Eu tenho uma sub-rede de escritório (digamos 192.168.10.x) e uma sub-rede de convidado (192.168.99.x) que usa uma caixa pfSense como seu gateway / roteador. A sub-rede do escritório é "controlada" pelo Active Directory usando controladores de domínio do Windows 2003 - os DCs concedem concessões de DHCP, controlam DNS, etc. Minha sub-rede convidada é controlada pelo pfSense.
Eu quero que uma máquina cliente WinXP que esteja na sub-rede convidada acesse os recursos do Active Directory como se estivessem na sub-rede do escritório.
VPN pode ser uma possibilidade, mas como ambas as sub-redes são controladas pela mesma caixa pfSense, o roteamento está ficando confuso.
VLANs não são realmente uma possibilidade.
Eu acho que quase tenho esse trabalho, mas estou ficando preso. Tolamente, temos servidores de arquivos e até mesmo o Exchange em nossos controladores de domínio, e o cliente não pode acessar esses recursos adequadamente.
Veja o que está funcionando:
- O cliente e a maioria das máquinas na sub-rede do escritório podem se comunicar entre si.
- Eu configurei a sub-rede convidada em Sites e Serviços do Active Directory
- O cliente tem acesso ao DNS na sub-rede do escritório (que também está sendo executado nos controladores de domínio)
- O cliente pode executar RDP em controladores que não são de domínio na sub-rede do escritório
- Acho que o cliente pode até autenticar para fazer login corretamente
- Eu adicionei manualmente uma entrada de DNS para o cliente no DNS do Active Directory
MAS o cliente não pode RDP em um controlador de domínio, acessar o Exchange ou acessar compartilhamentos de arquivos. Quando eu movo o cliente para a sub-rede do escritório, ele pode fazer essas coisas.
Os logs de eventos do servidor não fornecem pistas, até onde eu sei.
Os logs de eventos do cliente têm algumas dicas. Aqui está um exemplo:
W32Time eventID 18
The time provider NtpClient failed to establish a trust relationship between this
computer and the MYDOMAIN domain in order to securely synchronize time. NtpClient
will try again in 60 minutes. The error was: The trust relationship between this
workstation and the primary domain failed. (0x800706FD)
Se não houver relação de confiança, não devo poder autenticar, mas tenho certeza que posso. (Vou verificar novamente para ter certeza de que não são apenas credenciais em cache.)
Eu suspeito que haja alguma configuração nos controladores de domínio que os façam não confiar em meu cliente quando ele estiver na sub-rede remota. Mas estou tendo problemas para encontrar o que pode ser ou onde encontrar documentação sobre isso.
O que estou perdendo?
Existem outras soluções para esse problema que devo considerar?