Computadores no site que não estão sendo autenticados no RODC

Navegue suas respostas
1

Eu tenho 2 redes:

  • 172.33.0.x: minha rede interna
  • 192.168.1.x: minha rede DMZ

    • Eu tenho um controlador de domínio na rede interna do meu domínio e um RODC na DMZ para o mesmo domínio. Existe um firewall entre essas duas redes, permitindo apenas as portas / tráfego que eu especificar.

    Quando eu adiciono um computador na DMZ e tento adicioná-lo ao domínio, ele ainda tenta acessar meu DC na rede interna, em vez do RODC na DMZ. Fiz a alteração conforme especificado aqui ( link , ou seja, permitindo que o RODC seja detectável).

    Estou permitindo as seguintes portas entre meu RODC e o DC: 

    Service           Source          Destination
Ephemeral ports   49152:65535     49152:65535
FRsRPC            1:65535         53248
Kerberos          1:65535         88
LDAP              1:65535         389
SMB               1:65535         445
NTP               1:65535         123
RPCC Endpoint     1:65535         135

    Eu tenho duas configurações de Sites ... DMZ e Internas. O RODC faz parte do site da DMZ e o DC faz parte do site interno. As sub-redes também são configuradas e atribuídas aos sites corretos.

    Se eu executar um nltest /dsgetdc:mydomain.local em um computador na DMZ, o RODC será retornado.

        
    por grimstoner 14.01.2013 / 11:57

    1 resposta

    1

    Algumas coisas:

    Uma captura de pacotes netmon quase certamente apontaria você na direção certa.

    A depuração de logon de rede no cliente fornece informações úteis.

    Os registros são salvos em: C: \ Windows \ debug \ netlogon.log. 

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters]  
"DBFlag"=dword:24401F04  
"MaximumLogFileSize"=dword:3200000

    Quando você configura os sites, o que realmente importa é quais registros DNS são retornados ao cliente. É assim que ele sabe para qual DC se conectar. O netlogon.log mostrará a zona: 

    01/14 06:46:53 [CRITICAL] NetpDcGetDcNext: _ldap._tcp.ACMEHQ._sites.dc._msdcs.acme.com.

    Eu inspecionaria essa zona no DNS.

    Mais tarde: 

    01/14 06:46:55 [CRITICAL] NetpDcGetName: acme.com.: IP and Netbios are both done.

    Portanto, o registro DNS para o RODC não está na zona esperada ou não está sendo retornado por seu servidor DNS, ou o cliente está recebendo o registro DNS correto, mas algum outro problema está ocorrendo e está se conectando ao outro. DC. Que, a propósito, é o comportamento esperado.

        
    por 14.01.2013 / 14:01

    Tags

    migra o db dump antigo do MS SQL 4.2 (cerca de 1992) para o MS SQL 2005 Vários domínios em um servidor IP MS Exchange 2010 estático