我有一个Windows Server 2012 R2盒子充当隔离 LAN 上的域控制器。它还充当此 LAN 的 DNS 服务器。
我也有Sonicwall NSA 2600防火墙被设置为 LAN 上所有机器(包括域控制器)的默认网关。
我们有一个应用程序针孔,可以让 Windows 更新穿过防火墙,这对于 LAN 上的其他机器来说运行良好。
然而,DC 似乎正在播放 Windows 更新错误代码
80072EE2
似乎其他外部站点也存在连接问题,所以我一直在尝试诊断网络问题。
我已经运行 pcap 来执行此操作,并且发生以下情况:
DC -> 防火墙 : DNS 请求[Windows 更新域]
防火墙 -> DC : DNS 响应[Windows 更新域]在 xxx.xxx.xxx.xxx
DC -> 广播 : 具有 xxx.xxx.xxx.xxx 的 ARP
显然它没有收到响应,因为外部 Windows 更新 IP 地址不是 LAN 的一部分。
当在具有正常运行的 Windows 更新的机器上运行相同程序时,它看起来与预期一致:
主机 -> 防火墙 : DNS 请求[Windows 更新域]
防火墙 -> 主机 : DNS 响应[Windows 更新域]在 xxx.xxx.xxx.xxx
主机:TCP SYN 到 xxx.xxx.xxx.xxx
我检查了防火墙的 DNS,它设置为1.1.1.1
DC iptables 显示每个本地/环回至 0.0.0.0。例外是路由 0.0.0.0/0,它有两个条目:0.0.0.0 和 [防火墙的 ip 地址]
DC的hosts文件也是默认的:127.0.0.1 - localhost ::1 - localhost
ipv4配置是静态的,如下所示:
IPv4 地址:[dc 的 ip]
子网掩码:255.255.0.0
网关:[防火墙的 ip]
DNS:[dc 的 ip]
我真的很茫然——从各方面来看,网络方面的事情应该可以正常工作,并且您希望域控制器向 DNS 响应中提供的 IP 地址发送 TCP SYN。
然而,它甚至没有尝试这样做,而是直接跳转到 ARP。
有谁知道是什么原因导致的这个问题以及可以采取什么措施来解决它?
如果您想了解更多详细信息,请告诉我。
答案1
这不是一个确切的答案,但它似乎解决了一些问题。
所以我应该添加主活动接口是 Hyper-V 虚拟接口。
虽然尚未得到证实,但问题似乎已经得到解决(目前),我怀疑这是由于 Hyper-Vs ARP 代理功能造成的。
事实证明,物理网卡的设备驱动程序无法正常工作(即使禁用其他接口,也不允许我启用 ipv4),因此我重新安装并将其启用为主 LAN 接口。
为了保留可能需要 Hyper-V 接口的 Hyper-V 配置,我为两者创建了一个网桥。