我有一个 ASA 防火墙(内部接口 ip=10.15.15.1 和外部 int=192.168.3.1)。DNS 服务器位于 ASA 内部。内部的所有 PC 都能够加入域,但 ASA 外部的 PC 拒绝加入域。PC 可以从内部和外部访问互联网并 ping 域,但无法加入域。我遗漏了什么吗?
Domain controller(10.15.15.3)------(inside int =10.15.15.1)ASA(outside=192.168.3.1)------internet------pc2(fails to join to domain but can ping the ip for domain)
答案1
仅能 ping 通 DC 以让 PC 加入域是不够的。您需要做的远不止这些。为此,还需要访问一系列端口。Microsoft 列出了您可以在以下链接中找到的端口。
详细列表请见此处:Active Directory 和 Active Directory 域服务端口要求
您需要相应地配置您的 ASA 防火墙,并了解如何确保客户端 PC 能够在适当的 nat 规则的帮助下通过列出的端口进行通信。
答案2
Microsoft 既未测试也不建议使用 NAT 上的活动目录: https://support.microsoft.com/en-us/kb/978772
但似乎有一个解决方案: