Назад | Перейти на главную страницу

Компьютеры на сайте не аутентифицируются на RODC

У меня 2 сети:

  • 172.33.0.x: Моя внутренняя сеть
  • 192.168.1.x: Моя сеть DMZ

    • У меня есть DC во внутренней сети для моего домена и RODC в DMZ для того же домена. Между этими двумя сетями существует межсетевой экран, разрешающий только указанные мной порты / трафик.

    Когда я добавляю компьютер в DMZ и пытаюсь добавить его в домен, он все равно пытается получить доступ к моему DC во внутренней сети, а не к RODC в DMZ. Я внес изменения, как указано здесь (http://support.microsoft.com/kb/977510, т.е. позволяя обнаруживать RODC).

    Я разрешаю следующие порты между моим контроллером домена только для чтения и контроллером домена:

    Service           Source          Destination
Ephemeral ports   49152:65535     49152:65535
FRsRPC            1:65535         53248
Kerberos          1:65535         88
LDAP              1:65535         389
SMB               1:65535         445
NTP               1:65535         123
RPCC Endpoint     1:65535         135

    У меня есть два настроенных сайта ... DMZ и Internal. Контроллер домена только для чтения является частью сайта DMZ, а контроллер домена - частью внутреннего сайта. Подсети также настраиваются и назначаются правильным сайтам.

    Если я запускаю nltest /dsgetdc:mydomain.local на компьютере в DMZ, возвращается RODC.

    Несколько вещей:

    Захват пакетов netmon почти наверняка укажет вам правильное направление.

    Отладка Netlogon на клиенте предоставляет полезную информацию.

    Журналы сохраняются по адресу: C: \ Windows \ debug \ netlogon.log. 

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters]  
"DBFlag"=dword:24401F04  
"MaximumLogFileSize"=dword:3200000

    Когда вы настраиваете сайты, действительно важно, какие записи DNS возвращаются клиенту. Вот как он узнает, к какому DC подключаться. Netlogon.log фактически покажет вам зону: 

    01/14 06:46:53 [CRITICAL] NetpDcGetDcNext: _ldap._tcp.ACMEHQ._sites.dc._msdcs.acme.com.

    Я бы проверил эту зону в DNS.

    Тогда позже: 

    01/14 06:46:55 [CRITICAL] NetpDcGetName: acme.com.: IP and Netbios are both done.

    Таким образом, либо запись DNS для контроллера домена только для чтения не находится в ожидаемой зоне, либо не возвращается вашим DNS-сервером, либо клиент получает правильную запись DNS, но возникает другая проблема, и он подключается к другому контроллеру домена. Что, кстати, является ожидаемым поведением.