Não é possível unir estações de trabalho Win7 ao domínio Win2k8

8

Estou tentando conectar uma máquina com Windows 7 Ultimate a um domínio do Windows 2k8 e não está funcionando. Eu recebo este erro:

Note: This information is intended for a network administrator. If you are not your network's administrator, notify the administrator that you received this information, which has been recorded in the file C:\Windows\debug\dcdiag.txt.

DNS was successfully queried for the service location (SRV) resource record used to locate a domain controller for domain "example.local":

The query was for the SRV record for _ldap._tcp.dc._msdcs.example.local

The following domain controllers were identified by the query:
dc1.example.local
dc2.example.local

However no domain controllers could be contacted.

Common causes of this error include:

  • Host (A) or (AAAA) records that map the names of the domain controllers to their IP addresses are missing or contain incorrect addresses.

  • Domain controllers registered in DNS are not connected to the network or are not running.

O cliente está em um escritório conectado remotamente via MPLS ao data center em que nossos controladores de domínio existem. Parece que não tenho nada bloqueando a conectividade com os controladores de domínio, mas não tenho controle total sobre o circuito MPLS, por isso é possível que haja algo bloqueando a conectividade.

Eu tentei vários clientes (Win7 Ultimate e WinXP SP3) em um escritório e obter os mesmos sintomas em todos eles.

Não tenho problemas para me conectar a qualquer um dos controladores de domínio, embora eu tenha admitido que não tentei todas as portas possíveis. Todas as conexões ICMP, LDAP, DNS e SMB funcionam bem.

O DNS do cliente está apontando para os DCs e "example.local" resolve os dois endereços IP dos DCs.

Eu recebo essa saída do utilitário de linha de comando Teste de NetLogon:

C:\Windows\System32>nltest /dsgetdc:example.local
Getting DC name failed: Status = 1355 0x54b ERROR_NO_SUCH_DOMAIN

Eu também criei uma rede separada para emular a configuração do escritório que está conectada à rede DC via VPN LAN-para-LAN, em vez de MPLS. Juntar computadores Windows 7 dessa rede remota funciona bem.

A única diferença que posso encontrar entre os dois ambientes é a conectividade intermediária, mas não tenho ideias sobre o que testar ou como fazer. Que passos adicionais devo dar?

(Note que esta não é a estação de trabalho do meu cliente e não tenho acesso direto a ela; sou forçado a fazer acesso remoto a ela, o que torna alguns dos métodos óbvios de solução de problemas, como sniffing de pacotes, mais difícil Se eu pudesse apenas estabelecer um sistema que eu pudesse controlar, eu faria, mas pedidos nesse sentido não foram respondidos.)

2011-08-25 update:
Eu tive DCDIAG.EXE executado em um cliente tentando ingressar no domínio:

C:\Windows\System32>dcdiag /u:example\adminuser /p:********* /s:dc2.example.local

Directory Server Diagnosis

Performing initial setup:
   Ldap search capabality attribute search failed on server
   dc2.example.local, return value = 81

Parece que foi possível conectar-se via LDAP, mas o que estava tentando fazer falhou. Mas eu não sigo o que estava tentando fazer, muito menos como reproduzi-lo ou resolvê-lo.

2011-08-26 update:
Usar LDP.EXE para tentar fazer uma conexão LDAP diretamente com os DCs resulta nesses erros:

ld = ldap_open("10.0.0.1", 389);
Error <0x51>: Fail to connect to 10.0.0.1.
ld = ldap_open("10.0.0.2", 389);
Error <0x51>: Fail to connect to 10.0.0.2.
ld = ldap_open("10.0.0.1", 3268);
Error <0x51>: Fail to connect to 10.0.0.1.
ld = ldap_open("10.0.0.2", 3268);
Error <0x51>: Fail to connect to 10.0.0.2.

Isso parece apontar os dedos para conexões LDAP sendo bloqueadas em algum lugar. (E 0x51 == 81, que foi o erro de DCDIAG.EXE da atualização de ontem.) Eu poderia jurar que testei isso usando TELNET.EXE semanas atrás, mas agora estou pensando que posso ter assumido que a limpeza da tela estava me dizendo que estava esperando e não que tinha ligado.

Estou rastreando problemas de conectividade LDAP agora. Esta atualização pode se tornar uma resposta.

    
por wfaulk 03.08.2011 / 22:31

5 respostas

2

Demorou uma eternidade para descobrir onde estava acontecendo, mas descobriu-se que havia filtros dentro do tráfego de bloqueio de VPN (e outros) de VPN. Limpei esses filtros e agora está funcionando.

    
por 18.11.2011 / 01:22
2

Pode haver um firewall entre a máquina do Win7 e os controladores de domínio.

Se você tiver acesso ao nmap :

nmap -PN -p389 dc1.example.local dc2.example.local

Atualização:

nltest /dsgetdc:example.local

nslookup -q=srv _ldap._tcp.dc._msdcs.example.local  
nslookup -q=a $prefered_host  
ldapsearch -h $IPaddress_of_A_record -x -b "" -s base (&(DNSDomain=example.local)(HOST=$localmachineshostname)(NtVer=\\16\\00\\00\\00)) netlogon

O NtVer está pedindo por V5 (versão5 netlogon), V5EX (versão 5 extened logon), VCS (dc mais próximo). Retirado do Win7Ent.

(ldap hex é trixy.)

    
por 03.08.2011 / 23:14
1

Parece que o win7 não está apontando seu DNS para um DC? Talvez o DHCP esteja apontando o DNS para o DNS dos provedores de internet?

    
por 03.08.2011 / 22:46
0

Parece que você já testou tudo o que o DNS está fazendo, mas você verificou que os registros A dos servidores DC / DNS existem e estão corretos? O que acontece quando você executa o nslookup testando os dois servidores para a presença dos registros A dos dois servidores? Os DCs retornaram na mensagem de erro, na verdade, os servidores DC / DNS corretos para o domínio?

    
por 04.08.2011 / 01:12
0

Existe a possibilidade de que o cliente no escritório remoto esteja executando apenas o IPv6 e, embora encontre o registro SRV para o DC, o DNS não esteja configurado com registros AAAA (IPV6)?

    
por 23.08.2011 / 21:55