Невозможно войти в систему как пользователь домена на рабочей станции XP при подключении к (SBS 2003) DC через VPN (LogMeIn Hamachi)
У нас есть рабочий стол Windows XP Professional на удаленном сайте, подключенный к нашему контроллеру домена SBS 2003 в главном офисе через VPN (LogMeIn Hamachi).
Рабочий стол XP без проблем был присоединен к домену через VPN-соединение.
Проблема в том, что пользователи домена на удаленном сайте видят следующее сообщение при попытке входа в систему:
Этого не происходит, когда ПК переносится в главный офис и подключается к локальной сети, и последующие попытки удаленного входа в систему после этого завершаются успешно (но только из-за кэшированных учетных данных - основная проблема остается, и новые пользователи по-прежнему не будут может войти в систему на удаленном сайте).
Другой симптом заключается в том, что пользователи домена не отображаются должным образом на Локальные пользователи и группы Оснастка MMC (показывает только их SID, без соответствующих имён пользователей домена).
Я попытался удалить компьютер из домена и повторно присоединиться, если это была просто проблема с нарушением доверительных отношений (и даже пробовал другой компьютер), но проблема всегда одна и та же.
Вот результаты проверки связи с различными комбинациями имен хостов и IP-адресов для контроллера домена из системы XP:
ping server = УСПЕХ
ping server.domain.local = FAIL (однако проверка FQDN сервера является успешно, когда выполняется на ПК в главном офисе)
ping 192.168.1.50 = FAIL (пинг DC по его частному IP)
IP-адрес Hamachi VPN сервера ping = УСПЕХ
Нет проблем с доступом к общим ресурсам на сервере по каналу VPN.
(Автоматически назначаемый) DNS для системы XP - это IP шлюза маршрутизатора: 192.168.1.1
Общие сетевые ресурсы на сервере работают отлично - похоже, эта проблема влияет только на возможность входа в систему в качестве пользователей домена.
Есть идеи, что происходит и как я могу это исправить?
Как вы и подозревали, это DNS на удаленном сайте.
Чтобы DNS-сервер мог поддерживать Active Directory, сервер должен поддерживать тип записи ресурса службы (SRV) и протокол динамического обновления, как описано в RFC 2136. Active Directory использует DNS как механизм определения местоположения для контроллеры домена, позволяющие компьютерам в сети получать IP-адреса контроллеров домена. Во время установки Active Directory записи ресурсов службы (SRV) и адреса (A) динамически регистрируются в DNS. Оба типа записей необходимы для работы механизма локатора контроллера домена (Locator).
Чтобы найти контроллеры домена в домене или лесу, клиент запрашивает в DNS записи ресурсов SRV и A DNS контроллера домена. Записи ресурсов предоставляют клиенту имена и IP-адреса контроллеров домена. В этом контексте записи ресурсов SRV и A называются записями ресурсов DNS локатора.
http://technet.microsoft.com/en-us/library/cc759550%28v=ws.10%29.aspx
Поскольку удаленный сайт не может связаться с контроллером домена через его внутренний IP-адрес, удаленные пользователи не могут «найти» этот сервер для входа в систему.
Вероятно, вы не захотите добавлять запись для второго IP-адреса. Многодомность контроллера домена может вызвать проблемы.
http://support.microsoft.com/kb/272294
Вместо этого, я думаю, вы хотите отключить регистрацию DNS на виртуальном адаптере Hamachi. В любом случае я бы попробовал это в первую очередь.
http://support.microsoft.com/kb/272294 (это относится к 2000 году, но должно работать и на 2003 год)
Удачи!
[Отредактировано для добавления ...]
Похоже, у вас есть интерфейс Hamachi на самом DC. Если это так, я не знаю, поддерживает ли Hamachi обращение к DC через интерфейс, отличный от Hamachi. В противном случае вам, возможно, придется использовать другую машину в качестве конечной точки туннеля.