Networking

是否有任何特定工具可用於對域控制器和客戶端連接進行故障排除?

  • February 21, 2016

我正在 Amazon Web Services 上設置一個測試平台,其中包括 2 個 Web 伺服器、1 個數據庫伺服器和 1 個域控制器。所有伺服器都是 Windows Server 2012。我隨機出現了 Web 伺服器與域控制器失去信任的情況。我被引導相信客戶端和 dc 之間的防火牆設置/dns 可能存在問題。

是否有任何工具可以幫助我解決域控制器和客戶端之間的連接問題?我試過微軟的埠查詢工具。

我已禁用 Windows 防火牆並啟用 AWS 防火牆規則,以排除任何不可預見的阻塞。

謝謝,可持續發展目標

  1. 為了直接回答您的問題,有用的工具是 Ncdiag 和 Nltest 以及 Portqry。Nltest 包含在 Windows 中,並且 Ncdiag 應該在域控制器上。我更喜歡 Nmap 而不是 Portqry,因為它的語法更簡單。除了 Ping 之外,從伺服器掃描存在問題的埠 88 (Kerberos)、123 (ntp)、389 (LDAP) 和 135 (RPC 映射器) 在域控制器上打開。一個 nmap 範例: nmap -p 88,123,135,389 IPaddressOfDomainController
  2. 您提到您的問題是域信任。確保他們的時間同步。成員伺服器應該從域控制器獲取時間。檢查系統資料庫 HKLM\System\CurrentControlSet\Services\W32tm\Parameters。值 NtpServer 應設置為 NTDS5。在域控制器上,您可以選擇使用可靠的 Internet 時間源,例如 time.nist.gov。使用命令“w32tm /config /manualpeerlist:time.nist.gov /syncfromflags:manual /reliable:yes /update”然後重新啟動 W32Time 服務。(參考: “這很簡單!” – Active Directory 中的時間配置
  3. DNS呢?您的 DC 應該是 DNS 伺服器;您的成員伺服器應使用 DC 作為其 DNS 伺服器。反過來,除非您不使用 Internet,否則 DC DNS 應該將所有其他請求轉發到您的雲 DNS 伺服器(如果您使用 DHCP,您會看到什麼。)
  4. 我同意 - 不要關閉防火牆。大多數 Windows 功能將自動添加所需的任何規則。但您可能會仔細檢查 DC 上的活動防火牆配置文件是否為域。

引用自:https://serverfault.com/questions/758621