好吧,情况是这样的。几天前,我们的防火墙(一个加入 TMG 的域,还配置了 NAT 和 VPN 网关)服务器遭到入侵。结果,它被立即关闭,并用一个小型路由器(临时)替换了 NAT 网关,直到安排了合适的设备。
DCHP 服务正在 DC 上运行,并且正在正常租用地址。但是,网络上的服务器现在在网络连接上有一个黄色感叹号,表示网络连接未经身份验证,服务器上的网络配置文件现在设置为公共。将网络配置文件更改为域时,它会自动恢复为公共。由于
服务器能够连接 DNS、DHCP 服务器和互联网
服务器还可以联系域控制器 Symantec SEP 用作服务器上的防火墙。
有什么想法可能导致这个问题吗?
答案1
这段时间您是否移动了DHCP服务?
网络位置感知 (NLA) 服务控制防火墙上的位置设置。
您的问题是 Windows 没有检测到它位于“域”网络上,因为您的“连接特定的 DNS 后缀”与您的域名不匹配。
确保您已将 DHCP 服务器的 DNS 域名(选项 15)配置为与您的 AD 域名匹配。即,如果您的域是,corp.local则 DHCP 应作为 DNS 域名分发corp.local。并且,当您使用时,您应该会在网络接口的“连接特定 DNS 后缀”上看到此列表ipconfig /all。
我还多次看到 Server 2012 上的一个错误,即 NLA 服务导致服务器在重新启动后进入“公共”区域。您应该更改 NLA 服务以Delayed Startup解决此问题。如果您的服务器目前卡在公共区域,那么您也可以重新启动 NLA 服务以使其恢复正常。
最后,确保您所插入的路由器上的 IPv4 和 IPv6 DHCP 已完全禁用。
以下是有关 NLA 服务的更多信息:https://blogs.technet.microsoft.com/networking/2010/09/08/network-location-awareness-nla-and-how-it-relates-to-windows-firewall-profiles/
对于选项 15:https://technet.microsoft.com/en-us/library/dd572752(v=office.13).aspx