Vào tuần trước (trong khi tôi nghỉ phép) có điều gì đó đã thay đổi trong mạng / miền của tôi mà tôi không thể xác định chính xác và chúng tôi có hành vi dưới đây.

2 DC của tôi là 2008 R2 và nằm trên mạng con 10.2.128.0/24 (cũng như các máy chủ khác). Khách hàng của tôi cư trú trên mạng 10.2.132.0/22.

Khi ứng dụng khách sử dụng địa chỉ 10.2.132.x hoạt động tốt, khi IP từ DHCP (hoặc được đặt theo cách thủ công) trên 10.2.133.x 134.x 135.x, nó thông báo rằng nó không thể tìm thấy bộ điều khiển miền hoặc yêu cầu tên người dùng và vượt qua. Khi cố gắng tham gia miền từ các IP này, tôi nhận được: DNS đã được truy vấn thành công cho bản ghi tài nguyên vị trí dịch vụ (SRV) được sử dụng để định vị bộ điều khiển miền cho miền culture.gr: Truy vấn dành cho bản ghi SRV cho _ldap._tcp.dc. _msdcs.xxx.xxx

Nslookup hoạt động, ping hoạt động, telnet trên 53 hoạt động, dcdiag hiển thị không có lỗi, sao chép vẫn ổn, DNS không có lỗi, DHCP không có lỗi ...

nslookup _ldap._tcp.dc._msdcs.xxx.xxx Server: dc2.xxx.xxx Address: 10.2.128.22

Tên: _ldap._tcp.dc._msdcs.xxx.xxx

Nếu tôi di chuyển thủ công máy khách đến phạm vi 10.2.132.xx, nó hoạt động ...

Mọi đề xuất đều được hoan nghênh.

answer

Mạng con 10.2.132.0/ 22 có được định nghĩa trong Trang web và Dịch vụ AD và được gán cho một trang web không?

Có thể ai đó đã đánh máy / 24 thay vào đó hoặc định chia nhỏ nó thành mạng con lớp C và không thêm mạng con bổ sung vào định nghĩa trang web.

Các khách hàng có tự đăng ký DNS trên DC không? NẾU DHCP đang làm điều đó, các máy khách không cần phải ở trên miền)?

Nếu có tường lửa giữa các mạng con này, thì tất cả các cổng AD cần thiết có mở hai chiều giữa các mạng con sự cố và tất cả các DC không? DNS, Kerberos, LDAP, SMB, RPC, v.v.

Để kiểm tra các bản ghi SRV từ một máy khách, cú pháp thích hợp cho nslookuplà:

nslookup -type=SRV _ldap._tcp.dc._msdcs.example.com

Bạn sẽ thấy một danh sách bao gồm tất cả các DC trong miền. Hãy thử nó trên một ứng dụng khách trong mạng con đang hoạt động trước để so sánh.

Ngoài ra, hãy kiểm tra xem một DC thích hợp có thể được giải quyết cho trang AD mà ứng dụng khách gặp sự cố sẽ gặp phải:

nslookup -type=SRV _ldap._tcp.[SiteName]._sites.dc._msdcs.example.com

Vấn đề là bằng cách nào đó do Cisco ASA xử lý lưu lượng giữa các phân đoạn mạng LAN khác nhau, mặc dù không ai tuyên bố đã thay đổi điều gì đó.

Cảm ơn Trix về thông tin, đặc biệt là các cổng FW, chúng tôi đã phải thêm các cổng đó theo cách thủ công cộng với một số cổng khác. Sau khi thêm quy tắc, hoạt động trở lại bình thường.