Когда-то на прошлой неделе (когда я был в отпуске) что-то изменилось в моей сети / домене, что я не могу точно определить, и у нас наблюдается следующее поведение.
Мои 2 контроллера домена - это 2008 R2 и находятся в подсети 10.2.128.0/24 (а также на других серверах). Мои клиенты находятся в сети 10.2.132.0/22.
Когда клиент находится на адресе 10.2.132.x, он работает нормально, когда IP-адрес от DHCP (или установлен вручную) на 10.2.133.x 134.x 135.x, он говорит, что не может найти контроллер домена или запрашивает имя пользователя и пароль. При попытке присоединиться к домену с этих IP-адресов я получаю: DNS был успешно запрошен для записи ресурса местоположения службы (SRV), используемой для обнаружения контроллера домена для домена culture.gr: запрос был для записи SRV для _ldap._tcp.dc._msdcs.xxx.xxx
Nslookup работает, ping работает, telnet на 53 работает, dcdiag не показывает ошибок, репликация в порядке, DNS без ошибок, DHCP без ошибок ...
nslookup _ldap._tcp.dc._msdcs.xxx.xxx Сервер: dc2.xxx.xxx Адрес: 10.2.128.22
Имя: _ldap._tcp.dc._msdcs.xxx.xxx
Если я вручную перемещу клиента в диапазон 10.2.132.xx, он работает ...
Любые предложения приветствуются.
Это 10.2.132.0/22 подсеть определена в AD Sites and Services и назначена сайту?
Возможно, кто-то вместо этого набрал / 24 или намеревался разбить его на подсети класса C и не добавил дополнительные подсети в определения сайтов.
Регистрируются ли клиенты в DNS на контроллерах домена? ЕСЛИ DHCP делает это, клиенты не должны быть в домене)?
Если между этими подсетями установлен брандмауэр, все ли необходимые порты AD открыты двунаправленно между проблемными подсетями и всеми контроллерами домена? DNS, Kerberos, LDAP, SMB, RPC и т. Д.
Чтобы проверить записи SRV от клиента, правильный синтаксис для nslookup является:
nslookup -type=SRV _ldap._tcp.dc._msdcs.example.com
Вы должны увидеть список, включающий все контроллеры домена в домене. Для сравнения сначала попробуйте его на клиенте в рабочей подсети.
Также проверьте, можно ли разрешить соответствующий DC для сайта AD, на котором будет находиться проблемный клиент:
nslookup -type=SRV _ldap._tcp.[SiteName]._sites.dc._msdcs.example.com
Проблема была каким-то образом вызвана Cisco ASA, который обрабатывает трафик между различными сегментами LAN, хотя никто не утверждает, что что-то изменил.
Спасибо Trix за информацию, особенно за порты FW, нам пришлось вручную добавить их и еще несколько. После добавления правила работа вернется в нормальный режим.