我正在 Amazon Web Services 上设置一个测试平台,其中包括 2 个 Web 服务器、1 个数据库服务器和 1 个域控制器。所有服务器都是 Windows Server 2012。我曾随机遇到 Web 服务器丢失的情况与域控制器的信任。我确信客户端和 dc 之间的防火墙设置/dns 可能存在问题。
是否有任何工具可以帮助我解决域控制器和客户端之间的连接问题?我尝试过 Microsoft 的端口查询工具。
我已禁用 Windows 防火墙并启用 AWS 防火墙规则,以排除任何不可预见的阻塞。
谢谢,可持续发展目标
答案1
- 直接回答你的问题,有用的工具是 Ncdiag 和 Nltest 以及 Portqry。Nltest 包含在 Windows 中,而 Ncdiag 应该在域控制器上。我更喜欢 Nmap 而不是 Portqry,因为它的语法更简单。除了 Ping 之外,还要从有问题的服务器扫描域控制器上是否打开了端口 88(Kerberos)、123(ntp)、389(LDAP)和 135(RPC 映射器)。nmap 示例:nmap -p 88,123,135,389 IPaddressOfDomainController
- 您提到您的问题是域信任。确保它们的时间已同步。成员服务器应从域控制器获取时间。检查注册表 HKLM\System\CurrentControlSet\Services\W32tm\Parameters。值 NtpServer 应设置为 NTDS5。在域控制器上,您可以选择使用可靠的 Internet 时间源,例如 time.nist.gov。使用命令“w32tm /config /manualpeerlist:time.nist.gov /syncfromflags:manual /reliable:yes /update”,然后重新启动 W32Time 服务。(参考: “很简单!” – Active Directory 中的时间配置)
- DNS 怎么样?您的 DC 应该是 DNS 服务器;您的成员服务器应使用 DC 作为其 DNS 服务器。反过来,除非您不使用 Internet,否则 DC DNS 应将所有其他请求转发到您的云 DNS 服务器(如果您使用 DHCP,您会看到的内容)。
- 我同意 - 不要关闭防火墙。大多数 Windows 功能都会自动添加所需的任何规则。但您可能需要仔细检查 DC 上的活动防火墙配置文件是否为域。
答案2
令人惊讶的是,每个人都提到了 portqry,但没有人谈论 portqryUI - 它不仅仅是 portqry 的一个漂亮的 GUI 包装器,它还包含一堆预定义的测试集。“域和信任”是测试集之一,它测试 AD 工作所需的所有端口。