我们的环境在内部 LAN 中有多个 2008 R2 DC:s,在 DMZ 中有一个 2008 R2 RoDC:s。
我们在 DMZ 中设置了 2008 R2 服务器,并使用 DJOIN 将它们加入到域中。
一切正常,但随后我们开始在 DMZ 中设置 2012 R2 服务器。DJOIN 成功将 2012 R2 服务器加入域,但我们无法使用任何域用户登录。登录期间,它显示“其他用户”,然后显示“当前没有可用于处理登录请求的登录服务器”
我们已经在 DMZ 中建立了 2012 R2 RoDC,但问题仍然存在。
我们找到了一个临时的解决方法来解决这个问题,那就是打开从新的 2012 R2 服务器到内部网络中的主域控制器的通信,然后以域用户身份成功登录 2012 R2 服务器。之后可以再次阻止通信,其他用户可以与他们的域用户一起登录 DMZ 中的 2012 R2 服务器。
我们打开了对主域控制器的完全访问权限(TCP/IP),它也可以向任何域控制器打开几个端口。
由于这种临时解决方法并不是一个好的解决方案,我们希望能够找到 2012 R2 服务器不想与任何 RoDC(一个 2008 R2 和一个 2012 R2)通信的原因,而无需先与内部网络中的 DC 通信
由于 2012 R2 服务器无法在 DMZ 中找到 RoDC,我猜这是 DNS 问题,但 2008 R2 和 2012 R2 之间有什么变化?我已经搜索并与我们的顾问交谈过,但他们不知道可能是什么原因
请帮忙
答案1
客户端计算机无法发现它所在的 AD 站点。当您向读写 DC 打开防火墙时,计算机便能够发现它所在的 AD 站点,问题就解决了。为了避免必须打开对读写 DC 的访问权限,您必须提前告诉计算机它所在的 AD 站点。
回答:
- 导航到:HKLM\System\CurrentControlSet\Services\Netlogon\Parameters
- 在右侧窗格中,创建一个名为“字符串值”的新字符串值网站名称对于值名称,请键入客户端计算机所在站点的名称。
- 关闭注册表编辑器并重新启动客户端计算机以使注册表更改生效。
这是微软的官方参考资料。“在客户端计算机上运行连接脚本”部分的第 6-8 步中提到了该注册表项。 http://technet.microsoft.com/en-us/library/dd728035(WS.10).aspx