Eu tenho uma sub-rede de escritório (digamos 192.168.10.x) e uma sub-rede de convidado (192.168.99.x) que usa uma caixa pfSense como seu gateway / roteador. A sub-rede do escritório é "controlada" pelo Active Directory usando controladores de domínio do Windows 2003 - os DCs concedem concessões de DHCP, controlam DNS, etc. Minha sub-rede convidada é controlada pelo pfSense.
Eu quero que uma máquina cliente WinXP que esteja na sub-rede convidada acesse os recursos do Active Directory como se estivessem na sub-rede do escritório.
VPN pode ser uma possibilidade, mas como ambas as sub-redes são controladas pela mesma caixa pfSense, o roteamento está ficando confuso.
VLANs não são realmente uma possibilidade.
Eu acho que quase tenho esse trabalho, mas estou ficando preso. Tolamente, temos servidores de arquivos e até mesmo o Exchange em nossos controladores de domínio, e o cliente não pode acessar esses recursos adequadamente.
Veja o que está funcionando:
MAS o cliente não pode RDP em um controlador de domínio, acessar o Exchange ou acessar compartilhamentos de arquivos. Quando eu movo o cliente para a sub-rede do escritório, ele pode fazer essas coisas.
Os logs de eventos do servidor não fornecem pistas, até onde eu sei.
Os logs de eventos do cliente têm algumas dicas. Aqui está um exemplo:
W32Time eventID 18
The time provider NtpClient failed to establish a trust relationship between this
computer and the MYDOMAIN domain in order to securely synchronize time. NtpClient
will try again in 60 minutes. The error was: The trust relationship between this
workstation and the primary domain failed. (0x800706FD)
Se não houver relação de confiança, não devo poder autenticar, mas tenho certeza que posso. (Vou verificar novamente para ter certeza de que não são apenas credenciais em cache.)
Eu suspeito que haja alguma configuração nos controladores de domínio que os façam não confiar em meu cliente quando ele estiver na sub-rede remota. Mas estou tendo problemas para encontrar o que pode ser ou onde encontrar documentação sobre isso.
O que estou perdendo?
Existem outras soluções para esse problema que devo considerar?
Se o cliente ingressou no domínio, a única coisa que impede que ele se comunique corretamente é que o tráfego não está sendo roteado corretamente de uma sub-rede para outra, que o cliente tem as configurações de DNS incorretas ou que o firewall está bloqueando o tráfego necessário de uma sub-rede para outra.
Ter a outra sub-rede configurada no ADS & S realmente não é boa para você se não houver um DC lá ou se não houver serviços integrados do AD (Exchange, DFS) lá.
Possivelmente o firewall do Windows em seus servidores permite apenas alguns tipos de tráfego da sub-rede local? Além disso, verifique se os clientes estão usando o servidor DNS AD apropriado. Se você está permitindo todo o tráfego entre os sites no pfSense, não é o culpado. A captura de pacotes na LAN voltada para o DC estaria dizendo, se for um firewall local no servidor que permite apenas tráfego de sub-rede local, você verá o tráfego deixando a LAN e nunca obtendo uma resposta.