上周某个时候(我休假的时候),我的网络/域发生了一些我无法确定原因的变化,并且出现了以下行为。
我的 2 个 DC 是 2008 R2,位于 10.2.128.0/24 子网(以及其他服务器)。我的客户端位于 10.2.132.0/22 网络上。
当客户端位于 10.2.132.x 地址时,一切正常,当来自 DHCP(或手动设置)的 IP 位于 10.2.133.x 134.x 135.x 时,它会说找不到域控制器或要求输入用户名和密码。当我尝试从这些 IP 加入域时,我得到: DNS 已成功查询用于定位域 culture.gr 的域控制器的服务定位 (SRV) 资源记录:该查询用于 _ldap._tcp.dc._msdcs.xxx.xxx 的 SRV 记录
Nslookup 有效、ping 有效、53 上的 telnet 有效、dcdiag 无错误、复制正常、DNS 无错误、DHCP 无错误...
nslookup _ldap._tcp.dc._msdcs.xxx.xxx 服务器:dc2.xxx.xxx 地址:10.2.128.22
名称:_ldap._tcp.dc._msdcs.xxx.xxx
如果我手动将客户端移动到 10.2.132.xx 范围,它就可以工作......
欢迎任何建议。
答案1
是10.2.132.0/22子网在 AD 站点和服务中定义并分配给站点?
也许有人输入了 /24 或打算将其分解为 C 类子网而没有将其他子网添加到站点定义中。
客户端是否在 DC 上的 DNS 中注册自己?如果 DHCP 正在执行此操作,则客户端不需要在域中?
如果这些子网之间有防火墙,那么问题子网和所有 DC 之间所需的所有 AD 端口是否都双向打开?DNS、Kerberos、LDAP、SMB、RPC 等。
要从客户端检查 SRV 记录,正确的语法是nslookup:
nslookup -type=SRV _ldap._tcp.dc._msdcs.example.com
您应该会看到一个包含域中所有 DC 的列表。请先在工作子网中的客户端上尝试进行比较。
还要检查是否可以为问题客户端所在的 AD 站点解析适当的 DC:
nslookup -type=SRV _ldap._tcp.[SiteName]._sites.dc._msdcs.example.com
答案2
虽然没有人声称已经做出了改变,但该问题在某种程度上是由处理各个 LAN 段之间流量的 Cisco ASA 引起的。
感谢 Trix 提供的信息,尤其是 FW 端口,我们必须手动添加这些端口以及更多端口。添加规则后,操作恢复正常。