Win7-Workstations können nicht mit der Win2k8-Domäne verbunden werden

8

Ich versuche, einen Windows 7 Ultimate-Computer mit einer Windows 2k8-Domäne zu verbinden, und es funktioniert nicht. Ich erhalte diesen Fehler:

Hinweis: Diese Informationen richten sich an einen Netzwerkadministrator. Wenn Sie nicht der Administrator Ihres Netzwerks sind, benachrichtigen Sie den Administrator, dass Sie diese Informationen erhalten haben, die in der Datei C: \ Windows \ debug \ dcdiag.txt aufgezeichnet wurden.

DNS wurde erfolgreich nach dem SRV-Ressourceneintrag (Service Location) abgefragt, der zum Auffinden eines Domänencontrollers für die Domäne "example.local" verwendet wurde:

Die Abfrage betraf den SRV-Datensatz für _ldap._tcp.dc._msdcs.example.local

Die folgenden Domänencontroller wurden durch die Abfrage identifiziert:
dc1.example.local
dc2.example.local

Es konnten jedoch keine Domänencontroller kontaktiert werden.

Häufige Ursachen für diesen Fehler sind:

  • Host (A) - oder (AAAA) -Datensätze, die die Namen der Domänencontroller ihren IP-Adressen zuordnen, fehlen oder enthalten falsche Adressen.

  • In DNS registrierte Domänencontroller sind nicht mit dem Netzwerk verbunden oder werden nicht ausgeführt.

Der Client befindet sich in einem Büro, das über MPLS remote mit dem Rechenzentrum verbunden ist, in dem unsere Domänencontroller vorhanden sind. Ich habe anscheinend keine Blockierung der Konnektivität zu den DCs, aber ich habe keine vollständige Kontrolle über die MPLS-Schaltung. Daher ist es möglich, dass etwas die Konnektivität blockiert.

Ich habe mehrere Clients (Win7 Ultimate und WinXP SP3) in einem Büro ausprobiert und bei allen die gleichen Symptome festgestellt.

Ich habe keine Probleme, eine Verbindung zu einem der Domänencontroller herzustellen, obwohl ich zugegebenermaßen nicht jeden möglichen Port ausprobiert habe. ICMP-, LDAP-, DNS- und SMB-Verbindungen funktionieren einwandfrei.

Client-DNS zeigt auf die DCs, und "example.local" wird in die beiden IP-Adressen der DCs aufgelöst.

Ich erhalte diese Ausgabe vom NetLogon Test-Befehlszeilenprogramm:

C:\Windows\System32>nltest /dsgetdc:example.local
Getting DC name failed: Status = 1355 0x54b ERROR_NO_SUCH_DOMAIN

Ich habe auch ein separates Netzwerk erstellt, um die Konfiguration dieses Büros zu emulieren, die über LAN-zu-LAN-VPN anstelle von MPLS mit dem DC-Netzwerk verbunden ist. Das Verbinden von Windows 7-Computern über dieses Remotenetzwerk funktioniert einwandfrei.

Der einzige Unterschied, den ich zwischen den beiden Umgebungen feststellen kann, ist die Zwischenkonnektivität, aber ich habe keine Ahnung, was ich testen oder wie ich es tun soll. Welche weiteren Schritte soll ich unternehmen?

(Beachten Sie, dass dies nicht meine Client-Workstation ist und ich keinen direkten Zugriff darauf habe. Ich bin gezwungen, per Fernzugriff darauf zuzugreifen, was einige der offensichtlichen Methoden zur Fehlerbehebung, wie z. B. Paket-Sniffing, schwieriger macht. Wenn ich Ich könnte dort einfach ein System einrichten, in das ich remote gehen könnte, aber diesbezügliche Anfragen sind unbeantwortet geblieben.)

Update 2011-08-25:
Ich habe DCDIAG.EXEauf einem Client versucht, der Domain beizutreten:

C:\Windows\System32>dcdiag /u:example\adminuser /p:********* /s:dc2.example.local

Directory Server Diagnosis

Performing initial setup:
   Ldap search capabality attribute search failed on server
   dc2.example.local, return value = 81

Das klingt so, als ob es eine Verbindung über LDAP herstellen konnte, aber das, was es versuchte, schlug fehl. Aber ich verfolge nicht ganz, was es versucht hat, geschweige denn, wie man es reproduziert oder auflöst.

Update 2011-08-26:
Wenn Sie LDP.EXEversuchen, eine LDAP-Verbindung direkt zu den DCs herzustellen, treten folgende Fehler auf:

ld = ldap_open ("10.0.0.1", 389);
Fehler <0x51>: Verbindung zu 10.0.0.1 konnte nicht hergestellt werden.
ld = ldap_open ("10.0.0.2", 389);
Fehler <0x51>: Verbindung zu 10.0.0.2 fehlgeschlagen.
ld = ldap_open ("10.0.0.1", 3268);
Fehler <0x51>: Verbindung zu 10.0.0.1 konnte nicht hergestellt werden.
ld = ldap_open ("10.0.0.2", 3268);
Fehler <0x51>: Verbindung zu 10.0.0.2 fehlgeschlagen.

Dies scheint mit den Fingern auf LDAP-Verbindungen zu zeigen, die irgendwo blockiert sind. (Und 0x51 == 81, das war der Fehler aus DCDIAG.EXEdem gestrigen Update.) Ich könnte schwören, dass ich dies vor TELNET.EXEWochen getestet habe, aber jetzt denke ich, dass ich angenommen habe, dass das Löschen des Bildschirms mir sagte, dass es das war Warten und nicht, dass es verbunden hatte.

Ich suche jetzt nach LDAP-Konnektivitätsproblemen. Dieses Update kann eine Antwort werden.

windows-server-2008 windows-7 ldap active-directory wfaulk
quelle
3
Angesichts der Tatsache, dass DNS anscheinend funktioniert, würde ich empfehlen, NetMon oder Wireshark an beiden Enden anzubringen und die Pakete zu erfassen, um zu sehen, was auf dem Kabel geschieht.
ITHedgeHog
Übrigens, ich liebe die Rechtschreibfehler in der dcdiagAusgabe.
Wfaulk
Erhalten Sie Fehlermeldungen / Ereignisse auf den DCs?
Grizly
@ Grizly: Nicht das ich gesehen habe, nein.
Wfaulk
Haben Sie Zugriff auf Netzwerkgeräte zwischen den Arbeitsstationen und den Servern? Sie möchten ihre Filter- / Verbindungsprotokolle überprüfen und feststellen, ob sie Pakete von / zu den Arbeitsstationen ablegen / filtern.
Ashley

Antworten:

2

Es hat ewig gedauert, um herauszufinden, wo es geschah, aber es stellte sich heraus, dass das VPN Filter enthielt, die den LDAP- (und anderen) Verkehr blockierten. Ich habe diese Filter gelöscht und jetzt funktioniert es.

wfaulk
quelle
2

Möglicherweise befindet sich eine Firewall zwischen dem Win7-Computer und den Domänencontrollern.

Wenn Sie Zugriff auf nmap haben :

nmap -PN -p389 dc1.example.local dc2.example.local

Aktualisieren:

nltest /dsgetdc:example.local

nslookup -q=srv _ldap._tcp.dc._msdcs.example.local  
nslookup -q=a $prefered_host  
ldapsearch -h $IPaddress_of_A_record -x -b "" -s base (&(DNSDomain=example.local)(HOST=$localmachineshostname)(NtVer=\\\\16\\\\00\\\\00\\\\00)) netlogon

NtVer fragt nach V5 (Version 5 Netlogon), V5EX (Version 5 Extened Logon), VCS (nächstgelegene DC). Entnommen aus Win7Ent.

(ldap hex ist trixy.)

84104
quelle
Wie gesagt, die LDAP-Konnektivität zu den DCs funktioniert einwandfrei.
Wfaulk
Mein Fehler. Trotzdem ist alles, was nltest tut, 2 DNS-Lookups und eine CLDAP-Suche. Ich werde mit dem Verhalten aktualisieren.
84104
Gute Infos. Ich werde diese beiden Dinge noch einmal überprüfen.
Wfaulk
Weiß jemand, ob nicht vorhandene PTR-Datensätze für die DCs ein Problem darstellen würden?
Wfaulk
Sollte nicht sein; jede andere Maschine kam ohne sie zusammen. nltestsucht nicht nach ihnen. Stellen Sie sicher, dass der Client den SRV-Datensatz erhalten kann. Denken Sie nicht, dass MS DNS-Server die Ansicht teilen, aber keine Optionen mehr haben.
84104
1

Klingt so, als ob win7 sein DNS nicht auf einen DC zeigt? Vielleicht zeigt DHCP DNS auf das DNS des Internetproviders?

Alan
quelle
Nein, DNS zeigt definitiv auf die DCs. Ich denke, die Tatsache, dass die LDAP-SRV-Suche funktioniert hat, bestätigt dies.
Wfaulk
Können Sie den Domainnamen ohne den Hostnamen anpingen? Wenn der DC beispielsweise DC1.mydomain.com ist, können Sie mydomain.com über die win7-Box anpingen?
Alan
ja. wird in die IP-Adressen der beiden DCs aufgelöst.
Wfaulk
Ich habe keine Ideen mehr! Viel Glück!
Alan
0

Es hört sich so an, als hätten Sie alles in Bezug auf DNS ausprobiert und getestet. Haben Sie jedoch überprüft, ob die A-Einträge für die DC / DNS-Server vorhanden und korrekt sind? Was passiert, wenn Sie nslookup ausführen und beide Server auf das Vorhandensein der A-Datensätze für beide Server testen? Sind die in der Fehlermeldung zurückgegebenen DCs tatsächlich die richtigen DC / DNS-Server für die Domäne?

Joeqwerty
quelle
Angesichts der Tatsache, dass der Beitritt zur Domain von einem anderen Netzwerk aus gut funktioniert, denke ich nicht, dass dies so grundlegend ist.
Wfaulk
Entschuldigung, ich habe diesen Teil verpasst.
Joeqwerty
Haben Sie sichergestellt, dass der Datenverkehr über die folgenden Ports über die MPLS-Verbindung geleitet wird: Microsoft-DS-Datenverkehr (445 / tcp, 445 / udp) • Kerberos-Authentifizierungsprotokoll (88 / tcp, 88 / udp) • Lightweight Directory Access Protocol (LDAP) (389 / udp) • Domain Name System (DNS) (53 / tcp, 53 / udp)
Joeqwerty
0

Gibt es eine Möglichkeit, dass auf dem Client im Remote-Büro nur IPv6 ausgeführt wird und DNS den SRV-Eintrag für den DC findet, DNS jedoch nicht mit AAAA-Einträgen (IPV6) konfiguriert ist?

Stephen Short
quelle
Interessante Vermutung, aber nein.
Wfaulk