是否有任何特定工具可用於對域控制器和客戶端連接進行故障排除？

我正在 Amazon Web Services 上設置一個測試平台，其中包括 2 個 Web 伺服器、1 個數據庫伺服器和 1 個域控制器。所有伺服器都是 Windows Server 2012。我隨機出現了 Web 伺服器與域控制器失去信任的情況。我被引導相信客戶端和 dc 之間的防火牆設置/dns 可能存在問題。

是否有任何工具可以幫助我解決域控制器和客戶端之間的連接問題？我試過微軟的埠查詢工具。

我已禁用 Windows 防火牆並啟用 AWS 防火牆規則，以排除任何不可預見的阻塞。

謝謝，可持續發展目標

1. 為了直接回答您的問題，有用的工具是 Ncdiag 和 Nltest 以及 Portqry。Nltest 包含在 Windows 中，並且 Ncdiag 應該在域控制器上。我更喜歡 Nmap 而不是 Portqry，因為它的語法更簡單。除了 Ping 之外，從伺服器掃描存在問題的埠 88 (Kerberos)、123 (ntp)、389 (LDAP) 和 135 (RPC 映射器) 在域控制器上打開。一個 nmap 範例： nmap -p 88,123,135,389 IPaddressOfDomainController
2. 您提到您的問題是域信任。確保他們的時間同步。成員伺服器應該從域控制器獲取時間。檢查系統資料庫 HKLM\System\CurrentControlSet\Services\W32tm\Parameters。值 NtpServer 應設置為 NTDS5。在域控制器上，您可以選擇使用可靠的 Internet 時間源，例如 time.nist.gov。使用命令“w32tm /config /manualpeerlist:time.nist.gov /syncfromflags:manual /reliable:yes /update”然後重新啟動 W32Time 服務。（參考： “這很簡單！” – Active Directory 中的時間配置）
3. DNS呢？您的 DC 應該是 DNS 伺服器；您的成員伺服器應使用 DC 作為其 DNS 伺服器。反過來，除非您不使用 Internet，否則 DC DNS 應該將所有其他請求轉發到您的雲 DNS 伺服器（如果您使用 DHCP，您會看到什麼。）
4. 我同意 - 不要關閉防火牆。大多數 Windows 功能將自動添加所需的任何規則。但您可能會仔細檢查 DC 上的活動防火牆配置文件是否為域。

引用自：https://serverfault.com/questions/758621