Os computadores apontam para DC no site errado

5

Eu preciso da sua ajuda. Eu tenho lutado com isso há meses e nada que eu encontrei on-line me ajudou. O problema é, computadores de domínio, por vezes, apontam para um controlador de domínio incorreto em um site diferente. Eu tenho dois sites conectados via VPN: Site-A com dois controladores de domínio e Site-B com um. Aqui está minha configuração atual:

ComputadoresnoSite-Ageralmenteconectam-seaoSRV-1ouaoSRV-2(comodeveriam),masoscomputadoresnoSite-BraramenteseconectamaoSRV-3.HáumaconexãoADSLmuitolentaentreossites,entãoconectar-seaumsiteerradotornaoclientepraticamenteinutilizável.

TodososDCstambémsãoservidoresDFS.Amaiordesvantageméque,enquantoosclientesseconectamaoDCerrado,elestambémseconectamaumservidorDFSerradoelistamapenasosservidoresnositeerradocomoservidoresDFSdisponíveis.

HáumservidorWINSnoSRV-1etodasasmáquinasestãoapontandoseuclienteWINSpara192.168.0.70.OsregistrosdoWINSparecembem:

registros WINS no SRV-1

Eu também passei pelos registros DNS em todos os servidores e eles parecem corretos. Os servidores estão em sites corretos nos Sites e Serviços do AD e receberam as sub-redes corretas . Todos os servidores estão conectados (de duas vias) entre si nas configurações de NTDS.

Algumas observações que fiz:

SRV-1 no Site-A (192.168.0.0/24):

C:\Users\Administrator>nltest /DCLIST:DOMAIN
Get list of DCs in domain 'DOMAIN' from '\SRV-1'.
    SRV-1.domain.example.local [PDC]  [DS] Site: Site-A
    SRV-2.domain.example.local        [DS] Site: Site-A
    SRV-3.domain.example.local        [DS] Site: Site-B
The command completed successfully

C:\Users\Administrator>nltest /DSGETSITE
Site-A
The command completed successfully

C:\Users\Administrator>nltest /DSGETDC:DOMAIN
           DC: \SRV-1
      Address: \192.168.0.70
     Dom Guid: d8a18714-3272-4075-a5de-b1af522ec649
     Dom Name: DOMAIN
  Forest Name: domain.example.local
 Dc Site Name: Site-A
Our Site Name: Site-A
        Flags: PDC GC DS LDAP KDC TIMESERV WRITABLE DNS_FOREST CLOSE_SITE FULL_SECRET WS
The command completed successfully

C:\Users\Administrator>nltest /dsgetsitecov
Site-A
The command completed successfully

SRV-2 no Site-A (192.168.0.0/24):

C:\Users\Administrator>nltest /DCLIST:DOMAIN
Get list of DCs in domain 'DOMAIN' from '\SRV-1'.
    SRV-1.domain.example.local [PDC]  [DS] Site: Site-A
    SRV-2.domain.example.local        [DS] Site: Site-A
    SRV-3.domain.example.local        [DS] Site: Site-B
The command completed successfully

C:\Users\Administrator.DOMAIN>nltest /DSGETSITE
Site-A
The command completed successfully

C:\Users\Administrator.DOMAIN>nltest /DSGETDC:DOMAIN
           DC: \SRV-2
      Address: \192.168.0.71
     Dom Guid: d8a18714-3272-4075-a5de-b1af522ec649
     Dom Name: DOMAIN
  Forest Name: domain.example.local
 Dc Site Name: Site-A
Our Site Name: Site-A
        Flags: GC DS LDAP KDC TIMESERV WRITABLE DNS_FOREST CLOSE_SITE FULL_SECRET WS
The command completed successfully

C:\Users\Administrator.DOMAIN>nltest /dsgetsitecov
Site-A
The command completed successfully

SRV-3 no Site-B (192.168.2.0/24):

C:\Users\Administrator>nltest /DCLIST:DOMAIN
Get list of DCs in domain 'DOMAIN' from '\SRV-1'.
    SRV-1.domain.example.local [PDC]  [DS] Site: Site-A
    SRV-2.domain.example.local        [DS] Site: Site-A
    SRV-3.domain.example.local        [DS] Site: Site-B
The command completed successfully

C:\Users\Administrator.DOMAIN>nltest /DSGETSITE
Site-B
The command completed successfully

C:\Users\Administrator.DOMAIN>nltest /DSGETDC:DOMAIN
           DC: \SRV-3
      Address: \192.168.2.70
     Dom Guid: d8a18714-3272-4075-a5de-b1af522ec649
     Dom Name: DOMAIN
  Forest Name: domain.example.local
 Dc Site Name: Site-B
Our Site Name: Site-B
        Flags: GC DS LDAP KDC WRITABLE DNS_FOREST CLOSE_SITE FULL_SECRET WS
The command completed successfully

C:\Users\Administrator.DOMAIN>nltest /dsgetsitecov
Site-B
The command completed successfully

PC cliente no Site-B (192.168.2.0/24):

C:\WINDOWS\system32>nltest /DCLIST:DOMAIN
Get list of DCs in domain 'DOMAIN' from '\SRV-2'.
    SRV-2.domain.example.local        [DS] Site: Site-A
    SRV-1.domain.example.local [PDC]  [DS] Site: Site-A
    SRV-3.domain.example.local        [DS] Site: Site-B
The command completed successfully

C:\WINDOWS\system32>nltest /DSGETSITE
Site-A
The command completed successfully

C:\WINDOWS\system32>nltest /DSGETDC:DOMAIN
           DC: \SRV-2
      Address: \192.168.0.71
     Dom Guid: d8a18714-3272-4075-a5de-b1af522ec649
     Dom Name: DOMAIN
  Forest Name: domain.example.local
 Dc Site Name: Site-A
Our Site Name: Site-A
        Flags: GC DS LDAP KDC TIMESERV WRITABLE DNS_FOREST CLOSE_SITE FULL_SECRET WS
The command completed successfully

Note que DSGETSITE e DSGETDC retornam valores errados no PC Cliente.

O engraçado é que isso muda de dia para dia, para onde os clientes decidem se apontar. Eu tentei reiniciar os clientes, isso não ajuda. Eu tentei reiniciar os servidores um por um, sem diferença. Nenhum dos servidores é multi-homed.

Os servidores são o Windows Server 2008 R2 e o cliente Win7 Pro / Win10 Pro.

Qualquer ajuda será muito apreciada!

    
por Aleksiv95 11.12.2015 / 18:32

2 respostas

1

Ok, eu percebi. No final, foi uma questão de rede; nenhuma alteração precisava ser feita nos controladores de domínio. Eu já havia configurado rotas de políticas para a VPN, mas esqueci de especificar como priorizar pacotes. Eu adicionei uma rota de política adicional para o tráfego na LAN e atribui a ela um valor DSCP de cs4. Para as rotas de tunelamento eu dei cs5. Eu não estou familiarizado com DSCP, mas eu entendi que quanto menor o número, mais importante é a rota (4 e 5 são apenas números aleatórios). Abaixo está uma captura de tela das configurações finais dos roteadores ZyXEL ZyWall (espero que você goste do Paint art):

Eu meio que entendo por que isso resolveu meu problema: agora, a principal prioridade é enviar pacotes para a rede local, e somente depois disso, pela VPN. Eu ainda acho um pouco confuso. É possível que, se o servidor e o cliente estiverem em redes diferentes, o servidor não veja o IP do cliente, mas o IP de um dos roteadores e, portanto, não possa decidir em qual site o endereço IP pertence? Estou curioso em descobrir mais uma explicação.

Obrigado a todos que me ajudaram, agradeço:)

    
por 16.12.2015 / 17:07
1

Ping não fornece informações úteis. Ping é uma pesquisa de DNS direta e não representa como funciona o processo do Localizador de CD.

Você pode querer usar w32tm /query /status /verbose /computer:SRV-3 para confirmar que o serviço de horário no SRV-3 está funcionando corretamente.

Provavelmente é mais simples fazer uma captura de pacote, mas você também pode isolar manualmente onde o processo está falhando, simulando o que ocorre no PC cliente no Site B.

  1. nslookup
    set type = srv
    _ldap._tcp.dc._msdcs.domain

Isso deve retornar a lista de TODOS os seus controladores de domínio (que têm um registro registrado no DNS / não são filtrados pelo DNS Mnemonics).

  1. Crie uma lista de DCs funcionais executando a ligação LDAP a cada DC.

  2. O primeiro DC a responder retorna o site do cliente, o site em que o DC está e DSClosestFlag (0 ou 1).

  3. Se o DC estiver no site do cliente ou DSClosestFlag = 1 ou o cliente não tiver site, use esse DC. Se não, execute:

    nslookup
    set type = srv
    _ldap._tcp.sitename._sites.domain

  4. Crie uma lista de DCs funcionais executando a ligação LDAP a cada DC.

  5. Se não houver resultados, use qualquer CD funcional. (A menos que "Tente próximo site mais próximo" está habilitado. Por padrão, não é.).

  6. Se os resultados e apenas um DC, usá-lo. Se houver vários resultados, selecione DC com base no número de prioridade mais baixa do SRV / número de peso mais alto.

por 11.12.2015 / 20:58