Назад | Перейти на главную страницу

Новый AD-DC на новом сайте отказывается от межсайтовых подключений IPv4

Мы только что добавили новый контроллер домена Server 2008 (sp2) на новый сайт, это наша первая такая конфигурация. Это через WAN-шлюз VPN (10 Мбит). К сожалению, он показывает странный сетевой симптом. В соединениях с портами SMB (TCP / 139 и TCP / 445) активно отказываются ... если соединение идет по чистому IPv4. Если входящее соединение идет через туннель 6to4, эти соединения устанавливаются и работают нормально.

Это не брандмауэр, поскольку такое поведение можно воспроизвести при выключенном брандмауэре. Кроме того, он фактически выдает пакеты RST для попыток подключения; то, что происходит с брандмауэром Windows, только если за портом стоит служба, а сама служба запрещает доступ. Я сомневаюсь, что это какой-то брандмауэр на проводе, поскольку сервер, который он заменил, работал под управлением Samba, и доступ к нему из нашей основной сети работал нормально.

Я думаю, это может иметь какое-то отношение к спискам подсетей в AD Sites & Services, но я не уверен. Мы не помещали туда никаких IPv6-адресов, только v4, и это соединения v4 запрещены. К сожалению, я не могу этого понять. Нам нужно иметь возможность разговаривать с этим DC из главного кампуса. Происходит ли какая-то фильтрация на уровне SMB на уровне сайтов? Я могу нормально поговорить с округом Колумбия на территории кампуса, но это уже через туннель v6. У меня нет доступа к обычному компьютеру в этой удаленной подсети, что ограничивает мои возможности тестирования.

Отвечая на мой собственный вопрос здесь, но Хелвик прибил его. Только что долго разговаривал с нашими специалистами по брандмауэрам (они весь день отсутствовали в офисе, настраивая новый удаленный сайт, поэтому у меня не было возможности поговорить с ними раньше). Они изменили порядок правил, и, похоже, это сработало. Старое устаревшее правило IPv4 BLOCK TCP / 139 обходилось шлюзом 6to4, поэтому этот трафик проходил.

Оглядываясь назад, можно сказать, что доступ Samba, который мы делали раньше, не должен был работать из основной сети. Я должен проверить, что случилось.

Во всяком случае, решено.