У меня есть офисная подсеть (скажем, 192.168.10.x) и гостевая подсеть (192.168.99.x), которые используют ящик pfSense в качестве шлюза / маршрутизатора. Подсеть офиса «управляется» Active Directory с помощью контроллеров домена Windows 2003 - контроллеры домена выдают аренду DHCP, управляют DNS и т. Д. Моя гостевая подсеть контролируется pfSense.
Я хочу, чтобы клиентский компьютер WinXP, расположенный в гостевой подсети, имел доступ к ресурсам Active Directory, как если бы они находились в офисной подсети.
VPN может быть возможным, но поскольку обе подсети управляются одним и тем же блоком pfSense, маршрутизация запутывается.
Виртуальные локальные сети на самом деле невозможны.
Я думаю, что у меня это почти работает, но я застреваю. По глупости у нас есть файловые серверы и даже Exchange на наших контроллерах домена, и клиент не может получить доступ к этим ресурсам должным образом.
Вот что работает:
НО клиент не может подключиться по протоколу RDP к контроллеру домена, получить доступ к Exchange или получить доступ к общим папкам. Когда я перемещаю клиента в офисную подсеть, он может делать это.
Насколько я могу судить, журналы событий сервера не дают никаких подсказок.
В журналах событий клиента есть подсказки. Вот пример:
W32Time eventID 18
The time provider NtpClient failed to establish a trust relationship between this
computer and the MYDOMAIN domain in order to securely synchronize time. NtpClient
will try again in 60 minutes. The error was: The trust relationship between this
workstation and the primary domain failed. (0x800706FD)
Если нет доверительных отношений, я не смогу пройти аутентификацию, но я почти уверен, что смогу. (Я дважды проверю, чтобы убедиться, что это не просто кешированные учетные данные.)
Я подозреваю, что на контроллерах домена есть некоторые настройки, которые заставляют их не доверять моему клиенту, когда он находится в удаленной подсети. Но мне сложно найти, что это может быть, или где найти документацию по этому поводу.
Что мне не хватает?
Есть ли другие решения этой проблемы, которые мне следует рассмотреть?
Если клиент присоединен к домену, то единственное, что мешает ему правильно взаимодействовать, это то, что трафик не маршрутизируется правильно из одной подсети в другую, что у клиента неправильные настройки DNS или что брандмауэр блокирует требуемые трафик из одной подсети в другую.
Настройка другой подсети в ADS & S на самом деле не принесет вам никакой пользы, если там нет контроллера домена или там нет интегрированных служб AD (Exchange, DFS).
Возможно, брандмауэр Windows на ваших серверах разрешает только некоторые типы трафика из локальной подсети? Также убедитесь, что клиенты используют соответствующий DNS-сервер AD. Если вы разрешаете весь трафик между сайтами на pfSense, это не виноват. Захват пакетов в локальной сети, обращенной к DC, говорит о том, что если это локальный брандмауэр на этом сервере, разрешающий только трафик локальной подсети, вы увидите, что трафик покидает локальную сеть и никогда не получает ответа.