无用的 DNS,从而阻止某些用户找到要进行身份验证的 DC。将默认 DNS 替换为我们的内部 DNS,然后在计算机的防火墙上打开一个文件共享漏洞并打开计算机浏览器服务,问题就解决了。