Không thể tham gia máy trạm Win7 vào miền Win2k8

8

Tôi đang cố gắng kết nối máy Windows 7 Ultimate với miền Windows 2k8 và nó không hoạt động. Tôi nhận được lỗi này:

Lưu ý: Thông tin này dành cho quản trị viên mạng. Nếu bạn không phải là quản trị viên mạng của bạn, hãy thông báo cho quản trị viên rằng bạn đã nhận được thông tin này, thông tin đã được ghi lại trong tệp C: \ Windows \ debug \ dcdiag.txt.

DNS đã được truy vấn thành công cho bản ghi tài nguyên vị trí dịch vụ (SRV) được sử dụng để định vị bộ điều khiển miền cho miền "example.local":

Truy vấn là bản ghi SRV cho _ldap._tcp.dc._msdcs.example.local

Các bộ điều khiển miền sau được xác định bởi truy vấn:
dc1.example.local
dc2.example.local

Tuy nhiên không có bộ điều khiển miền có thể được liên lạc.

Nguyên nhân phổ biến của lỗi này bao gồm:

  • Bản ghi máy chủ (A) hoặc (AAAA) ánh xạ tên của bộ điều khiển miền tới địa chỉ IP của chúng bị thiếu hoặc chứa địa chỉ không chính xác.

  • Bộ điều khiển miền đã đăng ký trong DNS không được kết nối với mạng hoặc không chạy.

Máy khách ở trong một văn phòng được kết nối từ xa thông qua MPLS đến trung tâm dữ liệu nơi bộ điều khiển miền của chúng tôi tồn tại. Tôi dường như không có bất cứ điều gì ngăn chặn kết nối với các DC, nhưng tôi không có toàn quyền kiểm soát mạch MPLS, vì vậy có thể có thứ gì đó chặn kết nối.

Tôi đã thử nhiều khách hàng (Win7 Ultimate và WinXP SP3) trong một văn phòng và nhận được các triệu chứng giống nhau trên tất cả chúng.

Tôi không gặp khó khăn khi kết nối với một trong hai bộ điều khiển miền, mặc dù tôi đã thừa nhận, không thử mọi cổng có thể. Các kết nối ICMP, LDAP, DNS và SMB đều hoạt động tốt.

DNS khách đang trỏ đến các DC và "example.local" phân giải thành hai địa chỉ IP của các DC.

Tôi nhận được kết quả này từ tiện ích dòng lệnh NetLogon Test:

C:\Windows\System32>nltest /dsgetdc:example.local
Getting DC name failed: Status = 1355 0x54b ERROR_NO_SUCH_DOMAIN

Tôi cũng đã tạo một mạng riêng để mô phỏng cấu hình của văn phòng đó được kết nối với mạng DC thông qua VPN LAN-to-LAN thay vì MPLS. Tham gia máy tính Windows 7 từ mạng từ xa đó hoạt động tốt.

Sự khác biệt duy nhất tôi có thể tìm thấy giữa hai môi trường là kết nối trung gian, nhưng tôi không biết phải kiểm tra cái gì hoặc làm thế nào để làm điều đó. Tôi nên làm những bước tiếp theo?

(Lưu ý rằng đây thực sự không phải là máy trạm khách của tôi và tôi không có quyền truy cập trực tiếp vào nó; Tôi buộc phải truy cập từ xa vào nó, điều này làm cho một số phương pháp khắc phục sự cố rõ ràng, như đánh hơi gói, khó khăn hơn. Nếu tôi tôi chỉ có thể thiết lập một hệ thống mà tôi có thể điều khiển từ xa, nhưng những yêu cầu cho hiệu ứng đó đã không được trả lời.)

Cập nhật 2011-08-25:
Tôi đã DCDIAG.EXEchạy trên một khách hàng đang cố gắng tham gia miền:

C:\Windows\System32>dcdiag /u:example\adminuser /p:********* /s:dc2.example.local

Directory Server Diagnosis

Performing initial setup:
   Ldap search capabality attribute search failed on server
   dc2.example.local, return value = 81

Nghe có vẻ như nó có thể kết nối thông qua LDAP, nhưng điều mà nó đang cố gắng thực hiện đã thất bại. Nhưng tôi không hoàn toàn làm theo những gì nó đã cố gắng làm, ít hơn là làm thế nào để tái tạo nó hoặc giải quyết nó.

Cập nhật 2011-08-26:
Sử dụng LDP.EXEđể thử và tạo kết nối LDAP trực tiếp đến các DC dẫn đến các lỗi này:

ld = ldap_open ("10.0.0.1", 389);
Lỗi <0x51>: Không thể kết nối với 10.0.0.1.
ld = ldap_open ("10.0.0.2", 389);
Lỗi <0x51>: Không thể kết nối với 10.0.0.2.
ld = ldap_open ("10.0.0.1", 3268);
Lỗi <0x51>: Không thể kết nối với 10.0.0.1.
ld = ldap_open ("10.0.0.2", 3268);
Lỗi <0x51>: Không thể kết nối với 10.0.0.2.

Điều này dường như chỉ tay vào các kết nối LDAP bị chặn ở đâu đó. (Và 0x51 == 81, đó là lỗi từ DCDIAG.EXEbản cập nhật ngày hôm qua.) Tôi có thể thề rằng tôi đã thử nghiệm điều này bằng TELNET.EXEcách đây vài tuần, nhưng bây giờ tôi nghĩ rằng tôi có thể đã cho rằng việc xóa màn hình đã nói với tôi rằng đó là chờ đợi và không phải là nó đã kết nối.

Tôi đang theo dõi các vấn đề kết nối LDAP ngay bây giờ. Bản cập nhật này có thể trở thành một câu trả lời.

windows-server-2008  windows-7  ldap  active-directory 
wfaulk
nguồn
3
Cho rằng DNS dường như đang hoạt động, tôi sẽ đề nghị dán NetMon hoặc Wireshark ở cả hai đầu và chụp các gói để xem những gì đang xảy ra trên dây.
ITHedgeHog
BTW, tôi thích lỗi chính tả trong dcdiagđầu ra.
wfaulk
Bạn có nhận được bất kỳ thông báo lỗi / sự kiện nào trên DC không?
Grizly
@Grizly: Không phải là tôi đã thấy, không.
wfaulk
Bạn có truy cập vào bất kỳ thiết bị mạng nào ở giữa máy trạm và máy chủ không? Bạn muốn kiểm tra nhật ký lọc / kết nối của họ và xem liệu có ai trong số họ đang thả / lọc các gói từ / đến các máy trạm không.
Ashley

Câu trả lời:

2

Phải mất mãi mãi để tìm nơi nó đang xảy ra, nhưng hóa ra có những bộ lọc trong VPN chặn lưu lượng LDAP (và các thứ khác). Tôi đã xóa các bộ lọc và bây giờ nó đang hoạt động.

wfaulk
nguồn
2

Có thể có một tường lửa giữa máy Win7 và bộ điều khiển miền.

Nếu bạn có quyền truy cập vào nmap :

nmap -PN -p389 dc1.example.local dc2.example.local

Cập nhật:

nltest /dsgetdc:example.local

nslookup -q=srv _ldap._tcp.dc._msdcs.example.local  
nslookup -q=a $prefered_host  
ldapsearch -h $IPaddress_of_A_record -x -b "" -s base (&(DNSDomain=example.local)(HOST=$localmachineshostname)(NtVer=\\\\16\\\\00\\\\00\\\\00)) netlogon

NtVer đang yêu cầu V5 (phiên bản 5 netlogon), V5EX (đăng nhập mở rộng phiên bản 5), VCS (dc gần nhất). Lấy từ Win7Ent.

(ldap hex là trixy.)

84104
nguồn
Như tôi đã nói, kết nối LDAP với các DC hoạt động tốt.
wfaulk
Lỗi của tôi. Tuy nhiên, tất cả những gì nltest làm là 2 lần tra cứu và tìm kiếm cldap. Tôi sẽ cập nhật với hành vi.
84104
Thông tin tốt. Tôi sẽ nhân đôi cả hai điều đó.
wfaulk
Bất cứ ai cũng biết nếu các bản ghi PTR không tồn tại cho các DC sẽ là một vấn đề?
wfaulk
Không nên; mọi máy khác tham gia mà không có chúng. nltestkhông tìm kiếm chúng. Kiểm tra kỹ xem khách hàng có thể lấy bản ghi SRV không. Đừng nghĩ rằng các máy chủ MS DNS thực hiện phân chia chế độ xem, nhưng hết các tùy chọn.
84104
1

Âm thanh như win7 không trỏ DNS của nó đến DC? Có lẽ DHCP đang trỏ DNS đến nhà cung cấp dịch vụ internet DNS?

Alan
nguồn
Không, DNS chắc chắn chỉ vào các DC. Tôi nghĩ rằng việc tra cứu LDAP SRV đã xác nhận điều đó.
wfaulk
bạn có thể ping tên miền mà không có tên máy chủ không? ví dụ nếu DC là DC1.mydomain.com bạn có thể ping mydomain.com từ hộp win7 không?
Alan
Vâng. phân giải thành hai địa chỉ IP của hai DC.
wfaulk
Tôi hết ý tưởng rồi! Chúc bạn may mắn!
Alan
0

Nghe có vẻ như bạn đã thử và kiểm tra mọi thứ liên quan đến DNS nhưng bạn đã xác minh rằng các bản ghi A cho các máy chủ DC / DNS tồn tại và có đúng không? Điều gì xảy ra khi bạn chạy nslookup kiểm tra cả hai máy chủ cho sự hiện diện của bản ghi A cho cả hai máy chủ? Các DC được trả về trong thông báo lỗi có thực sự là máy chủ DC / DNS chính xác cho miền không?

joeqwerty
nguồn
Cho rằng việc tham gia miền hoạt động tốt từ một mạng khác, tôi không nghĩ đó là điều cơ bản như thế.
wfaulk
Xin lỗi, tôi đã bỏ lỡ phần đó.
joeqwerty
Bạn có chắc chắn rằng lưu lượng truy cập qua các cổng sau đang truyền qua mạch MPLS: Lưu lượng Microsoft-DS (445 / tcp, 445 / udp) • Giao thức xác thực Kerberos (88 / tcp, 88 / udp) • Giao thức truy cập thư mục nhẹ (LDAP) (389 / udp) • Hệ thống tên miền (DNS) (53 / tcp, 53 / udp)
joeqwerty
0

Có khả năng máy khách trong văn phòng từ xa chỉ chạy IPv6 và trong khi nó tìm thấy bản ghi SRV cho DC, DNS không được cấu hình với bản ghi AAAA (IPV6) không?

Stephen Short
nguồn
Đoán thú vị, nhưng không.
wfaulk
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.