我正在amazon web services上build立一个testing平台,包括2个Web服务器,1个数据库服务器和1个域控制器。 所有的服务器都是Windows Server 2012.我有随机出现的networking服务器失去与域控制器的信任 。 我导致相信客户端和DC之间的防火墙设置/ dns可能存在问题。
有什么工具可以帮助我理清域控制器和客户端之间的连接问题吗? 我曾尝试从微软的端口查询工具。
我禁用了Windows防火墙并启用了AWS防火墙规则,以排除任何不可预见的堵塞。
谢谢,SDG
- 要直接回答你的问题,有用的工具是Ncdiag和Nltest以及Portqry。 Nltest包含在Windows中,Ncdiag应该位于域控制器上。 因为它的语法更简单,所以我更喜欢Nmap。 除Ping之外,在服务器上扫描端口88(Kerberos),123(ntp),389(LDAP)和135(RPC映射程序)的问题在域控制器上打开。 nmap示例:nmap -p 88,123,135,389 IPaddressOfDomainController
- 你提到你的问题是域信任。 确保他们的时间同步。 成员服务器应该从域控制器获得时间。 检查registryHKLM \ System \ CurrentControlSet \ Services \ W32tm \ Parameters。 值NtpServer应该设置为NTDS5。 在域控制器上,您可以select使用可靠的Internet时间源,例如time.nist.gov。 使用命令“w32tm / config / manualpeerlist:time.nist.gov / syncfromflags:manual / reliable:yes / update”,然后重新启动W32Time服务。 (参考: “很简单!” – Active Directory中的时间configuration )
- 那么DNS呢? 你的DC应该是一个DNS服务器; 您的成员服务器应该使用DC作为他们的DNS服务器。 反过来,除非您不使用互联网,否则DC DNS应将所有其他请求转发给您的云DNS服务器(如果您使用DHCP,则会看到这一情况)。
- 我同意 – 不要closures防火墙。 大多数Windowsfunction将自动添加所需的任何规则。 但是,您可以仔细检查DC上的活动防火墙configuration文件是否为域。
惊讶每个人都提到portqry,但没有人谈论portqryUI – 它不仅仅是一个很好的portqry GUI包装,它包括一堆预定义的testing集。 “域和信任”是testing集之一,它testingAD工作所需的所有端口。