У нас была среда с несколькими контроллерами домена 2008 R2 во внутренней локальной сети и одним контроллером домена 2008 R2 в нашей демилитаризованной зоне.
Мы настроили серверы 2008 R2 в нашей DMZ и присоединили их к домену с помощью DJOIN.
Все работало нормально, но потом мы начали настраивать серверы 2012 R2 в нашей DMZ. DJOIN успешно присоединяет серверы 2012 R2 к домену, но мы не можем войти в систему с использованием любого пользователя домена на них. Во время входа в систему появляется сообщение «Другой пользователь», а затем - «В настоящее время нет серверов входа в систему, доступных для обслуживания запроса входа».
Мы установили RoDC 2012 R2 в демилитаризованной зоне, но проблема все еще сохраняется.
Мы нашли временный обходной путь для решения проблемы, который заключается в том, чтобы открыть для связи от новых серверов 2012 R2 к основному контроллеру домена во внутренней сети, а затем успешно войти в систему как пользователь домена на сервере 2012 R2. После этого связь может быть снова заблокирована, и другие пользователи смогут войти на сервер 2012 R2 в демилитаризованной зоне со своими пользователями домена.
Мы открыли полный доступ (TCP / IP) к основному контроллеру домена, он также может работать, чтобы открыть несколько портов для любого контроллера домена.
Поскольку этот временный обходной путь не является хорошим решением, мы хотим найти причину, по которой серверы 2012 R2 не хотят общаться ни с одним из RoDC: s (один 2008 R2 и один 2012 R2), не поговорив предварительно с DC во внутренней сети
Поскольку серверы 2012 R2 не могут найти RoDC: s в DMZ, я предполагаю, что это проблема DNS. Но что изменилось между 2008 R2 и 2012 R2? Я искал и разговаривал с нашими консультантами, но они не понимают, что может быть причиной
Пожалуйста помоги
Клиентский компьютер не может обнаружить, на каком сайте AD он находится. Когда вы открываете брандмауэр для чтения-записи DC, компьютер может обнаружить, на каком сайте AD он находится, и проблема исчезает. Чтобы избежать необходимости открывать доступ к контроллеру домена для чтения и записи, вам нужно заранее сообщить компьютеру, на каком сайте AD он находится.
Ответ:
Вот где я нашел ответ: http://social.technet.microsoft.com/forums/windowsserver/en-US/968e5f0f-8dda-4e57-b37f-8d858d568225/perimeter-network-to-rodc-no-logon-servers-available-using-ipsec- туннель
Вот официальный справочный материал Microsoft. Ключ reg упоминается в шагах 6-8 в разделе «Запуск сценария соединения на клиентском компьютере». http://technet.microsoft.com/en-us/library/dd728035(WS.10).aspx