Я пытаюсь подключить компьютер с Windows 7 Ultimate к домену Windows 2k8, но он не работает. Я получаю такую ошибку:
Примечание. Эта информация предназначена для сетевого администратора. Если вы не являетесь администратором своей сети, сообщите администратору, что вы получили эту информацию, которая была записана в файле C: \ Windows \ debug \ dcdiag.txt.
DNS был успешно запрошен для записи ресурса местоположения службы (SRV), используемой для поиска контроллера домена для домена «example.local»:
Запрос был для записи SRV для _ldap._tcp.dc._msdcs.example.local
По запросу были определены следующие контроллеры домена:
dc1.example.local
dc2.example.localОднако связаться с контроллерами домена не удалось.
Общие причины этой ошибки включают:
Записи хоста (A) или (AAAA), которые сопоставляют имена контроллеров домена с их IP-адресами, отсутствуют или содержат неправильные адреса.
Контроллеры домена, зарегистрированные в DNS, не подключены к сети или не работают.
Клиент находится в офисе, удаленно подключенном через MPLS к центру обработки данных, где существуют наши контроллеры домена. Кажется, у меня нет ничего, что блокирует подключение к контроллерам домена, но у меня нет полного контроля над схемой MPLS, поэтому возможно, что что-то блокирует подключение.
Я пробовал несколько клиентов (Win7 Ultimate и WinXP SP3) в одном офисе и обнаружил одинаковые симптомы на всех из них.
У меня нет проблем с подключением к любому из контроллеров домена, хотя я, по общему признанию, не пробовал все возможные порты. Подключения ICMP, LDAP, DNS и SMB работают нормально.
Клиентский DNS указывает на контроллеры домена, а example.local разрешает два IP-адреса контроллеров домена.
Я получаю этот вывод из утилиты командной строки NetLogon Test:
C:\Windows\System32>nltest /dsgetdc:example.local
Getting DC name failed: Status = 1355 0x54b ERROR_NO_SUCH_DOMAIN
Я также создал отдельную сеть для эмуляции конфигурации этого офиса, которая подключена к сети постоянного тока через LAN-to-LAN VPN вместо MPLS. Подключение компьютеров с Windows 7 из этой удаленной сети работает нормально.
Единственное различие, которое я могу найти между двумя средами, - это промежуточное соединение, но я не знаю, что тестировать или как это делать. Какие дальнейшие шаги мне следует предпринять?
(Обратите внимание, что на самом деле это не моя клиентская рабочая станция, и у меня нет прямого доступа к ней; я вынужден использовать удаленный доступ к ней, что затрудняет некоторые из очевидных методов устранения неполадок, таких как анализ пакетов. мог бы просто настроить там систему, в которую я мог бы удаленно, я бы сделал это, но запросы на этот счет остались без ответа.)
2011-08-25 обновление:
я имел DCDIAG.EXE запустить на клиенте, пытающемся присоединиться к домену:
C:\Windows\System32>dcdiag /u:example\adminuser /p:********* /s:dc2.example.local
Directory Server Diagnosis
Performing initial setup:
Ldap search capabality attribute search failed on server
dc2.example.local, return value = 81
Похоже, что он смог подключиться через LDAP, но то, что он пытался сделать, не удалось. Но я не совсем понимаю, что он пытался сделать, не говоря уже о том, как это воспроизвести или решить.
2011-08-26 обновление:
С помощью LDP.EXE попытка установить LDAP-соединение напрямую с контроллерами домена приводит к следующим ошибкам:
ld = ldap_open («10.0.0.1», 389);
Ошибка <0x51>: не удалось подключиться к 10.0.0.1.
ld = ldap_open («10.0.0.2», 389);
Ошибка <0x51>: не удалось подключиться к 10.0.0.2.
ld = ldap_open («10.0.0.1», 3268);
Ошибка <0x51>: не удалось подключиться к 10.0.0.1.
ld = ldap_open («10.0.0.2», 3268);
Ошибка <0x51>: не удалось подключиться к 10.0.0.2.
Казалось бы, это указывает на то, что соединения LDAP где-то заблокированы. (И 0x51 == 81, что было ошибкой из DCDIAG.EXE из вчерашнего обновления.) Могу поклясться, что тестировал это с помощью TELNET.EXE недель назад, но теперь я думаю, что, возможно, предположил, что очистка экрана говорила мне, что он ждал, а не о том, что он подключился.
Я сейчас отслеживаю проблемы с подключением LDAP. Это обновление может стать ответом.
Между машиной Win7 и контроллерами домена может быть брандмауэр.
Если у вас есть доступ к Nmap:
nmap -PN -p389 dc1.example.local dc2.example.local
Обновить:
nltest /dsgetdc:example.local
nslookup -q=srv _ldap._tcp.dc._msdcs.example.local
nslookup -q=a $prefered_host
ldapsearch -h $IPaddress_of_A_record -x -b "" -s base (&(DNSDomain=example.local)(HOST=$localmachineshostname)(NtVer=\\\\16\\\\00\\\\00\\\\00)) netlogon
NtVer запрашивает V5 (вход в сеть версии 5), V5EX (расширенный вход в систему версии 5), VCS (ближайший постоянный ток). Взято из Win7Ent.
(ldap hex - это триокси.)
Потребовалась целая вечность, чтобы найти, где это происходит, но оказалось, что внутри VPN были фильтры, блокирующие LDAP (и другой) трафик. Я очистил эти фильтры, и теперь он работает.
Похоже, что win7 не указывает свой DNS на DC? Возможно, DHCP указывает DNS на DNS интернет-провайдеров?
Похоже, вы пробовали и тестировали все, что касается DNS, но проверили ли вы, что записи A для серверов DC / DNS существуют и верны? Что происходит, когда вы запускаете nslookup, проверяя оба сервера на наличие записей A для обоих серверов? Верны ли DC / DNS-серверы в сообщении об ошибке для домена?
Есть ли вероятность, что клиент в удаленном офисе работает только с IPv6 и, хотя он находит запись SRV для контроллера домена, DNS не настроен с записями AAAA (IPV6)?