我们最近将我们的域升级到 Windows Server 2016。我们有两个在域功能级别 2016 上运行的新 DC,删除了旧的 DC,现在我们似乎遇到了一个奇怪的问题。
我们装有 Windows Server 2008 R2 的旧服务器(虚拟机和物理机都一样)无法连接到 DC2,无论是通过 SMB、kerberos 约束委派等。它们可以 ping DC2,但无法访问任何需要身份验证的服务。然而,这一切对于我们的 DC1 都有效 - 2012(R2)、2016 服务器和 Windows 10 客户端可以毫无问题地访问这两个 DC。
由于 DC2 运行新的 PKI,我认为这可能是错误,但我感到很困惑,所有相应的 2008 R2 服务器都具有由该 PKI 颁发的有效证书,所以这不是问题。
例如:DC2 上的端口 445 的连接肯定被接受,Server 2008 尝试协商 SMB 协议,接收服务器设置,但是在启动 SMB 连接时,DC2 立即响应访问被拒绝消息。
计划是在不久的将来更换/升级剩余的服务器到 2016,但这需要一些时间,而且我现在确实需要它们进行正确的身份验证(尤其是 kereberos 约束委派真的很混乱)。
知道为什么只有一个 DC 拒绝任何请求而另一个却没有吗?