Tidak dapat bergabung dengan workstation Win7 ke domain Win2k8

8

Saya mencoba menghubungkan mesin Windows 7 Ultimate ke domain Windows 2k8 dan tidak berfungsi. Saya mendapatkan kesalahan ini:

Catatan: Informasi ini ditujukan untuk administrator jaringan. Jika Anda bukan administrator jaringan Anda, beri tahu administrator bahwa Anda menerima informasi ini, yang telah direkam dalam file C: \ Windows \ debug \ dcdiag.txt.

DNS berhasil ditanyakan untuk catatan sumber daya lokasi layanan (SRV) yang digunakan untuk menemukan pengontrol domain untuk domain "example.local":

Permintaan adalah untuk catatan SRV untuk _ldap._tcp.dc._msdcs.example.local

Pengontrol domain berikut diidentifikasi oleh kueri:
dc1.example.local
dc2.example.local

Namun tidak ada pengontrol domain yang bisa dihubungi.

Penyebab umum kesalahan ini meliputi:

  • Catatan host (A) atau (AAAA) yang memetakan nama pengontrol domain ke alamat IP mereka hilang atau berisi alamat yang salah.

  • Pengontrol domain yang terdaftar dalam DNS tidak terhubung ke jaringan atau tidak berjalan.

Klien berada di kantor yang terhubung dari jarak jauh melalui MPLS ke pusat data tempat pengontrol domain kami ada. Saya sepertinya tidak memiliki apa pun yang menghalangi konektivitas ke DC, tetapi saya tidak memiliki kontrol total atas sirkuit MPLS, jadi mungkin saja ada sesuatu yang menghalangi konektivitas.

Saya telah mencoba beberapa klien (Win7 Ultimate dan WinXP SP3) di satu kantor dan mendapatkan gejala yang sama pada mereka semua.

Saya tidak mengalami masalah saat menyambung ke salah satu pengontrol domain, meskipun saya akui, tidak mencoba setiap port yang memungkinkan. Koneksi ICMP, LDAP, DNS, dan SMB semuanya berfungsi dengan baik.

DNS klien menunjuk ke DC, dan "example.local" menyelesaikan ke dua alamat IP DC.

Saya mendapatkan output ini dari utilitas baris perintah Tes NetLogon:

C:\Windows\System32>nltest /dsgetdc:example.local
Getting DC name failed: Status = 1355 0x54b ERROR_NO_SUCH_DOMAIN

Saya juga telah membuat jaringan terpisah untuk meniru konfigurasi kantor yang terhubung ke jaringan DC melalui LAN-ke-LAN VPN, bukan MPLS. Bergabung dengan komputer Windows 7 dari jaringan jauh berfungsi dengan baik.

Satu-satunya perbedaan yang dapat saya temukan antara kedua lingkungan adalah konektivitas menengah, tetapi saya tidak tahu apa yang harus diuji atau bagaimana melakukannya. Apa langkah lebih lanjut yang harus saya ambil?

(Perhatikan bahwa ini sebenarnya bukan workstation klien saya dan saya tidak memiliki akses langsung ke sana; Saya dipaksa untuk melakukan akses tangan ke sana, yang membuat beberapa metode pemecahan masalah yang jelas, seperti packet sniffing, lebih sulit. Jika saya bisa saja mengatur sistem di sana yang bisa saya gunakan untuk remote, tapi permintaan untuk efek itu tidak dijawab.)

Pembaruan 2011-08-25:
Saya telah DCDIAG.EXEmenjalankan klien yang mencoba bergabung dengan domain:

C:\Windows\System32>dcdiag /u:example\adminuser /p:********* /s:dc2.example.local

Directory Server Diagnosis

Performing initial setup:
   Ldap search capabality attribute search failed on server
   dc2.example.local, return value = 81

Ini kedengarannya seperti itu dapat terhubung melalui LDAP, tetapi hal yang ia coba gagal. Tetapi saya tidak cukup mengikuti apa yang coba dilakukan, apalagi bagaimana mereproduksi atau mengatasinya.

Pembaruan 2011-08-26:
Menggunakan LDP.EXEuntuk mencoba dan membuat koneksi LDAP langsung ke DC menghasilkan kesalahan ini:

ld = ldap_open ("10.0.0.1", 389);
Kesalahan <0x51>: Gagal terhubung ke 10.0.0.1.
ld = ldap_open ("10.0.0.2", 389);
Kesalahan <0x51>: Gagal terhubung ke 10.0.0.2.
ld = ldap_open ("10.0.0.1", 3268);
Kesalahan <0x51>: Gagal terhubung ke 10.0.0.1.
ld = ldap_open ("10.0.0.2", 3268);
Kesalahan <0x51>: Gagal terhubung ke 10.0.0.2.

Ini sepertinya menunjukkan jari pada koneksi LDAP yang diblokir di suatu tempat. (Dan 0x51 == 81, yang merupakan kesalahan dari DCDIAG.EXEpembaruan kemarin.) Saya berani bersumpah saya menguji ini menggunakan TELNET.EXEminggu lalu, tapi sekarang saya berpikir bahwa saya mungkin berasumsi bahwa membersihkan layar memberitahu saya bahwa itu adalah menunggu dan tidak terhubung.

Saya melacak masalah konektivitas LDAP sekarang. Pembaruan ini dapat menjadi jawaban.

windows-server-2008 windows-7 ldap active-directory wfaulk
sumber
3
Mengingat bahwa DNS tampaknya berfungsi, saya akan menyarankan menempel NetMon atau Wireshark di kedua ujungnya dan menangkap paket untuk melihat apa yang terjadi pada kabel.
ITHedgeHog
BTW, saya suka salah mengeja dalam dcdiagoutput.
wfaulk
Apakah Anda mendapatkan pesan kesalahan / peristiwa di DC?
Grizly
@ Grizly: Bukannya saya pernah melihat, tidak.
wfaulk
Sudahkah Anda mengakses perangkat jaringan apa pun di antara workstation dan server? Anda ingin memeriksa log penyaringan / koneksi mereka dan melihat apakah ada di antara mereka yang menjatuhkan / memfilter paket dari / ke workstation.
Ashley

Jawaban:

2

Butuh selamanya untuk menemukan di mana itu terjadi, tetapi ternyata ada filter dalam VPN yang memblokir lalu lintas LDAP (dan lainnya). Saya menghapus filter itu dan sekarang berfungsi.

wfaulk
sumber
2

Mungkin ada firewall antara mesin Win7 dan pengontrol domain.

Jika Anda memiliki akses ke nmap :

nmap -PN -p389 dc1.example.local dc2.example.local

Memperbarui:

nltest /dsgetdc:example.local

nslookup -q=srv _ldap._tcp.dc._msdcs.example.local  
nslookup -q=a $prefered_host  
ldapsearch -h $IPaddress_of_A_record -x -b "" -s base (&(DNSDomain=example.local)(HOST=$localmachineshostname)(NtVer=\\\\16\\\\00\\\\00\\\\00)) netlogon

NtVer meminta V5 (versi5 netlogon), V5EX (versi 5 extened logon), VCS (dc terdekat). Diambil dari Win7Ent.

(Hex hex adalah trixy.)

84104
sumber
Seperti yang saya katakan, konektivitas LDAP ke DC berfungsi dengan baik.
wfaulk
Salahku. Masih semua yang dilakukan nltest adalah pencarian 2 dns dan pencarian cldap. Saya akan memperbarui dengan perilaku.
84104
Info bagus Saya akan periksa dua kali dari kedua hal itu.
wfaulk
Adakah yang tahu jika catatan PTR yang tidak ada untuk DC akan menjadi masalah?
wfaulk
Tidak seharusnya; setiap mesin lain bergabung tanpa mereka. nltesttidak mencari mereka. Periksa kembali apakah klien bisa mendapatkan catatan SRV. Jangan berpikir server MS DNS melakukan split view, tetapi kehabisan pilihan.
84104
1

Kedengarannya seperti win7 tidak menunjuk DNS ke DC? Mungkin DHCP menunjuk DNS ke penyedia internet DNS?

Alan
sumber
Tidak, DNS pasti menunjuk ke DC. Saya pikir fakta bahwa pencarian SRV LDAP berfungsi menegaskan hal itu.
wfaulk
dapatkah Anda melakukan ping nama domain tanpa nama host? untuk pengecualian jika DC adalah DC1.mydomain.com dapatkah Anda melakukan ping mydomain.com dari kotak win7?
Alan
ya. menyelesaikan ke alamat IP dua DC.
wfaulk
Saya kehabisan ide! Semoga beruntung untukmu!
Alan
0

Kedengarannya Anda sudah mencoba dan menguji semuanya sejauh menyangkut DNS, tetapi sudahkah Anda memverifikasi bahwa catatan A untuk server DC / DNS ada dan benar? Apa yang terjadi ketika Anda menjalankan nslookup menguji kedua server untuk keberadaan catatan A untuk kedua server? Apakah DC yang dikembalikan dalam pesan kesalahan sebenarnya adalah server DC / DNS yang benar untuk domain?

joeqwerty
sumber
Mengingat bahwa bergabung dengan domain berfungsi dengan baik dari jaringan yang berbeda, saya tidak berpikir itu sesuatu yang mendasar seperti itu.
wfaulk
Maaf, saya melewatkan bagian itu.
joeqwerty
Sudahkah Anda memastikan bahwa lalu lintas di atas port berikut berhasil melintasi sirkuit MPLS: Lalu lintas Microsoft-DS (445 / tcp, 445 / udp) • Protokol otentikasi Kerberos (88 / tcp, 88 / udp) • Protokol Akses Direktori Ringan (LDAP) (389 / udp) • Sistem Nama Domain (DNS) (53 / tcp, 53 / udp)
joeqwerty
0

Apakah ada kemungkinan bahwa klien di kantor jarak jauh hanya menjalankan IPv6 dan sementara itu tidak menemukan catatan SRV untuk DC, DNS tidak dikonfigurasi dengan catatan AAAA (IPV6)?

Stephen Short
sumber
Tebakan menarik, tapi tidak.
wfaulk