无法从另一个子网加入 Active Directory

无法从另一个子网加入 Active Directory

我们遇到了一个问题,即计算机在我们网络上的另一个子网上时无法加入活动目录。

看来网络配置不是问题:防火墙完全打开,计算机设置为使用主 DC 作为其 DNS 服务器。一切正常,计算机和服务器都可以使用 IP 地址互相访问(ICMP、UDP、TCP)。LDAP 也正常工作 — 计算机添加到 AD 后,用户可以登录。

在其他论坛上看到,问题似乎出在域名上。AD 的 DNS 名称和 NetBIOS 名称都很简单sb。没有 tld,甚至没有.local,只有两个字母。

显然这不符合最佳实践。这可能是问题所在吗?暗示在论坛上当在同一网络上工作时,问题不会出现,因为 DNS 服务器会广播一些额外的信息。但是从另一个网络加入时必须使用 AD 的 FQDN。不幸的是,我们的域名与实际 TLD 一致,因此这很可能是原因。

我们应该更改域名吗?

答案1

如果使用单标签域且没有 DNS 后缀,您尝试加入域的客户端将使用基于 NetBIOS 的广播来查找域控制器。此广播流量几乎肯定会在子网之间的路由器上被阻止。解决此问题,您就能解决问题。

答案2

可能不需要更改您的 AD 名称。我见过比这更糟糕的域名。

我不知道您的 AD 的大小,但如果我们谈论的是 10 台设备,那么我建议您自己轻松操作,将域名重命名为 SB.com 或类似的名称。重命名之前,取消加入所有设备。重命名后,重新加入它们。您也许可以编写脚本。

但,一定有一个解决办法。

据我从您的(不太结构化的)文本中回忆,您做了以下事情:

  • 在机器上将 DC(我们称之为 DC-01.sb)添加为“DNS 服务器 1”(最好通过 DHCP)并删除所有其他服务器。
  • 已验证 DC-01 包含 sb 域的有效 DNS。请尝试从非域 PC 和域 PC 执行 nslookup。
  • 已验证您可以 ping DC-01。因此您的网络和路由一定没有问题。
  • 已验证 LDAP/AD 是否在 DC-01 上运行。
  • 解析了DC-01的IP地址。

我建议你:

  1. 通过添加新子网Active Directory 站点和服务
  2. 添加反向查找区域在DC-01的DNS管理中。
  3. 验证域名正向查找区域在DC-01的DNS管理中。
  4. 验证 Windows 是否将计算机的网络标记为私有网络,并且网络发现已启用。您可以通过打开资源管理器并选择网络来轻松检查这一点。如果未启用,窗口顶部会出现一个黄色栏。

相关内容