Active-Directory

客戶端 PC 無法與特定範圍內的 DC 連接

  • December 3, 2019

上周某個時候(當我休假時)我的網路/域發生了一些變化,我無法確定,我們有以下行為。

我的 2 個 DC 是 2008 R2,位於 10.2.128.0/24 子網(以及其他伺服器)上。我的客戶駐留在 10.2.132.0/22 網路上。

當客戶端在 10.2.132.x 地址上工作正常時,當來自 DHCP(或手動設置)的 IP 在 10.2.133.x 134.x 135.x 上時,它說它找不到域控制器或要求使用者名和通行證。當嘗試從這些 IP 加入域時,我得到: 已成功查詢 DNS 以獲取用於定位域culture.gr 的域控制器的服務位置 (SRV) 資源記錄:查詢是針對 _ldap._tcp.dc 的 SRV 記錄。 _msdcs.xxx.xxx

Nslookup 工作,ping 工作,53 上的 telnet 工作,dcdiag 顯示沒有錯誤,複製正常,DNS 沒有錯誤,DHCP 沒有錯誤……

nslookup _ldap._tcp.dc._msdcs.xxx.xxx 伺服器:dc2.xxx.xxx 地址:10.2.128.22

名稱:_ldap._tcp.dc._msdcs.xxx.xxx

如果我手動將客戶端移動到 10.2.132.xx 範圍,它可以工作……

歡迎任何建議。

10.2.132.0/22子網是否在 AD 站點和服務中定義並分配給站點?

也許有人打錯了 /24 或者打算將其分解為 C 類子網,並且沒有將額外的子網添加到站點定義中。

客戶端是否在 DC 上的 DNS 中註冊自己?如果 DHCP 正在這樣做,客戶端不需要在域上)?

如果這些子網之間有防火牆,所有必需的 AD 埠是否在問題子網和所有 DC 之間雙向打開?DNS、Kerberos、LDAP、SMB、RPC 等。

要檢查來自客戶端的 SRV 記錄,正確的語法nslookup是:

nslookup -type=SRV _ldap._tcp.dc._msdcs.example.com

您應該會看到一個包含域中所有 DC 的列表。首先在工作子網中的客戶端上進行比較。

還要檢查是否可以為問題客戶所在的 AD 站點解析適當的 DC:

nslookup -type=SRV _ldap._tcp.[SiteName]._sites.dc._msdcs.example.com

引用自:https://serverfault.com/questions/994084