好吧,情况是这样的。几天前,我们的防火墙(一个加入 TMG 的域,还配置了 NAT 和 VPN 网关)服务器遭到入侵。结果,它被立即关闭,并用一个小型路由器(临时)替换了 NAT 网关,直到安排了合适的设备。
DCHP 服务正在 DC 上运行,并且正在正常租用地址。但是,网络上的服务器现在在网络连接上有一个黄色感叹号,表示网络连接未经身份验证,服务器上的网络配置文件现在设置为公共。将网络配置文件更改为域时,它会自动恢复为公共。由于
服务器能够连接 DNS、DHCP 服务器和互联网
服务器还可以联系域控制器 Symantec SEP 用作服务器上的防火墙。
有什么想法可能导致这个问题吗?
答案1
这段时间您是否移动了DHCP服务?
网络位置感知 (NLA) 服务控制防火墙上的位置设置。
您的问题是 Windows 没有检测到它位于“域”网络上,因为您的“连接特定的 DNS 后缀”与您的域名不匹配。
确保您已将 DHCP 服务器的 DNS 域名(选项 15)配置为与您的 AD 域名匹配。即,如果您的域是,corp.local
则 DHCP 应作为 DNS 域名分发corp.local
。并且,当您使用时,您应该会在网络接口的“连接特定 DNS 后缀”上看到此列表ipconfig /all
。
我还多次看到 Server 2012 上的一个错误,即 NLA 服务导致服务器在重新启动后进入“公共”区域。您应该更改 NLA 服务以Delayed Startup
解决此问题。如果您的服务器目前卡在公共区域,那么您也可以重新启动 NLA 服务以使其恢复正常。
最后,确保您所插入的路由器上的 IPv4 和 IPv6 DHCP 已完全禁用。
以下是有关 NLA 服务的更多信息:https://blogs.technet.microsoft.com/networking/2010/09/08/network-location-awareness-nla-and-how-it-relates-to-windows-firewall-profiles/
对于选项 15:https://technet.microsoft.com/en-us/library/dd572752(v=office.13).aspx