位于我们 DMZ 中的 Windows Server 2012 R2 Standard 与 RoDC 的连接存在问题

位于我们 DMZ 中的 Windows Server 2012 R2 Standard 与 RoDC 的连接存在问题

我们的环境在内部 LAN 中有多个 2008 R2 DC:s,在 DMZ 中有一个 2008 R2 RoDC:s。

我们在 DMZ 中设置了 2008 R2 服务器,并使用 DJOIN 将它们加入到域中。

一切正常,但随后我们开始在 DMZ 中设置 2012 R2 服务器。DJOIN 成功将 2012 R2 服务器加入域,但我们无法使用任何域用户登录。登录期间,它显示“其他用户”,然后显示“当前没有可用于处理登录请求的登录服务器”

我们已经在 DMZ 中建立了 2012 R2 RoDC,但问题仍然存在。

我们找到了一个临时的解决方法来解决这个问题,那就是打开从新的 2012 R2 服务器到内部网络中的主域控制器的通信,然后以域用户身份成功登录 2012 R2 服务器。之后可以再次阻止通信,其他用户可以与他们的域用户一起登录 DMZ 中的 2012 R2 服务器。

我们打开了对主域控制器的完全访问权限(TCP/IP),它也可以向任何域控制器打开几个端口。

由于这种临时解决方法并不是一个好的解决方案,我们希望能够找到 2012 R2 服务器不想与任何 RoDC(一个 2008 R2 和一个 2012 R2)通信的原因,而无需先与内部网络中的 DC 通信

由于 2012 R2 服务器无法在 DMZ 中找到 RoDC,我猜这是 DNS 问题,但 2008 R2 和 2012 R2 之间有什么变化?我已经搜索并与我们的顾问交谈过,但他们不知道可能是什么原因

请帮忙

答案1

客户端计算机无法发现它所在的 AD 站点。当您向读写 DC 打开防火墙时,计算机便能够发现它所在的 AD 站点,问题就解决了。为了避免必须打开对读写 DC 的访问权限,您必须提前告诉计算机它所在的 AD 站点。

回答:

  1. 导航到:HKLM\System\CurrentControlSet\Services\Netlogon\Parameters
  2. 在右侧窗格中,创建一个名为“字符串值”的新字符串值网站名称对于值名称,请键入客户端计算机所在站点的名称。
  3. 关闭注册表编辑器并重新启动客户端计算机以使注册表更改生效。

在这里我找到了答案: http://social.technet.microsoft.com/forums/windowsserver/en-US/968e5f0f-8dda-4e57-b37f-8d858d568225/perimeter-network-to-rodc-no-logon-servers-available-using-ipsec-tunnel

这是微软的官方参考资料。“在客户端计算机上运行连接脚本”部分的第 6-8 步中提到了该注册表项。 http://technet.microsoft.com/en-us/library/dd728035(WS.10).aspx

相关内容