Por que meu controlador de domínio se recusa a falar com um cliente em uma sub-rede diferente?

1

Eu tenho uma sub-rede de escritório (digamos 192.168.10.x) e uma sub-rede de convidado (192.168.99.x) que usa uma caixa pfSense como seu gateway / roteador. A sub-rede do escritório é "controlada" pelo Active Directory usando controladores de domínio do Windows 2003 - os DCs concedem concessões de DHCP, controlam DNS, etc. Minha sub-rede convidada é controlada pelo pfSense.

Eu quero que uma máquina cliente WinXP que esteja na sub-rede convidada acesse os recursos do Active Directory como se estivessem na sub-rede do escritório.

VPN pode ser uma possibilidade, mas como ambas as sub-redes são controladas pela mesma caixa pfSense, o roteamento está ficando confuso.

VLANs não são realmente uma possibilidade.

Eu acho que quase tenho esse trabalho, mas estou ficando preso. Tolamente, temos servidores de arquivos e até mesmo o Exchange em nossos controladores de domínio, e o cliente não pode acessar esses recursos adequadamente.

Veja o que está funcionando:

  • O cliente e a maioria das máquinas na sub-rede do escritório podem se comunicar entre si.
  • Eu configurei a sub-rede convidada em Sites e Serviços do Active Directory
  • O cliente tem acesso ao DNS na sub-rede do escritório (que também está sendo executado nos controladores de domínio)
  • O cliente pode executar RDP em controladores que não são de domínio na sub-rede do escritório
  • Acho que o cliente pode até autenticar para fazer login corretamente
  • Eu adicionei manualmente uma entrada de DNS para o cliente no DNS do Active Directory

MAS o cliente não pode RDP em um controlador de domínio, acessar o Exchange ou acessar compartilhamentos de arquivos. Quando eu movo o cliente para a sub-rede do escritório, ele pode fazer essas coisas.

Os logs de eventos do servidor não fornecem pistas, até onde eu sei.

Os logs de eventos do cliente têm algumas dicas. Aqui está um exemplo:

W32Time eventID 18

The time provider NtpClient failed to establish a trust relationship between this
computer and the MYDOMAIN domain in order to securely synchronize time. NtpClient 
will try again in 60 minutes. The error was: The trust relationship between this 
workstation and the primary domain failed. (0x800706FD)

Se não houver relação de confiança, não devo poder autenticar, mas tenho certeza que posso. (Vou verificar novamente para ter certeza de que não são apenas credenciais em cache.)

Eu suspeito que haja alguma configuração nos controladores de domínio que os façam não confiar em meu cliente quando ele estiver na sub-rede remota. Mas estou tendo problemas para encontrar o que pode ser ou onde encontrar documentação sobre isso.

O que estou perdendo?

Existem outras soluções para esse problema que devo considerar?

    
por Paul Nijjar 16.06.2011 / 02:35

2 respostas

5

Se o cliente ingressou no domínio, a única coisa que impede que ele se comunique corretamente é que o tráfego não está sendo roteado corretamente de uma sub-rede para outra, que o cliente tem as configurações de DNS incorretas ou que o firewall está bloqueando o tráfego necessário de uma sub-rede para outra.

Ter a outra sub-rede configurada no ADS & S realmente não é boa para você se não houver um DC lá ou se não houver serviços integrados do AD (Exchange, DFS) lá.

    
por 16.06.2011 / 02:52
0

Possivelmente o firewall do Windows em seus servidores permite apenas alguns tipos de tráfego da sub-rede local? Além disso, verifique se os clientes estão usando o servidor DNS AD apropriado. Se você está permitindo todo o tráfego entre os sites no pfSense, não é o culpado. A captura de pacotes na LAN voltada para o DC estaria dizendo, se for um firewall local no servidor que permite apenas tráfego de sub-rede local, você verá o tráfego deixando a LAN e nunca obtendo uma resposta.

    
por 16.06.2011 / 06:19