Problema de NLA do Windows em co-localização (VPN site a site): várias máquinas não reconhecem rede, o domínio é “não autenticado”

Navegue suas respostas
1

Nosso escritório corporativo está aqui nos Estados Unidos. Nós hospedamos um data center modesto que possui nossos DC's, Exchange, SQL, etc (todas as lojas do Windows aqui). Nosso segundo maior escritório é em Londres e conectado via VPN site-to-site (dois Cisco ASA's). Recentemente, ficamos inundados com tickets de suporte técnico, que são os seguintes: "Reiniciei, não consigo me conectar à rede com / sem fio corp (e / ou corp sem fio).

posso use Wi-Fi de visitante, no entanto. "

Ao remoting para uma máquina, veremos a conexão LAN identificada como "OurDomain.local (Unauthenticated)" ou reconhecimento de local de rede ):

  1. 1a. Desassociar e reingressar no domínio, reinicializar - isto é, se um dos dois conexões (com fio / sem fio) ainda estão trabalhando com o domínio.
    1b. Ou se nenhum computador com ou sem fio estiver trabalhando com o domínio, conectar o cliente de software VPN (Cisco AnyConnect), executar o PowerShell com Credenciais do administrador do domínio: Reset-ComputerMachinePassword -Server OurDC1 depois reinicie.
    1. Desinstale e reinstale completamente os drivers da NIC.
    2. Execute esses dois CMDs: netsh reset winsock & & netsh int IP reset , em seguida, reinicialize.
    3. RegEdit.exe - > HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Profiles\ - > Encontre e exclua todos perfis de rede defeituosos / duplicados, reinicialize.
    4. (Etapa opcional?) Desabilite o IPv6 nas NICs com e sem fio. Nossos DC's não usam IPv6 (graças ao nosso diretor de TI - não me começou).

Então, minha pergunta é: Qual poderia ser o problema da rede causando isso? Como posso identificar e corrigir isso?

Os DCs são todos do Windows Server 2012 R2. Os clientes são uma mistura de Win7 & Win10, todos os laptops da Dell (se for importante).

EDIT: Poderia um rouge servidor DHCP causar isso? E / ou double NAT'ing ?

    
por KidACrimson 18.06.2018 / 19:30

1 resposta

2

Isso está quase certamente sendo causado por suas máquinas serem capazes de determinar inconsistentemente a Localização da Rede e, portanto, impor diferentes perfis do Firewall do Windows, e talvez diferentes configurações de VPN, dependendo do seu ambiente.

Isso é mais um problema de arquitetura do que um problema de rede. Você não deve esperar que o Active Directory e os serviços associados, como o NLA, trabalhem atrás de um NAT, quanto mais dois.

O reconhecimento de local de rede faz suas primeiras verificações verificando a conectividade com o último controlador de domínio contatado. Observe que você pode substituir algumas das verificações de NLA usando a Diretiva de Grupo para determinar o local por meio da capacidade de resolver um nome DNS ou a capacidade de se conectar a um ponto de extremidade HTTP acessível somente a partir da LAN corporativa, mas seria melhor atendido por abordando a causa raiz - suas máquinas não podem entrar em contato com um controlador de domínio e, portanto, não funcionam como se estivessem em uma rede corporativa.

O que você precisa fazer é observar sua arquitetura - por que não ter um controlador de domínio somente leitura no site remoto? Essa seria uma maneira segura de os clientes remotos determinarem que estavam de fato conectados à rede corporativa.

    
por 27.06.2018 / 21:14

Tags

A configuração do Plano de energia não corresponde ao valor do registro systemd :: condicional Requer que o conteúdo de um arquivo corresponda