Не удается присоединить рабочие станции Win7 к домену Win2k8

8

Я пытаюсь подключить компьютер с Windows 7 Ultimate к домену Windows 2k8, и он не работает. Я получаю эту ошибку:

Примечание. Эта информация предназначена для сетевого администратора. Если вы не являетесь администратором своей сети, сообщите администратору, что вы получили эту информацию, которая была записана в файле C: \ Windows \ debug \ dcdiag.txt.

DNS был успешно запрошен для записи ресурса местоположения службы (SRV), используемой для поиска контроллера домена для домена "example.local":

Запрос был для записи SRV для _ldap._tcp.dc._msdcs.example.local

По запросу были определены следующие контроллеры домена:
dc1.example.local
dc2.example.local

Однако с контроллерами домена связаться не удалось.

Распространенные причины этой ошибки включают в себя:

  • Записи узла (A) или (AAAA), которые сопоставляют имена контроллеров домена с их IP-адресами, отсутствуют или содержат неверные адреса.

  • Контроллеры домена, зарегистрированные в DNS, не подключены к сети или не работают.

Клиент находится в офисе, удаленно подключенном через MPLS к центру обработки данных, где существуют наши контроллеры домена. Кажется, у меня нет ничего, что блокирует подключение к DC, но у меня нет полного контроля над каналом MPLS, поэтому возможно, что что-то блокирует подключение.

Я попробовал несколько клиентов (Win7 Ultimate и WinXP SP3) в одном офисе, и у меня у всех одинаковые симптомы.

У меня нет проблем с подключением к одному из контроллеров домена, хотя я, правда, не пробовал все возможные порты. Все соединения ICMP, LDAP, DNS и SMB работают нормально.

Клиентский DNS указывает на контроллеры домена, а «example.local» преобразуется в два IP-адреса контроллеров домена.

Я получаю этот вывод из утилиты командной строки NetLogon Test:

C:\Windows\System32>nltest /dsgetdc:example.local
Getting DC name failed: Status = 1355 0x54b ERROR_NO_SUCH_DOMAIN

Я также создал отдельную сеть для эмуляции конфигурации этого офиса, которая подключена к сети постоянного тока через VPN LAN-LAN вместо MPLS. Присоединение компьютеров Windows 7 из этой удаленной сети работает нормально.

Единственное различие, которое я могу найти между этими двумя средами, заключается в промежуточном соединении, но у меня нет идей относительно того, что тестировать или как это делать. Какие дальнейшие шаги я должен предпринять?

(Обратите внимание, что на самом деле это не моя клиентская рабочая станция, и у меня нет прямого доступа к ней; я вынужден делать доступ к ней удаленными руками, что затрудняет некоторые из очевидных методов устранения неполадок, таких как перехват пакетов. Если я Я мог бы просто создать там систему, в которую я мог бы удаленно войти, но запросы на этот счет остались без ответа.)

2011-08-25 обновление:
я DCDIAG.EXEзапустил клиент, пытающийся присоединиться к домену:

C:\Windows\System32>dcdiag /u:example\adminuser /p:********* /s:dc2.example.local

Directory Server Diagnosis

Performing initial setup:
   Ldap search capabality attribute search failed on server
   dc2.example.local, return value = 81

Похоже, что он смог подключиться через LDAP, но попытка сделать это не удалась. Но я не совсем понимаю, что он пытался сделать, тем более, как воспроизвести или разрешить.

2011-08-26 обновление:
использование LDP.EXEдля попытки подключения LDAP напрямую к DC приводит к следующим ошибкам:

ld = ldap_open ("10.0.0.1", 389);
Ошибка <0x51>: не удается подключиться к 10.0.0.1.
ld = ldap_open ("10.0.0.2", 389);
Ошибка <0x51>: не удается подключиться к 10.0.0.2.
ld = ldap_open ("10.0.0.1", 3268);
Ошибка <0x51>: не удается подключиться к 10.0.0.1.
ld = ldap_open ("10.0.0.2", 3268);
Ошибка <0x51>: не удается подключиться к 10.0.0.2.

Это может указывать на то, что соединения LDAP где-то заблокированы. (И 0x51 == 81, что было ошибкой из DCDIAG.EXEвчерашнего обновления.) Могу поклясться, что проверял это TELNET.EXEнесколько недель назад, но теперь я думаю, что мог предположить, что очистка экрана показала мне, что это было жду, а не то, что это связано.

Сейчас я отслеживаю проблемы с подключением LDAP. Это обновление может стать ответом.

windows-server-2008 windows-7 ldap active-directory wfaulk
источник
3
Учитывая, что DNS, кажется, работает, я бы предложил прикрепить NetMon или Wireshark на обоих концах и захватить пакеты, чтобы увидеть, что происходит в сети.
ITHedgeHog
Кстати, я люблю опечатки в dcdiagвыводе.
wfaulk
Получаете ли вы какие-либо сообщения об ошибках / события на DC?
Grizly
@Grizly: Не то, что я видел, нет.
wfaulk
Есть ли у вас доступ к каким-либо сетевым устройствам между рабочими станциями и серверами? Вы хотели бы проверить их журналы фильтрации / подключения и посмотреть, отбрасывает ли какой-либо из них / фильтрует пакеты с / на рабочие станции.
Эшли

Ответы:

2

Потребовалось вечно, чтобы найти, где это происходит, но оказывается, что в VPN были фильтры, блокирующие трафик LDAP (и другой). Я очистил эти фильтры, и теперь он работает.

wfaulk
источник
2

Может быть межсетевой экран между машиной Win7 и контроллерами домена.

Если у вас есть доступ к nmap :

nmap -PN -p389 dc1.example.local dc2.example.local

Обновить:

nltest /dsgetdc:example.local

nslookup -q=srv _ldap._tcp.dc._msdcs.example.local  
nslookup -q=a $prefered_host  
ldapsearch -h $IPaddress_of_A_record -x -b "" -s base (&(DNSDomain=example.local)(HOST=$localmachineshostname)(NtVer=\\\\16\\\\00\\\\00\\\\00)) netlogon

NtVer запрашивает V5 (netlogon версии 5), V5EX (расширенный вход в систему версии 5), VCS (ближайший DC). Взято из Win7Ent.

(Idap hex является трикси.)

84104
источник
Как я уже сказал, LDAP-подключение к DC работает нормально.
wfaulk
Виноват. Тем не менее, все, что делает nltest - это 2 DNS-поиска и cldap-поиск. Я буду обновлять с поведением.
84104
Хорошая информация Я дважды проверю обе эти вещи.
wfaulk
Кто-нибудь знает, будут ли проблемы с несуществующими записями PTR для контроллеров домена?
wfaulk
Не должно быть; все остальные машины объединились без них. nltestне ищет их. Дважды проверьте, что клиент может получить запись SRV. Не думайте, что MS DNS-серверы имеют разделенное представление, но у них заканчиваются варианты.
84104
1

Похоже, win7 не указывает свой DNS на DC? Возможно, DHCP указывает DNS на интернет-провайдеров DNS?

Алан
источник
Нет, DNS определенно указывает на контроллеры домена. Я думаю, что тот факт, что поиск LDAP SRV работал, подтверждает это.
wfaulk
вы можете пропинговать доменное имя без имени хоста? Например, если DC - DC1.mydomain.com, можете ли вы пропинговать mydomain.com из коробки win7?
Алан
Ага. разрешает IP-адреса двух контроллеров домена.
wfaulk
У меня нет идей! Удачи тебе!
Алан
0

Похоже, что вы попробовали и протестировали все, что касается DNS, но вы убедились, что записи A для серверов DC / DNS существуют и являются правильными? Что происходит, когда вы запускаете nslookup, проверяя оба сервера на наличие записей A для обоих серверов? Являются ли контроллеры домена в сообщении об ошибке правильными серверами DC / DNS для домена?

joeqwerty
источник
Учитывая, что присоединение к домену прекрасно работает из другой сети, я не думаю, что это нечто фундаментальное.
wfaulk
Извините, я пропустил эту часть.
Joeqwerty
Убедитесь, что трафик через следующие порты проходит через канал MPLS: трафик Microsoft-DS (445 / tcp, 445 / udp) • протокол аутентификации Kerberos (88 / tcp, 88 / udp) • облегченный протокол доступа к каталогам (LDAP) (389 / udp) • Система доменных имен (DNS) (53 / tcp, 53 / udp)
joeqwerty
0

Существует ли вероятность того, что клиент в удаленном офисе использует только IPv6, и хотя он находит запись SRV для DC, DNS не настроен с записями AAAA (IPV6)?

Стивен Шорт
источник
Интересная догадка, но нет.
wfaulk