Vou começar com uma pequena informação antes de fazer a minha pergunta.
Configuração de rede:
MPLS de 5 sites com firewall de nuvem.
O cliente SSLVPN se conecta ao Cloud Firewall e autentica os usuários em relação ao nosso PDC via LDAP e recebe um IP que pode ser roteado no MPLS.
Localização dos dispositivos:
Virtualizado Server 2003 SE como PDC @ site1
Servidor Virtualizado 2012 como DC Slave @ site5
Virtualizado Server 2003 SE como servidor de arquivos @ site5
Cliente do XP Pro conectando-se ao MPLS a partir de casa usando o SSLVPN.
Cenário:
Um funcionário começou recentemente a trabalhar em casa. Ela levou sua casa laptop de propriedade da empresa para trabalhar sobre a nossa conexão SSLVPN. O usuário pode efetuar login no SSLVPN usando credenciais de domínio e pode se comunicar com os três servidores acima. O usuário possui 2 compartilhamentos que eles precisam acessar no servidor de arquivos. Os compartilhamentos têm 4 grupos atribuídos em permissões / segurança: Contabilidade, administradores locais, administradores de domínio, usuários autenticados. Enquanto estão no site1, eles podem acessar os compartilhamentos com suas credenciais. Quando eles se conectam de sua casa via SSLVPN e tentam acessar esses compartilhamentos de sua conta de domínio, eles recebem a mensagem "não é possível localizar o DC para autenticar esse usuário" (seu nome de usuário é no grupo Contabilidade). No entanto, posso inserir minhas credenciais (grupo de administradores do domínio) e elas autenticam e permitem o acesso muito bem.
Eu revi todas as minhas configurações de compartilhamento e segurança e não consigo encontrar nada para causar um problema lá. Eu também editei o arquivo host de seu computador para resolver automaticamente cada servidor para o endereço IP correto como Servername e servername.domain.com. A comunicação verificada por meio do nome do host e do FQDN é possível via ping. Examinei como o XP localiza um controlador de domínio e não consegui determinar por que ele não consegue localizar um controlador de domínio com o qual autenticar. Neste momento, esse usuário está tendo que acessar esses arquivos de compartilhamento via RDP para o nosso servidor de aplicativos em site5, mas isso não é o ideal.
Pergunta:
Por que minhas credenciais de domínio podem ser autenticadas no DC, mas as credenciais do usuário ilicitam o "não é possível localizar o DC para autenticar o usuário" ao tentar acessar os compartilhamentos.
Parece que nosso firewall estava entregando nosso adaptador SSLVPN DNS inútil, o que impedia que alguns usuários pudessem localizar um DC com o qual autenticar. A substituição do DNS padrão por nosso DNS interno e a abertura de um buraco no firewall do computador para compartilhamento de arquivos e ativação do serviço de navegador de computador resolveu o problema.