Kontroler domeny myśli, że działa w sieci publicznej

30

Mamy podstawowy kontroler domeny Server 2008 R2, który wydaje się mieć amnezję, jeśli chodzi o ustalenie , w jakiej sieci jest on podłączony. (Tylko) połączenie sieciowe jest identyfikowane podczas uruchamiania jako „sieć publiczna”.

Jednak jeśli wyłączę, a następnie ponownie włączę połączenie, z przyjemnością zorientuję się, że to właściwie część sieci domen.

Czy to dlatego, że Usługi domenowe AD nie są uruchamiane, gdy lokalizacja sieci jest początkowo ustalana?

Ten problem powoduje pewne problemy z regułami Zapory systemu Windows (które jestem bardziej niż świadomy, można rozwiązać na inne sposoby), więc jestem głównie ciekawy, czy ktoś wie, dlaczego tak się dzieje.

networking windows-server-2008-r2 domain-controller Matt Renner
źródło
13
Powtórz ze mną: „nie ma podstawowego kontrolera domeny i nigdy nie było go od Windows 2000”.
Massimo,
5
Moje szczere przeprosiny. Web Developer musi dbać o sieć Windows!
Matt Renner
Aby dodać dodatkowe informacje na temat tego frustrującego problemu: blogs.technet.com/b/networking/archive/2010/09/08/... i dostępna jest poprawka dla systemu Windows 7 i 2008 R2 support.microsoft.com/en-us / kb / 2524478
Lee Thompson
Ile masz kontrolerów domeny? Kiedy przeprowadzamy konserwację, czasami technicy ponownie uruchamiają oba nasze kontrolery domeny w tym samym czasie! co nie jest zbyt inteligentne (mimo że jest środek nocy), kiedy można po prostu przestawić ponowne uruchomienie, aby wszystkie usługi działały poprawnie.
Brian D.

Odpowiedzi:

16

Czy masz domyślną bramę na tym połączeniu? Czy odpowiada na żądania ping?

Windows używa bram do identyfikacji sieci; jeśli nie ma skonfigurowanej bramy lub jeśli nie może jej pomyślnie pingować, nie będzie w stanie zidentyfikować sieci, z którą jest połączony, i uzna, że ​​jest to sieć publiczna.

Massimo
źródło
Robimy - brama jest również maszyną Server 2008 R2 z systemem Forefront Threat Management Gateway, którą kontroler domeny może pingować.
Matt Renner,
Czy twój DC ma więcej niż jedną zainstalowaną i używaną kartę sieciową?
John Homer
Nie, tylko ten jeden.
Matt Renner,
13
Rozumiem - nieumyślnie miał włączony IPv6, więc musiał próbować znaleźć bramę przez v6. Wyłączyłem to i działa dobrze.
Matt Renner
3
To zdecydowanie źle. W kontrolerze domeny brama domyślna nie ma wpływu na stan zapory.
Layer8
52

To, czy sieć kontrolera domeny jest sklasyfikowana jako sieć domeny , nie zależy od konfiguracji bramy.

Zachowanie się fałszywej klasyfikacji sieci może być spowodowane przez NLAusługę (rozpoznawanie lokalizacji sieci) starts before the domain is available. W takim przypadku sieć publiczna lub prywatna jest wybierana i nie jest później korygowana.

Jak sprawdzić, czy występuje ta sytuacja błędu
Gdy kontroler domeny po ponownym uruchomieniu znajduje się w sieci publicznej, uruchom ponownie usługę NLA lub odłącz / podłącz ponownie sieć. Kontroler domeny powinien być później w sieci domeny.

Jak go rozwiązać
Pomocne może być ustawienie usługi NLA na opóźniony start . Lepiej sprawdź, dlaczego domena musi długo być obecna. Wydaje się, że domena potrzebuje więcej czasu na uruchomienie, gdy istnieje wiele kart sieciowych.

Kiedy to nie pomaga
Kiedy ani przyspieszenie ładowania domeny, ani opóźnienie pomocy NLA, a błąd nie jest spowodowany długim ładowaniem domeny (patrz: „jak sprawdzić ...”), to są pewne więcej rzeczy, które można zrobić.

  • Napisz skrypt do ponownego uruchomienia i uruchom go za pomocą harmonogramu (niebezpieczne)

  • Przeniesienie ładowania usługi NLA do końca uruchomienia usługi, zmiana kolejności ładowania w rejestrze (niebezpieczne)

    Następujący wpis rejestru ustawia zależności na NSI RpcSs TcpIp Dhcp Eventlog NTDS DNS:

    REGEDIT4

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NlaSvc]
"DependOnService"=hex(7):4e,53,49,00,52,70,63,53,73,00,54,63,70,49,70,00,44,68,\
63,70,00,45,76,65,6e,74,6c,6f,67,00,4e,54,44,53,00,44,4e,53,00,00

  • Uruchom „IPCONFIG / RENEW” z harmonogramu przy uruchomieniu z opóźnieniem 1 lub 2 minut (lepiej niż uruchomienie usługi NLA)

  • Zrestartuj usługę NLA ręcznie po każdym ponownym uruchomieniu (ale: „Preferowane jest„ IPCONFIG / RENEW ”)!

Jeszcze jedna przyczyna może być również wtedy, gdy kontroler domeny ma skonfigurowane dwa lub więcej adresów IP (na tej samej lub na innych kartach sieciowych), a dodatkowe sieci nie są skonfigurowane w DNS.

Powielanie zachowania
na kontrolerze domeny Test (single DC!) Usunąłem wpis bramy domyślnej i ustawić DNS Serversię delayed start. Aby to zrobić, domena wymagała długiego ładowania, a sieć została sklasyfikowana jako public. Po odłączeniu i ponownym podłączeniu kabla sieciowego sieć została poprawnie sklasyfikowana jako domain network.

Edytować

z wdzięcznością od komentarzy Daniel Fisher lennybaconi Joshua Hanley:

Jak dodać zależność dla NlaSvc do DNS i NTDS

uruchom sc config nlasvc depend=NSI/RpcSs/TcpIp/Dhcp/Eventlog/DNS/NTDSz CMD (użyj sc.exe, jeśli uruchamiasz go w PowerShell). Jeśli chcesz dokładnie sprawdzić istniejące zależności przed dodaniem DNS i NTDS, użyjsc qc nlasvc

wiggle marsh
źródło
2
Jest to odpowiedź na naszą sytuację, w której pomocniczy / zapasowy kontroler domeny na platformie Azure (połączony przez VPN z lokalnym DC), konsekwentnie utknął w prywatnej lokalizacji sieciowej i po zrestartowaniu NLA poprawnie rozwiązał sieć domenową. Wprowadziłem zmianę, aby opóźnić start, i rozwiązało to nasz problem.
Jaans
1
To zadziałało dla mnie! Miałem ten problem od miesięcy i wreszcie postanowiłem go rozwiązać.
notbad.jpeg
2
tutaj blog MS z informacjami o blogach NLAs.technet.microsoft.com/networking/2010/09/08/…
Tilo
3
Dodałem zależność dla NlaSvc do DNS i NTDS. Działa jak urok.
Daniel Fisher lennybacon
1
Aby zrobić to, co zrobił @DanielFisherlennybacon, uruchom „sc config nlasvc depend = NSI / RpcSs / TcpIp / Dhcp / Eventlog / DNS / NTDS” z CMD (użyj sc.exe, jeśli używasz go w PowerShell). Jeśli chcesz dokładnie sprawdzić istniejące zależności przed dodaniem DNS i NTDS, użyj „sc qc nlasvc”.
Joshua Hanley
1

Widziałem podobne zachowanie stojące na serwerze AD R2 2008. Sprawiło, że dostałem więcej niż jedną kartę sieciową, nawet jeśli nie była używana. Gdy wyłączyłem nieużywane karty sieciowe i uruchomiłem ponownie, problem zniknął.

Dokładna funkcja systemu Windows, którą tu masz, nazywa się NLA (Network Location Awareness). Nie wiem wystarczająco dużo, aby twierdzić, że jest ekspertem, ale wiem, że jest kilka interesujących informacji na stronach internetowych o tym, jak to wszystko działa lub powinno działać.

John Homer
źródło
0

W moim przypadku serwerem była DMZ i wiele reguł zapory blokuje serwer do komunikowania się z kontrolerami domeny. W takim przypadku musisz otworzyć zapory ogniowe (sprzętowe oprogramowanie sprzętowe), aby umożliwić serwerom komunikację. Aby uruchomić test, podłącz serwer do sieci, w której reguły zapory umożliwiają komunikację między klientem a serwerami.

Kabul
źródło
-4

Po zainstalowaniu nowego kontrolera domeny może się okazać, że „WINDOWS FIREWALL” nie ustawiono poprawnie na „DOMAIN: ON”. Jest to wynikiem złych ustawień domyślnych instalacji dostarczonych przez Microsoft. Aby to naprawić, usuń ustawienia DNS IP6 połączenia sieciowego z „:: 0” z powrotem do automatycznego. Wyczyść także przekaźniki IP6 z serwera DNS.

Funschlager
źródło