是否有任何特定工具可用于解决域控制器和客户端连接问题？

Question 1

直接回答你的问题，有用的工具是 Ncdiag 和 Nltest 以及 Portqry。Nltest 包含在 Windows 中，而 Ncdiag 应该在域控制器上。我更喜欢 Nmap 而不是 Portqry，因为它的语法更简单。除了 Ping 之外，还要从有问题的服务器扫描域控制器上是否打开了端口 88（Kerberos）、123（ntp）、389（LDAP）和 135（RPC 映射器）。nmap 示例：nmap -p 88,123,135,389 IPaddressOfDomainController
您提到您的问题是域信任。确保它们的时间已同步。成员服务器应从域控制器获取时间。检查注册表 HKLM\System\CurrentControlSet\Services\W32tm\Parameters。值 NtpServer 应设置为 NTDS5。在域控制器上，您可以选择使用可靠的 Internet 时间源，例如 time.nist.gov。使用命令“w32tm /config /manualpeerlist:time.nist.gov /syncfromflags:manual /reliable:yes /update”，然后重新启动 W32Time 服务。（参考： “很简单！” – Active Directory 中的时间配置）
DNS 怎么样？您的 DC 应该是 DNS 服务器；您的成员服务器应使用 DC 作为其 DNS 服务器。反过来，除非您不使用 Internet，否则 DC DNS 应将所有其他请求转发到您的云 DNS 服务器（如果您使用 DHCP，您会看到的内容）。
我同意 - 不要关闭防火墙。大多数 Windows 功能都会自动添加所需的任何规则。但您可能需要仔细检查 DC 上的活动防火墙配置文件是否为域。

Answer

直接回答你的问题，有用的工具是 Ncdiag 和 Nltest 以及 Portqry。Nltest 包含在 Windows 中，而 Ncdiag 应该在域控制器上。我更喜欢 Nmap 而不是 Portqry，因为它的语法更简单。除了 Ping 之外，还要从有问题的服务器扫描域控制器上是否打开了端口 88（Kerberos）、123（ntp）、389（LDAP）和 135（RPC 映射器）。nmap 示例：nmap -p 88,123,135,389 IPaddressOfDomainController
您提到您的问题是域信任。确保它们的时间已同步。成员服务器应从域控制器获取时间。检查注册表 HKLM\System\CurrentControlSet\Services\W32tm\Parameters。值 NtpServer 应设置为 NTDS5。在域控制器上，您可以选择使用可靠的 Internet 时间源，例如 time.nist.gov。使用命令“w32tm /config /manualpeerlist:time.nist.gov /syncfromflags:manual /reliable:yes /update”，然后重新启动 W32Time 服务。（参考： “很简单！” – Active Directory 中的时间配置）
DNS 怎么样？您的 DC 应该是 DNS 服务器；您的成员服务器应使用 DC 作为其 DNS 服务器。反过来，除非您不使用 Internet，否则 DC DNS 应将所有其他请求转发到您的云 DNS 服务器（如果您使用 DHCP，您会看到的内容）。
我同意 - 不要关闭防火墙。大多数 Windows 功能都会自动添加所需的任何规则。但您可能需要仔细检查 DC 上的活动防火墙配置文件是否为域。

Question 2

令人惊讶的是，每个人都提到了 portqry，但没有人谈论 portqryUI - 它不仅仅是 portqry 的一个漂亮的 GUI 包装器，它还包含一堆预定义的测试集。“域和信任”是测试集之一，它测试 AD 工作所需的所有端口。

Answer

令人惊讶的是，每个人都提到了 portqry，但没有人谈论 portqryUI - 它不仅仅是 portqry 的一个漂亮的 GUI 包装器，它还包含一堆预定义的测试集。“域和信任”是测试集之一，它测试 AD 工作所需的所有端口。

相关内容