我有一个办公室子网(比如192.168.10.x)和一个子网(192.168.99.x),它们都使用一个pfSense盒子作为网关/路由器。 办公室子网由Active Directory使用Windows 2003域控制器“控制” – DC发出DHCP租约,控制DNS等。我的子访问子网由pfSense控制。
我想要一个位于来宾子网的WinXP客户端机器访问Active Directory资源,就好像他们在办公室子网上一样。
VPN可能是一种可能性,但是由于两个子网由相同的pfSense盒控制,所以路由变得混乱。
VLAN不是真的可能。
我想我几乎有这个工作,但我陷入困境。 愚蠢的是,我们的域控制器上有文件服务器甚至Exchange,客户端无法正确访问这些资源。
这是什么工作:
但客户端不能RDP到域控制器,访问Exchange或访问文件共享。 当我将客户端移动到办公室子网时,它可以做这些事情。
据我所知,服务器事件日志不提供任何线索。
客户端事件日志有一些线索。 这里是一个例子:
W32Time eventID 18 The time provider NtpClient failed to establish a trust relationship between this computer and the MYDOMAIN domain in order to securely synchronize time. NtpClient will try again in 60 minutes. The error was: The trust relationship between this workstation and the primary domain failed. (0x800706FD) 如果没有信任关系,那么我不应该能够authentication,但我很确定我可以。 (我会仔细检查,以确保它不仅仅是caching凭据。)
我怀疑在域控制器上有一些设置,使得它们在远程子网上时不能信任我的客户端。 但是我很难find它可能是什么,或者在哪里find相关的文档。
我错过了什么?
是否有其他解决scheme,我应该考虑这个问题?
如果客户端join到域中,那么阻止其正确通信的唯一因素是stream量不能正确地从一个子网路由到另一个子网,客户端具有错误的DNS设置,或者防火墙阻止了所需的从一个子网到另一个子网的stream量。
在ADS&S中设置另一个子网的情况下,如果没有DC,或者没有AD集成服务(Exchange,DFS),那么实际上并不会有什么好处。
可能是您的服务器上的Windows防火墙只允许来自本地子网的某些types的stream量? 另外确认客户端正在使用适当的AD DNS服务器。 如果您允许pfSense上的网站之间的所有stream量,这不是罪魁祸首。 面向DC的局域网上的数据包捕获将告诉你,如果这台服务器上的本地防火墙只允许本地子网stream量,那么你将看到stream量离开局域网,并且从来没有得到响应。