共置(站点到站点 VPN)时的 Windows NLA 问题:多台机器无法识别网络,域“未经身份验证”

共置(站点到站点 VPN)时的 Windows NLA 问题:多台机器无法识别网络,域“未经身份验证”

我们的公司办公室位于美国。我们拥有一个小型数据中心,里面有我们的 DC、Exchange、SQL 等(所有 Windows 商店都在这里)。我们的第二大办公室位于伦敦,通过站点到站点 VPN(两个 Cisco ASA)连接。最近我们收到了大量帮助台工单,内容如下:
“我已重新启动,但无法连接到公司有线(和/或公司无线)网络。我但是请使用访客 Wi-Fi。”

当远程连接到一台机器时,我们将看到 LAN 连接被标识为“OurDomain.local(未经身份验证)”或者“BT-Hub5”或类似版本。经过广泛故障排除,我们找到了症状修复方法,因为它是 NLA(网络位置感知) 问题:

  1. 1a. 断开并重新加入域,重新启动 - 如果两个连接(有线/无线)之一仍可与域配合使用。1b
    .或者如果有线或无线都无法与域配合使用,请连接软件客户端 VPN(Cisco AnyConnect),使用域管理员凭据运行 PowerShell:Reset-ComputerMachinePassword -Server OurDC1 然后重新启动。
    1. 完全卸载并重新安装 NIC 驱动程序。
    2. 运行这两个 CMD:netsh reset winsock&&netsh int IP reset然后重新启动。
    3. RegEdit.exe -> HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Profiles\-> 查找并删除所有有错误/重复的网络配置文件,重新启动。
    4. (可选步骤?)在有线和无线网卡上禁用 IPv6。我们的 DC 不使用 IPv6(这要感谢我们的 IT 主管 - 别让我开始)。

所以,我的问题是:导致此问题的原因可能是哪些网络问题?我该如何识别并修复它?

DC 全部是 Windows Server 2012 R2。客户端是 Win7 和 Win10 的混合体,全部是戴尔笔记本电脑(如果有关系的话)。

编辑:可以非法 DHCP 服务器导致这种情况?和/或双重 NAT

答案1

这几乎肯定是由于您的机器无法一致地确定网络位置,因此根据您的环境强制执行不同的 Windows 防火墙配置文件,甚至不同的 VPN 设置。

这更多的是架构问题而不是网络问题。您不应该期望 Active Directory 和相关服务(如 NLA)能够在一个 NAT 后运行,更不用说两个了。

网络位置感知通过检查与最后联系的域控制器的连接性来进行首次检查。请注意,您可以使用组策略通过解析 DNS 名称的能力或连接到仅可从企业 LAN 访问的 HTTP 端点的能力来确定位置,从而覆盖部分 NLA 检查,但您最好解决根本原因——您的机器无法联系域控制器,因此无法像在企业网络中一样运行。

您需要做的是查看您的架构——为什么不在远程站点上安装一个只读域控制器?这将是远程客户端确定它们确实连接到公司网络的安全方式。

相关内容