Impossibile unire le workstation Win7 al dominio Win2k8

8

Sto cercando di connettere una macchina Windows 7 Ultimate a un dominio Windows 2k8 e non funziona. Ottengo questo errore:

Nota: queste informazioni sono destinate ad un amministratore di rete. Se non sei l'amministratore della tua rete, informa l'amministratore di aver ricevuto queste informazioni, che sono state registrate nel file C: \ Windows \ debug \ dcdiag.txt.

Il DNS è stato interrogato correttamente per il record di risorse posizione servizio (SRV) utilizzato per individuare un controller di dominio per il dominio "esempio.locale":

La query era per il record SRV per _ldap._tcp.dc._msdcs.example.local

I seguenti controller di dominio sono stati identificati dalla query:
dc1.example.local
dc2.example.local

Tuttavia, nessun controller di dominio può essere contattato.

Le cause comuni di questo errore includono:

I record Host (A) o (AAAA) che associano i nomi dei controller di dominio ai loro indirizzi IP sono mancanti o contengono indirizzi errati.

I controller di dominio registrati in DNS non sono connessi alla rete o non sono in esecuzione.

Il client si trova in un ufficio collegato in remoto tramite MPLS al data center in cui sono presenti i nostri controller di dominio. Sembra che non abbia nulla che blocchi la connettività ai controller di dominio, ma non ho il controllo totale sul circuito MPLS, quindi è possibile che ci sia qualcosa che blocca la connettività.

Ho provato più client (Win7 Ultimate e WinXP SP3) in un solo ufficio e ho riscontrato gli stessi sintomi su tutti.

Non ho problemi a collegarmi a nessuno dei controller di dominio, anche se, devo ammettere, non ho provato tutte le porte possibili. Le connessioni ICMP, LDAP, DNS e SMB funzionano tutte bene.

Il DNS client punta ai controller di dominio e "example.local" si risolve nei due indirizzi IP dei controller di dominio.

Ottengo questo output dall'utilità della riga di comando Test NetLogon:

C:\Windows\System32>nltest /dsgetdc:example.local
Getting DC name failed: Status = 1355 0x54b ERROR_NO_SUCH_DOMAIN

Ho anche creato una rete separata per emulare la configurazione di quell'ufficio che è connessa alla rete DC tramite VPN LAN-to-LAN anziché MPLS. Unire i computer Windows 7 da quella rete remota funziona bene.

L'unica differenza che posso trovare tra i due ambienti è la connettività intermedia, ma non ho idea di cosa testare o come farlo. Quali ulteriori passi devo prendere?

(Nota che questa non è in realtà la mia stazione di lavoro client e non ho accesso diretto ad essa; sono costretto ad accedervi da remoto, il che rende alcuni degli ovvi metodi di risoluzione dei problemi, come lo sniffing dei pacchetti, più difficili. Se potrei semplicemente installare lì un sistema in cui potrei remotare, lo farei, ma le richieste in tal senso sono rimaste senza risposta.)

25-08-2011 aggiornamento:
avevo DCDIAG.EXEeseguito un client tentando di accedere al dominio:

C:\Windows\System32>dcdiag /u:example\adminuser /p:********* /s:dc2.example.local

Directory Server Diagnosis

Performing initial setup:
   Ldap search capabality attribute search failed on server
   dc2.example.local, return value = 81

Sembra che fosse in grado di connettersi tramite LDAP, ma la cosa che stava cercando di fare non è riuscita. Ma non seguo esattamente ciò che stava cercando di fare, tanto meno come riprodurlo o risolverlo.

26-08-2011 aggiornamento: l'
utilizzo LDP.EXEper provare a stabilire una connessione LDAP direttamente ai controller di dominio provoca questi errori:

ld = ldap_open ("10.0.0.1", 389);
Errore <0x51>: impossibile connettersi a 10.0.0.1.
ld = ldap_open ("10.0.0.2", 389);
Errore <0x51>: impossibile connettersi a 10.0.0.2.
ld = ldap_open ("10.0.0.1", 3268);
Errore <0x51>: impossibile connettersi a 10.0.0.1.
ld = ldap_open ("10.0.0.2", 3268);
Errore <0x51>: impossibile connettersi a 10.0.0.2.

Ciò sembrerebbe puntare le dita sulle connessioni LDAP bloccate da qualche parte. (E 0x51 == 81, che era l'errore DCDIAG.EXEdell'aggiornamento di ieri.) Potrei giurare di averlo provato usando TELNET.EXEsettimane fa, ma ora sto pensando che avrei potuto presumere che la sua pulizia dello schermo mi stesse dicendo che era aspettando e non che si fosse collegato.

Sto rintracciando i problemi di connettività LDAP ora. Questo aggiornamento potrebbe diventare una risposta.

— wfaulk
fonte

3

Dato che il DNS sembra funzionare, suggerirei di attaccare NetMon o Wireshark su entrambe le estremità e di acquisire i pacchetti per vedere cosa sta succedendo sul filo.

— ITHedgeHog,

A proposito, adoro l'ortografia errata dcdiagnell'output.

— wfaulk,

Ricevi messaggi / eventi di errore sui controller di dominio?

— Grizly,

@Grizly: Non che abbia visto, no.

— wfaulk,

Hai accesso a dispositivi di rete tra le workstation e i server? Vorresti controllare i loro registri di filtro / connessioni e vedere se qualcuno di loro sta rilasciando / filtrando i pacchetti da / verso le workstation.

— Ashley,

2

Ci è voluta un'eternità per scoprire dove stava accadendo, ma si è scoperto che c'erano filtri all'interno della VPN che bloccavano il traffico LDAP (e altri). Ho cancellato quei filtri e ora funziona.

— wfaulk
fonte

2

Potrebbe esserci un firewall tra la macchina Win7 e i controller di dominio.

Se hai accesso a nmap :

nmap -PN -p389 dc1.example.local dc2.example.local

Aggiornare:

nltest /dsgetdc:example.local

nslookup -q=srv _ldap._tcp.dc._msdcs.example.local  
nslookup -q=a $prefered_host  
ldapsearch -h $IPaddress_of_A_record -x -b "" -s base (&(DNSDomain=example.local)(HOST=$localmachineshostname)(NtVer=\\\\16\\\\00\\\\00\\\\00)) netlogon

NtVer chiede V5 (netlogon versione 5), V5EX (accesso esteso versione 5), VCS (dc più vicino). Tratto da Win7Ent.

(Ldap hex è trixy.)

— 84104
fonte

Come ho detto, la connettività LDAP ai controller di dominio funziona bene.

— wfaulk,

Colpa mia. Ancora tutto ciò che fa è solo 2 ricerche DNS e una ricerca cldap. Mi aggiorno con il comportamento.

— 84104

Buone informazioni Dobbiamo ricontrollare entrambe queste cose.

— wfaulk,

Qualcuno sa se i record PTR inesistenti per i controller di dominio sarebbero un problema?

— wfaulk,

Non dovrei essere; ogni altra macchina si univa senza di loro. nltestnon li cerca. Ricontrolla che il client può ottenere il record SRV. Non pensare che i server DNS MS facciano una vista divisa, ma a corto di opzioni.

— 84104

1

Sembra che win7 non stia puntando il suo DNS su un controller di dominio? Forse DHCP punta il DNS verso il provider DNS Internet?

— Alan
fonte

No, DNS sicuramente punta ai controller di dominio. Penso che il fatto che la ricerca SRV LDAP abbia funzionato lo conferma.

— wfaulk,

puoi eseguire il ping del nome di dominio senza il nome host? per esempio se il DC è DC1.mydomain.com puoi eseguire il ping mydomain.com dalla casella win7?

— Alan,

Sì. si risolve negli indirizzi IP dei due controller di dominio.

— wfaulk,

Sono senza idee! Buona fortuna a te!

— Alan,

0

Sembra che tu abbia provato e testato tutto per quanto riguarda il DNS, ma hai verificato che i record A per i server DC / DNS esistono e sono corretti? Cosa succede quando si esegue nslookup testando entrambi i server per la presenza dei record A per entrambi i server? I controller di dominio restituiti nel messaggio di errore sono effettivamente i server DC / DNS corretti per il dominio?

— joeqwerty
fonte

Dato che l'adesione al dominio funziona bene da una rete diversa, non penso che sia qualcosa di così fondamentale.

— wfaulk,

Scusa, ho perso quella parte.

— joeqwerty,

Hai fatto in modo che il traffico sulle seguenti porte lo stia attraversando il circuito MPLS: traffico Microsoft-DS (445 / tcp, 445 / udp) • Protocollo di autenticazione Kerberos (88 / tcp, 88 / udp) • Protocollo di accesso alla directory leggera (LDAP) (389 / udp) • Domain Name System (DNS) (53 / tcp, 53 / udp)

— joeqwerty,

0

Esiste la possibilità che il client nell'ufficio remoto esegua solo IPv6 e mentre trova il record SRV per il controller di dominio, il DNS non è configurato con i record AAAA (IPV6)?

— Stephen Short
fonte

Supposizione interessante, ma no.

— wfaulk,