Pengontrol Domain berpikir itu ada di Jaringan Publik

30

Kami memiliki Pengendali Domain Utama Server 2008 R2 yang tampaknya memiliki amnesia ketika datang untuk mencari tahu apa jenis jaringan itu. Koneksi jaringan (hanya) diidentifikasi pada saat startup sebagai 'Jaringan Publik'.

Namun, jika saya menonaktifkan dan kemudian mengaktifkan kembali koneksi, itu dengan senang hati mengetahui bahwa itu sebenarnya bagian dari jaringan domain.

Apakah ini karena Layanan Domain AD tidak dimulai ketika lokasi jaringan awalnya dikerjakan?

Masalah ini menyebabkan beberapa sakit kepala dengan Aturan Windows Firewall (yang saya lebih dari sadar dapat diselesaikan dengan cara lain) jadi saya kebanyakan hanya penasaran untuk melihat apakah ada yang tahu mengapa ini terjadi.

networking windows-server-2008-r2 domain-controller Matt Renner
sumber
13
Tolong, ulangi dengan saya: "tidak ada Pengontrol Domain Primer, dan tidak pernah ada sejak Windows 2000".
Massimo
5
Permintaan maaf tulus saya Pengembang Web harus menjaga Jaringan Windows!
Matt Renner
Hanya untuk menambahkan beberapa informasi tambahan untuk masalah yang membuat frustrasi ini: blogs.technet.com/b/networking/archive/2010/09/08/… dan ada perbaikan terbaru untuk dukungan
Lee Thompson
Berapa banyak pengontrol domain yang Anda miliki? Ketika kami melakukan pemeliharaan, kadang-kadang teknisi menghidupkan ulang kedua pengontrol domain kami secara bersamaan! yang tidak terlalu cerdas (meskipun itu tengah malam) ketika Anda hanya bisa terhuyung-huyung reboot untuk menjaga semua layanan tetap berjalan.
Brian D.

Jawaban:

16

Apakah Anda memiliki gateway default pada koneksi itu? Apakah itu membalas permintaan ping?

Windows menggunakan gateway untuk mengidentifikasi jaringan; jika tidak memiliki gateway yang dikonfigurasi, atau jika tidak berhasil melakukan ping, gateway tidak akan dapat mengidentifikasi jaringan yang terhubung dan akan menganggapnya publik.

Massimo
sumber
Kami melakukannya - Gateway juga merupakan Mesin Server 2008 R2 yang menjalankan Forefront Threat Management Gateway, yang dapat di-ping oleh DC.
Matt Renner
Apakah DC Anda memiliki lebih dari satu NIC terpasang dan sedang digunakan ??
John Homer
Tidak, hanya satu.
Matt Renner
13
Mengerti - secara tidak sengaja IPv6 dinyalakan sehingga pasti telah mencoba untuk menemukan gateway melalui v6. Matikan itu dan itu berfungsi dengan baik.
Matt Renner
3
Ini jelas salah. Pada domain contoller, status firewall tidak terpengaruh oleh gateway default.
Layer8
52

Apakah jaringan pengontrol domain diklasifikasikan sebagai jaringan domain tidak tergantung pada konfigurasi gateway.

Perilaku klasifikasi jaringan palsu dapat disebabkan oleh layanan NLA(kesadaran lokasi jaringan) starts before the domain is available. Dalam hal ini jaringan publik atau pribadi dipilih dan tidak diperbaiki setelahnya.

Cara memeriksa apakah situasi kesalahan ini diberikan
Ketika pengendali domain setelah reboot berada di jaringan publik, mulai ulang layanan NLA atau putuskan / sambungkan kembali jaringan. Pengontrol domain harus berada di jaringan domain setelahnya.

Cara mengatasinya
Mungkin membantu mengatur Layanan NLA ke awal yang tertunda . Lebih baik, periksa mengapa domain perlu lama hadir. Tampaknya domain perlu lebih lama untuk memulai ketika ada beberapa kartu jaringan.

Ketika itu tidak membantu
Ketika tidak mempercepat pemuatan domain atau keterlambatan bantuan NLA dan kesalahan disebabkan oleh pemuatan panjang domain (lihat: "cara memeriksa ..."), maka ada beberapa lebih banyak hal yang bisa dilakukan.

  • Menulis skrip untuk memulai ulang menjalankannya dengan scheduler (berbahaya)

  • Menggeser pemuatan layanan NLA ke akhir layanan dimulai, mengubah urutan pemuatan dalam registri (berbahaya)

    Entri Registry berikut mengatur dependensi ke NSI RpcSs TcpIp Dhcp Eventlog NTDS DNS:

    REGEDIT4

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NlaSvc]
"DependOnService"=hex(7):4e,53,49,00,52,70,63,53,73,00,54,63,70,49,70,00,44,68,\
63,70,00,45,76,65,6e,74,6c,6f,67,00,4e,54,44,53,00,44,4e,53,00,00

  • Jalankan "IPCONFIG / RENEW" dari scheduler saat startup dengan penundaan 1 atau 2 menit (lebih baik daripada memulai layanan NLA)

  • Mulai ulang layanan NLA secara manual setelah setiap reboot (tetapi: "IPCONFIG / RENEW" harus dipilih)!

Satu lagi penyebab juga bisa terjadi ketika pengontrol domain memiliki dua atau lebih IP yang dikonfigurasi (pada kartu jaringan yang sama atau yang lain) dan jaringan tambahan tidak dikonfigurasi dalam DNS.

Reproduksi perilaku
Pada pengontrol domain uji (DC tunggal!) Saya menghapus entri gateway default dan mengatur DNS Serveruntuk delayed start. Melakukan hal ini membutuhkan waktu lama untuk memuat dan jaringan diklasifikasikan sebagai public. Setelah melepaskan dan menghubungkan kembali kabel jaringan, jaringan diklasifikasikan dengan benar domain network.

Edit

terima kasih dari komentar Daniel Fisher lennybacondan Joshua Hanley:

Bagaimana cara menambahkan ketergantungan untuk NlaSvc ke DNS dan NTDS

jalankan sc config nlasvc depend=NSI/RpcSs/TcpIp/Dhcp/Eventlog/DNS/NTDSdari CMD (gunakan sc.exe jika Anda menjalankannya di PowerShell). Jika Anda ingin memeriksa kembali dependensi yang ada sebelum menambahkan DNS dan NTDS, gunakansc qc nlasvc

rawa-goyang
sumber
2
Ini adalah jawaban untuk situasi kami di mana pengontrol domain sekunder / cadangan di Azure (terhubung melalui VPN ke DC di tempat), secara konsisten macet di lokasi jaringan pribadi dan setelah memulai ulang NLA, itu diselesaikan dengan benar ke jaringan domain. Saya telah membuat perubahan untuk menunda mulai dan itu menyelesaikan masalah kami.
Jaans
1
Ini berhasil untuk saya! Punya masalah ini selama berbulan-bulan sekarang dan akhirnya memutuskan untuk mencari tahu.
notbad.jpeg
2
di sini MS blog dengan info tentang NLA blogs.technet.microsoft.com/networking/2010/09/08/…
Tilo
3
Saya menambahkan ketergantungan untuk NlaSvc ke DNS dan NTDS. Bekerja seperti pesona.
Daniel Fisher lennybacon
1
Untuk melakukan apa yang dilakukan @DanielFisherlennybacon, jalankan "sc config nlasvc depend = NSI / RpcSs / TcpIp / Dhcp / Eventlog / DNS / NTDS" dari CMD (gunakan sc.exe jika Anda menjalankannya di PowerShell). Jika Anda ingin memeriksa kembali dependensi yang ada sebelum menambahkan DNS dan NTDS, gunakan "sc qc nlasvc".
Joshua Hanley
1

Saya telah melihat perilaku serupa berdiri di server 2008 R2 AD. Hal yang membuat saya memiliki lebih dari satu NIC diaktifkan, meskipun tidak digunakan. Setelah saya menonaktifkan NIC yang tidak digunakan dan reboot, masalahnya hilang.

Fitur windows yang tepat yang Anda hadapi di sini disebut NLA (Network Location Awareness). Saya tidak cukup tahu tentang hal itu untuk mengklaim sebagai seorang ahli, tetapi saya tahu ada beberapa informasi menarik di luar sana tentang bagaimana semua itu bekerja, atau seharusnya berfungsi.

John Homer
sumber
0

Dalam kasus saya, server adalah DMZ dan banyak aturan firewall memblokir server untuk berbicara dengan pengontrol domain. Dalam hal ini, Anda perlu membuka Firewalls (hardware FW) untuk memungkinkan server berkomunikasi. Untuk menjalankan tes, sambungkan server ke jaringan di mana aturan firewall memungkinkan komunikasi antara klien dan server.

Kabul
sumber
-4

Setelah menginstal pengontrol domain baru, Anda mungkin menemukan bahwa "WINDOWS FIREWALL" tidak diatur dengan benar ke "DOMAIN: ON". Ini adalah hasil dari default instalasi yang buruk yang disediakan oleh Microsoft. Untuk memperbaiki ini, hapus pengaturan DNS IP6 pada koneksi jaringan dari ":: 0" kembali ke otomatis. Juga, hapus IP6 Forwarders dari server DNS.

Funschlager
sumber