Bộ kiểm soát miền nghĩ rằng nó trên Mạng công cộng

30

Chúng tôi có Bộ điều khiển miền chính Server 2008 R2 dường như bị mất trí nhớ khi tìm ra loại mạng nào. Kết nối mạng (chỉ) được xác định khi khởi động là 'Mạng công cộng'.

Tuy nhiên, nếu tôi vô hiệu hóa và sau đó kích hoạt lại kết nối, nó vui vẻ chỉ ra rằng nó thực sự là một phần của mạng miền.

Đây có phải là vì Dịch vụ Miền AD không được bắt đầu khi vị trí mạng ban đầu được xử lý?

Vấn đề này gây ra một số vấn đề đau đầu với Windows Firewall Rules (mà tôi hiểu rõ hơn có thể được giải quyết theo những cách khác) vì vậy tôi chủ yếu chỉ tò mò xem liệu có ai biết tại sao điều này xảy ra không.

networking  windows-server-2008-r2  domain-controller 
Matt Renner
nguồn
13
Xin vui lòng, nhắc lại với tôi: "không có Bộ điều khiển miền chính và chưa từng có kể từ Windows 2000".
Massimo
5
Lời xin lỗi chân thành của tôi. Nhà phát triển web phải chăm sóc Mạng Windows!
Matt Renner
Chỉ cần thêm một số thông tin bổ sung cho vấn đề bực bội này: blog.technet.com/b/networking/archive/2010/09/08/ và có một hotfix cho Windows 7 và 2008 R2 support.microsoft.com/en-us / kb / 2524478
Lee Thompson
Bạn có bao nhiêu bộ điều khiển miền? Khi chúng tôi bảo trì đôi khi các kỹ thuật viên khởi động lại cả hai bộ điều khiển miền của chúng tôi cùng một lúc! điều này không thông minh lắm (mặc dù là giữa đêm) khi bạn chỉ có thể sắp xếp lại các lần khởi động lại để giữ cho tất cả các dịch vụ luôn hoạt động.
Brian D.

Câu trả lời:

16

Bạn có một cổng mặc định trên kết nối đó? Nó có trả lời các yêu cầu ping không?

Windows sử dụng các cổng để xác định mạng; nếu nó không có cổng được định cấu hình hoặc nếu không thể ping thành công, nó sẽ không thể xác định được mạng mà nó được kết nối và sẽ cho rằng đó là mạng công cộng.

Massimo
nguồn
Chúng tôi làm - Cổng cũng là Máy chủ 2008 R2 chạy Cổng quản lý mối đe dọa hàng đầu, mà DC có thể ping.
Matt Renner
DC của bạn có nhiều hơn một NIC được cài đặt và đang sử dụng không ??
John Homer
Không, chỉ một.
Matt Renner
13
Có nó - vô tình đã bật IPv6 vì vậy nó đã phải cố gắng tìm cổng thông qua v6. Tắt nó đi và nó hoạt động tốt.
Matt Renner
3
Điều này chắc chắn là sai. Trên một tên miền, trạng thái tường lửa không bị ảnh hưởng bởi cổng mặc định.
Lớp
52

Mạng của bộ điều khiển miền có được phân loại là mạng miền hay không không phụ thuộc vào cấu hình cổng.

Hành vi của phân loại mạng sai có thể gây ra NLAdịch vụ (nhận biết vị trí mạng) starts before the domain is available. Trong trường hợp này, mạng công cộng hoặc riêng được chọn và không được sửa sau đó.

Cách kiểm tra xem tình huống lỗi này có được đưa ra
Khi bộ điều khiển miền sau khi khởi động lại trong mạng công cộng, khởi động lại dịch vụ NLA hoặc ngắt kết nối / kết nối lại mạng. Bộ điều khiển miền phải ở trong mạng miền sau đó.

Cách giải quyết
Nó có thể giúp đặt Dịch vụ NLA khởi động chậm . Tốt hơn, kiểm tra lý do tại sao tên miền cần phải có mặt lâu. Có vẻ như tên miền cần dài hơn để bắt đầu khi có nhiều card mạng.

Khi nó không giúp ích
Khi không tăng tốc tải tên miền cũng như sự chậm trễ của trợ giúp NLA và lỗi xảy ra do quá trình tải tên miền dài (xem: "cách kiểm tra ..."), sau đó có một số nhiều việc có thể làm

  • Viết một kịch bản để khởi động lại nó và chạy nó với bộ lập lịch (nguy hiểm)

  • Chuyển tải dịch vụ NLA sang cuối dịch vụ bắt đầu, thay đổi thứ tự tải trong sổ đăng ký (nguy hiểm)

    Mục đăng ký sau đây đặt các phụ thuộc thành NSI RpcSs TcpIp Dhcp Eventlog NTDS DNS:

    REGEDIT4

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NlaSvc]
"DependOnService"=hex(7):4e,53,49,00,52,70,63,53,73,00,54,63,70,49,70,00,44,68,\
63,70,00,45,76,65,6e,74,6c,6f,67,00,4e,54,44,53,00,44,4e,53,00,00

  • Thực thi "IPCONFIG / RENEW" từ bộ lập lịch khi khởi động với độ trễ 1 hoặc 2 phút (tốt hơn so với bắt đầu dịch vụ NLA)

  • Khởi động lại dịch vụ NLA theo cách thủ công sau mỗi lần khởi động lại (nhưng: "IPCONFIG / RENEW" nên được ưu tiên)!

Một nguyên nhân nữa cũng có thể là khi bộ điều khiển miền có hai hoặc nhiều IP được cấu hình (trên cùng hoặc trên các card mạng khác) và các mạng bổ sung không được cấu hình trong DNS.

Sinh sản của hành vi
Trên một domain controller thử nghiệm (đơn DC!) Tôi đã xóa entry gateway mặc định và thiết lập DNS Serverđể delayed start. Làm điều này tên miền cần lâu để được tải và mạng được phân loại là public. Sau khi ngắt kết nối và kết nối lại cáp mạng, mạng được phân loại chính xác là domain network.

Chỉnh sửa

biết ơn từ các ý kiến ​​của Daniel Fisher lennybaconJoshua Hanley:

Cách thêm phụ thuộc cho NlaSvc vào DNS và NTDS

chạy sc config nlasvc depend=NSI/RpcSs/TcpIp/Dhcp/Eventlog/DNS/NTDStừ CMD (sử dụng sc.exe nếu bạn đang chạy nó trong PowerShell). Nếu bạn muốn kiểm tra kỹ các phụ thuộc hiện có trước khi thêm DNS và NTDS, hãy sử dụngsc qc nlasvc

đầm lầy
nguồn
2
Đây là câu trả lời cho tình huống của chúng tôi khi bộ điều khiển miền thứ cấp / dự phòng trong Azure (được kết nối qua VPN với DC tại chỗ), liên tục bị kẹt trên vị trí mạng riêng và sau khi khởi động lại NLA, nó đã giải quyết chính xác vào mạng miền. Tôi đã thực hiện thay đổi để trì hoãn bắt đầu và nó đã giải quyết vấn đề của chúng tôi.
Jaans 30/05/2015
1
Điều này làm việc cho tôi! Có vấn đề này trong nhiều tháng nay và cuối cùng đã quyết định tìm ra nó.
notbad.jpeg
2
ở đây blog MS với thông tin về NLA blog.technet.microsoft.com/networking/2010/09/08/ trên
Tilo
3
Tôi đã thêm một phụ thuộc cho NlaSvc vào DNS và NTDS. Hoạt động như quyến rũ.
Daniel Fisher lennybacon
1
Để làm những gì @DanielFisherlennybacon đã làm, hãy chạy "sc config nlasvc lệ thuộc = NSI / RpcSs / TcpIp / Dhcp / Eventlog / DNS / NTDS" từ CMD (sử dụng sc.exe nếu bạn đang chạy nó trong PowerShell). Nếu bạn muốn kiểm tra kỹ các phụ thuộc hiện có trước khi thêm DNS và NTDS, hãy sử dụng "sc qc nlasvc".
Joshua Hanley
1

Tôi đã thấy hành vi tương tự đứng lên một máy chủ AD R2 2008. Điều khiến tôi có nhiều hơn một NIC được kích hoạt, mặc dù nó không được sử dụng. Khi tôi vô hiệu hóa các NIC không sử dụng và khởi động lại, vấn đề sẽ biến mất.

Tính năng cửa sổ chính xác mà bạn gặp phải ở đây được gọi là NLA (Nhận thức vị trí mạng). Tôi không biết đủ về nó để tự nhận là một chuyên gia, nhưng tôi biết có một số thông tin thú vị trên mạng về cách thức hoạt động của tất cả, hoặc được cho là hoạt động.

John Homer
nguồn
0

Trong trường hợp của tôi, máy chủ là DMZ và nhiều quy tắc tường lửa chặn máy chủ để nói chuyện với bộ điều khiển miền. Trong trường hợp này, bạn sẽ cần mở Tường lửa (phần cứng FW) để cho phép các máy chủ liên lạc. Ngoài ra để chạy thử nghiệm, hãy kết nối máy chủ với mạng nơi quy tắc tường lửa cho phép liên lạc giữa máy khách và máy chủ.

Kabul
nguồn
-4

Sau khi cài đặt bộ điều khiển miền mới, bạn có thể thấy rằng "WINDOWS FIREWALL" không được đặt đúng thành "DOMAIN: ON". Đây là kết quả của các mặc định cài đặt xấu do Microsoft cung cấp. Để khắc phục điều này, hãy xóa cài đặt DNS IP6 trên kết nối mạng từ ":: 0" trở lại tự động. Ngoài ra, xóa Chuyển tiếp IP6 khỏi máy chủ DNS.

Phễu
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.