值得关注的计算机位于通过防火墙规则与外部站点隔离的 VLAN 上。这些计算机能与域控制器通信。Windows 10 Enterprise 2019 LTSC 计算机的用户身份验证需要两三分钟。在同一 VLAN 上运行 1709 和 1803 的计算机不会出现此问题。在初始交互式登录、远程桌面连接以及使用“以不同用户身份运行”启动应用程序时会观察到长时间身份验证问题。2 或 3 分钟后登录成功。
使用数据包捕获进行故障排除。数据包捕获显示了我认为完全正常的 Kerberos 交换。域控制器向工作站授予一张似乎对身份验证用户有效的票证。然后,机器将向 DNS 查询 login.microsoftonline.com。它将在接下来的两三分钟内尝试连接到此站点的地址,这些地址被外围防火墙故意阻止。最后,2 到 3 分钟后,工作站和域控制器之间有一些 RPC 流量,似乎完成了登录。
我认为我们应该能够在没有外部互联网访问的情况下进行身份验证。我是否遗漏了一个简单的配置选项?
编辑:在 hosts 文件中将 login.microsoftonline.com 映射到 127.0.0.1。登录立即成功完成!我不认为这是一个解决方案,只是附加信息。
答案1
通过 Microsoft 支持获得了解决方案。也许有一天这会对其他人有用。
由于这些计算机在加入域时确实可以访问互联网,因此它们加入了 Azure AD。一旦它们被移动到隔离网络并且无法再访问云,我们就会发现问题。要退出 Azure AD 但保持加入本地域,请使用dsregcmd /leave
。dsregcmd 的文档。