У меня есть брандмауэр ASA (внутренний интерфейс ip = 10.15.15.1 и внешний int = 192.168.3.1). DNS-сервер находится внутри ASA. Все ПК внутри могут присоединиться к домену, но ПК за пределами ASA отказываются присоединиться к домену. Компьютеры могут получить доступ к Интернету и пинговать домен изнутри и снаружи, но не могут присоединиться к домену. Я что-нибудь пропустил?
Domain controller(10.15.15.3)------(inside int =10.15.15.1)ASA(outside=192.168.3.1)------internet------pc2(fails to join to domain but can ping the ip for domain)
Недостаточно иметь возможность проверить связь с контроллером домена, чтобы компьютер присоединился к домену. Вам нужно гораздо больше. Есть список портов, которые также должны быть доступны для этого. Microsoft перечисляет порты, которые вы можете найти по ссылке ниже.
См. Подробный список здесь: Требования к портам доменных служб Active Directory и Active Directory
И соответствующий пост: https://social.technet.microsoft.com/Forums/windowsserver/en-US/772faa9f-0e28-40e0-ad90-8db08b4c192a/domain-joining-port?forum=winserverDS
Вам нужно будет соответствующим образом настроить брандмауэр ASA и посмотреть, как можно убедиться, что клиентские ПК могут взаимодействовать через перечисленные порты с помощью соответствующих правил nat.
Microsoft не тестирует и не рекомендует использование Active Directory через NAT: https://support.microsoft.com/en-us/kb/978772
Хотя, похоже, есть решение: