客戶端 PC 無法與特定範圍內的 DC 連接
上周某個時候(當我休假時)我的網路/域發生了一些變化,我無法確定,我們有以下行為。
我的 2 個 DC 是 2008 R2,位於 10.2.128.0/24 子網(以及其他伺服器)上。我的客戶駐留在 10.2.132.0/22 網路上。
當客戶端在 10.2.132.x 地址上工作正常時,當來自 DHCP(或手動設置)的 IP 在 10.2.133.x 134.x 135.x 上時,它說它找不到域控制器或要求使用者名和通行證。當嘗試從這些 IP 加入域時,我得到: 已成功查詢 DNS 以獲取用於定位域culture.gr 的域控制器的服務位置 (SRV) 資源記錄:查詢是針對 _ldap._tcp.dc 的 SRV 記錄。 _msdcs.xxx.xxx
Nslookup 工作,ping 工作,53 上的 telnet 工作,dcdiag 顯示沒有錯誤,複製正常,DNS 沒有錯誤,DHCP 沒有錯誤……
nslookup _ldap._tcp.dc._msdcs.xxx.xxx 伺服器:dc2.xxx.xxx 地址:10.2.128.22
名稱:_ldap._tcp.dc._msdcs.xxx.xxx
如果我手動將客戶端移動到 10.2.132.xx 範圍,它可以工作……
歡迎任何建議。
10.2.132.0/22子網是否在 AD 站點和服務中定義並分配給站點?
也許有人打錯了 /24 或者打算將其分解為 C 類子網,並且沒有將額外的子網添加到站點定義中。
客戶端是否在 DC 上的 DNS 中註冊自己?如果 DHCP 正在這樣做,客戶端不需要在域上)?
如果這些子網之間有防火牆,所有必需的 AD 埠是否在問題子網和所有 DC 之間雙向打開?DNS、Kerberos、LDAP、SMB、RPC 等。
要檢查來自客戶端的 SRV 記錄,正確的語法
nslookup
是:nslookup -type=SRV _ldap._tcp.dc._msdcs.example.com
您應該會看到一個包含域中所有 DC 的列表。首先在工作子網中的客戶端上進行比較。
還要檢查是否可以為問題客戶所在的 AD 站點解析適當的 DC:
nslookup -type=SRV _ldap._tcp.[SiteName]._sites.dc._msdcs.example.com