在推广新域控制器时遇到问题。我们将新服务器称为“newserv”。
错误是 -“无法联系域“mydomain”的 Active Directory 域控制器。”-
- newserv 可以通过 FQDN (即 DC1.mydomain) ping 域控制器
- newserv 无法在没有 .mydomain 的情况下 ping 域控制器
- newserv 上的 NSLOOKUP 显示默认服务器为 PDC.mydomain
- NSLOOKUP 设置类型=all --> _ldap.tcp.dc._msdcs.mydomain 显示所有 SRV 服务位置,并具有正确的 IP 地址。
- newserv 具有静态 IP,主 DNS 和辅助 DNS 指向 DC1.mydomain 和 DC2.mydomain
- 如果我只是尝试加入域,错误详细信息表明 SRV 记录查询显示了我的所有域控制器,但是无法联系它们。
我尝试过的一些东西,其他的注释;
- 我已尝试将主 DNS 设置为指向其自身。
- 我尝试在高级 DNS 设置下添加 DNS 后缀“mydomain”。
- newserv 可以加入不同的域,没有问题。
我的域名没有后缀。它只是“mydomain”——我以前在将 MAC OS 加入域时遇到过这个问题。
服务器是在 HyperV 中运行的虚拟机,它加入了不同的域。
我想象这可能是某种 DNS 问题,但我不知道从哪里开始解决它。
非常感谢您的帮助。
答案1
这通常意味着所需端口(例如 UDP/389)被阻止,可能是由于防火墙。您可以通过使用 PortQueryUI 进行测试来确认:
PortQryUI - PortQry 命令行端口扫描器的用户界面
https://www.microsoft.com/en-us/download/details.aspx?id=24009
如果任何所需端口被阻止,它们将显示为“已过滤”。
答案2
Windows 域名推广严重依赖 DNS 服务,如果我是你,我会检查以下配置是否准备好:
没有启用Windows防火墙在域控制器之间
履行简单网络检查,例如从两个方向在现有域控制器和新服务器之间进行 ping 操作。
然后,设置 DNS一个记录适用于您的新服务器newserv.mydomain
另外,设置 DNSPTR 记录对于你的新服务器(如果你的服务器 IP 是 192.168.1.1,那么你有一个 PTR 记录1.1.168.192.in-地址.arpa
履行DNS 查找检查从现有域控制器迁移到新服务器:
nslookup newserv.mydomain.com
从新服务器执行类似的测试:
nslookup {域控制器的 DNS}
确保您已使用要加入的域的域管理员/企业管理员用户帐户。由于您的 Hyper-V VM 在不同的域中运行,因此您必须在输入用户名时指定域名:
例如我的域名\管理员 或者 [电子邮件保护]
希望它能为您提供有关如何加入域的一些想法。