Mamy podstawowy kontroler domeny Server 2008 R2, który wydaje się mieć amnezję, jeśli chodzi o ustalenie , w jakiej sieci jest on podłączony. (Tylko) połączenie sieciowe jest identyfikowane podczas uruchamiania jako „sieć publiczna”.
Jednak jeśli wyłączę, a następnie ponownie włączę połączenie, z przyjemnością zorientuję się, że to właściwie część sieci domen.
Czy to dlatego, że Usługi domenowe AD nie są uruchamiane, gdy lokalizacja sieci jest początkowo ustalana?
Ten problem powoduje pewne problemy z regułami Zapory systemu Windows (które jestem bardziej niż świadomy, można rozwiązać na inne sposoby), więc jestem głównie ciekawy, czy ktoś wie, dlaczego tak się dzieje.
networking
windows-server-2008-r2
domain-controller
Matt Renner
źródło
źródło
Odpowiedzi:
Czy masz domyślną bramę na tym połączeniu? Czy odpowiada na żądania ping?
Windows używa bram do identyfikacji sieci; jeśli nie ma skonfigurowanej bramy lub jeśli nie może jej pomyślnie pingować, nie będzie w stanie zidentyfikować sieci, z którą jest połączony, i uzna, że jest to sieć publiczna.
źródło
To, czy sieć kontrolera domeny jest sklasyfikowana jako sieć domeny , nie zależy od konfiguracji bramy.
Zachowanie się fałszywej klasyfikacji sieci może być spowodowane przez
NLA
usługę (rozpoznawanie lokalizacji sieci)starts before the domain is available
. W takim przypadku sieć publiczna lub prywatna jest wybierana i nie jest później korygowana.Jak sprawdzić, czy występuje ta sytuacja błędu
Gdy kontroler domeny po ponownym uruchomieniu znajduje się w sieci publicznej, uruchom ponownie usługę NLA lub odłącz / podłącz ponownie sieć. Kontroler domeny powinien być później w sieci domeny.
Jak go rozwiązać
Pomocne może być ustawienie usługi NLA na opóźniony start . Lepiej sprawdź, dlaczego domena musi długo być obecna. Wydaje się, że domena potrzebuje więcej czasu na uruchomienie, gdy istnieje wiele kart sieciowych.
Kiedy to nie pomaga
Kiedy ani przyspieszenie ładowania domeny, ani opóźnienie pomocy NLA, a błąd nie jest spowodowany długim ładowaniem domeny (patrz: „jak sprawdzić ...”), to są pewne więcej rzeczy, które można zrobić.
Przeniesienie ładowania usługi NLA do końca uruchomienia usługi, zmiana kolejności ładowania w rejestrze (niebezpieczne)
Następujący wpis rejestru ustawia zależności na
NSI RpcSs TcpIp Dhcp Eventlog NTDS DNS
:Uruchom „IPCONFIG / RENEW” z harmonogramu przy uruchomieniu z opóźnieniem 1 lub 2 minut (lepiej niż uruchomienie usługi NLA)
Jeszcze jedna przyczyna może być również wtedy, gdy kontroler domeny ma skonfigurowane dwa lub więcej adresów IP (na tej samej lub na innych kartach sieciowych), a dodatkowe sieci nie są skonfigurowane w DNS.
Powielanie zachowania
na kontrolerze domeny Test (single DC!) Usunąłem wpis bramy domyślnej i ustawić
DNS Server
siędelayed start
. Aby to zrobić, domena wymagała długiego ładowania, a sieć została sklasyfikowana jakopublic
. Po odłączeniu i ponownym podłączeniu kabla sieciowego sieć została poprawnie sklasyfikowana jakodomain network
.Edytować
z wdzięcznością od komentarzy
Daniel Fisher lennybacon
iJoshua Hanley
:Jak dodać zależność dla NlaSvc do DNS i NTDS
uruchom
sc config nlasvc depend=NSI/RpcSs/TcpIp/Dhcp/Eventlog/DNS/NTDS
z CMD (użyj sc.exe, jeśli uruchamiasz go w PowerShell). Jeśli chcesz dokładnie sprawdzić istniejące zależności przed dodaniem DNS i NTDS, użyjsc qc nlasvc
źródło
Widziałem podobne zachowanie stojące na serwerze AD R2 2008. Sprawiło, że dostałem więcej niż jedną kartę sieciową, nawet jeśli nie była używana. Gdy wyłączyłem nieużywane karty sieciowe i uruchomiłem ponownie, problem zniknął.
Dokładna funkcja systemu Windows, którą tu masz, nazywa się NLA (Network Location Awareness). Nie wiem wystarczająco dużo, aby twierdzić, że jest ekspertem, ale wiem, że jest kilka interesujących informacji na stronach internetowych o tym, jak to wszystko działa lub powinno działać.
źródło
W moim przypadku serwerem była DMZ i wiele reguł zapory blokuje serwer do komunikowania się z kontrolerami domeny. W takim przypadku musisz otworzyć zapory ogniowe (sprzętowe oprogramowanie sprzętowe), aby umożliwić serwerom komunikację. Aby uruchomić test, podłącz serwer do sieci, w której reguły zapory umożliwiają komunikację między klientem a serwerami.
źródło
Po zainstalowaniu nowego kontrolera domeny może się okazać, że „WINDOWS FIREWALL” nie ustawiono poprawnie na „DOMAIN: ON”. Jest to wynikiem złych ustawień domyślnych instalacji dostarczonych przez Microsoft. Aby to naprawić, usuń ustawienia DNS IP6 połączenia sieciowego z „:: 0” z powrotem do automatycznego. Wyczyść także przekaźniki IP6 z serwera DNS.
źródło