Контроллер домена считает, что его в публичной сети

30

У нас есть основной контроллер домена Server 2008 R2, у которого , похоже, возникает амнезия, когда речь заходит о том, в какой сети он находится. (Только) сетевое соединение определяется при запуске как «Публичная сеть».

Тем не менее, если я отключу, а затем снова включу соединение, оно с радостью обнаружит, что оно на самом деле является частью доменной сети.

Это потому, что доменные службы AD не запускаются при первоначальном определении сетевого расположения?

Эта проблема вызывает некоторые проблемы с правилами брандмауэра Windows (которые, как я знаю, могут быть решены другими способами), поэтому мне просто интересно узнать, знает ли кто-нибудь, почему это происходит.

networking  windows-server-2008-r2  domain-controller 
Мэтт Реннер
источник
13
Пожалуйста, повторите со мной: «Основного контроллера домена не существует, и с момента появления Windows 2000 его не было».
Массимо
5
Мои искренние извинения. Веб-разработчику приходится присматривать за сетью Windows!
Мэтт Реннер
Просто чтобы добавить дополнительную информацию для этой неприятной проблемы: blogs.technet.com/b/networking/archive/2010/09/08/… и есть исправление для Windows 7 и 2008 R2 support.microsoft.com/en-us / КБ / 2524478
Ли Томпсон
Сколько контроллеров домена у вас есть? Когда мы выполняем техническое обслуживание, иногда технические специалисты перезагружают оба контроллера домена одновременно! что не очень разумно (даже если это середина ночи), когда вы можете просто перезагружать перезагрузки, чтобы поддерживать все службы в рабочем состоянии.
Брайан Д.

Ответы:

16

У вас есть шлюз по умолчанию для этого соединения? Он отвечает на запросы ping?

Windows использует шлюзы для идентификации сетей; если у него нет настроенного шлюза или если он не может успешно пропинговать его, он не сможет определить сеть, к которой он подключен, и предположит, что она является общедоступной.

Massimo
источник
Мы делаем - шлюз также является сервером Server 2008 R2 с Forefront Threat Management Gateway, который контроллер домена может пропинговать.
Мэтт Реннер
Ваш DC имеет более одного NIC установленного и используемого ??
Джон Гомер
Нет, только один.
Мэтт Реннер
13
Понял - случайно включил IPv6, поэтому пытался найти шлюз через v6. Выключил и все работает нормально.
Мэтт Реннер
3
Это определенно неправильно. На контроллере домена состояние брандмауэра не зависит от шлюза по умолчанию.
Layer8
52

Будет ли сеть в контроллере домена классифицируется как сеть домена не зависит от конфигурации шлюза.

Поведение ложной классификации сети может быть вызвано NLAслужбой (осведомленность о местоположении сети) starts before the domain is available. В этом случае общедоступная или частная сеть выбирается и впоследствии не корректируется.

Как проверить, возникает ли данная ситуация сбоя
Когда контроллер домена после перезагрузки находится в общедоступной сети, перезапустите службу NLA или отключите / повторно подключите сеть. После этого контроллер домена должен находиться в доменной сети.

Как ее решить
Это может помочь настроить службу NLA на отложенный запуск . Лучше проверьте, почему домен должен долго присутствовать. Похоже, что домен требует больше времени для запуска при наличии нескольких сетевых карт.

Когда это не помогает
Когда ни ускорение загрузки домена, ни задержка NLA не помогают, и ошибка вызвана длительной загрузкой домена (смотрите: «как проверить ...»), тогда есть некоторые больше вещей, которые можно сделать.

  • Написать скрипт для его перезапуска и запустить его с планировщиком (опасно)

  • Сдвиньте загрузку службы NLA до конца запуска службы, изменив порядок загрузки в реестре (опасно)

    Следующая запись реестра устанавливает зависимости NSI RpcSs TcpIp Dhcp Eventlog NTDS DNS:

    REGEDIT4

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NlaSvc]
"DependOnService"=hex(7):4e,53,49,00,52,70,63,53,73,00,54,63,70,49,70,00,44,68,\
63,70,00,45,76,65,6e,74,6c,6f,67,00,4e,54,44,53,00,44,4e,53,00,00

  • Выполните «IPCONFIG / RENEW» из планировщика при запуске с задержкой в ​​1 или 2 минуты (лучше, чем запуск службы NLA)

  • Перезапускайте службу NLA вручную после каждой перезагрузки (но: «IPCONFIG / RENEW» должен быть предпочтительным)!

Еще одна причина также может быть, когда на контроллере домена настроены два или более IP-адресов (на одной или других сетевых картах), а дополнительные сети не настроены в DNS.

Воспроизведение поведения
На тестовом контроллере домена (один DC!) Я удалил запись шлюза по умолчанию и установил DNS Serverв delayed start. Для этого домену нужно было долго загружаться, и сеть была классифицирована как public. После отсоединения и повторного подключения сетевого кабеля сеть была правильно классифицирована как domain network.

редактировать

с благодарностью от комментариев Daniel Fisher lennybaconи Joshua Hanley:

Как добавить зависимость для NlaSvc в DNS и NTDS

запустить sc config nlasvc depend=NSI/RpcSs/TcpIp/Dhcp/Eventlog/DNS/NTDSиз CMD (используйте sc.exe, если вы запускаете его в PowerShell). Если вы хотите перепроверить существующие зависимости перед добавлением DNS и NTDS, используйтеsc qc nlasvc

болотно-покачивания
источник
2
Это ответ на нашу ситуацию, когда вторичный / резервный контроллер домена в Azure (подключенный через VPN к локальному DC) постоянно зависал в расположении частной сети и после перезапуска NLA корректно разрешался в сети домена. Я сделал изменения, чтобы отложить начало, и это решило нашу проблему.
Яанс
1
Это сработало для меня! Имели эту проблему в течение нескольких месяцев и наконец решили разобраться.
notbad.jpeg
2
здесь блог MS с информацией о NLA blogs.technet.microsoft.com/networking/2010/09/08/…
Тило
3
Я добавил зависимость для NlaSvc в DNS и NTDS. Работает как шарм.
Даниэль Фишер lennybacon
1
Чтобы сделать то, что сделал @DanielFisherlennybacon, запустите «sc config nlasvc зависимость = NSI / RpcSs / TcpIp / Dhcp / Eventlog / DNS / NTDS» из CMD (используйте sc.exe, если вы запускаете его в PowerShell). Если вы хотите перепроверить существующие зависимости перед добавлением DNS и NTDS, используйте «sc qc nlasvc».
Джошуа Хенли
1

Я видел подобное поведение, стоявшее на сервере 2008 R2 AD. Меня привлекло несколько сетевых адаптеров, хотя они не использовались. Как только я отключил неиспользуемые сетевые карты и перезагрузился, проблема исчезла.

Точная функция Windows, с которой вы столкнулись, называется NLA (Network Location Awareness). Я не знаю достаточно об этом, чтобы претендовать на звание эксперта, но я знаю, что есть некоторая интересная информация о том, как все это работает или должно работать.

Джон Гомер
источник
0

В моем случае сервер был DMZ и многие правила брандмауэра блокировали сервер для общения с контроллерами домена. В этом случае вам потребуется открыть брандмауэры (аппаратное обеспечение FW), чтобы позволить серверам обмениваться данными. Также для запуска теста подключите сервер к сети, где правила брандмауэра разрешают связь между клиентом и серверами.

Кабул
источник
-4

После установки нового контроллера домена вы можете обнаружить, что для «WINDOWS FIREWALL» неправильно установлено значение «DOMAIN: ON». Это результат неправильной установки по умолчанию, предоставленной Microsoft. Чтобы это исправить, очистите настройки DNS IP6 в сетевом подключении от «:: 0» до автоматического. Также очистите серверы пересылки IP6 с DNS-сервера.

Funschlager
источник
Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.