我有2个networking:
我在我的域的内部networking中有一个DC,在同一个域中的DMZ中有一个RODC。 这两个networking之间存在防火墙,只允许我指定的端口/stream量。
当我在DMZ中添加一台计算机并尝试将其添加到域时,它仍会尝试访问内部networking上的DC,而不是DMZ中的RODC。 我已经完成了此处指定的更改( http://support.microsoft.com/kb/977510 ,即允许RODC可被发现)。
我允许我的RODC和DC之间的以下端口:
服务来源目的地 Ephemeral ports 49152:65535 49152:65535 FRsRPC 1:65535 53248 Kerberos 1:65535 88 LDAP 1:65535 389 SMB 1:65535 445 NTP 1:65535 123 RPCC端点1:65535 135
我有两个站点设置… DMZ和内部。 RODC是DMZ站点的一部分,DC是内部站点的一部分。 子网也设置,并分配到正确的网站。
如果我在DMZ中的计算机上运行nltest /dsgetdc:mydomain.local,则返回RODC。
一些东西:
networking数据包捕获几乎可以肯定地指向你正确的方向。
客户端上的Netlogondebugging提供了有用的信息。
日志保存在:C:\ Windows \ debug \ netlogon.log。
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters] "DBFlag"=dword:24401F04 "MaximumLogFileSize"=dword:3200000 在configuration站点时,真正重要的是将什么DNSlogging返回给客户端。 这是如何知道连接到哪个DC。 netlogon.log实际上会显示你的区域:
01/14 06:46:53 [CRITICAL] NetpDcGetDcNext: _ldap._tcp.ACMEHQ._sites.dc._msdcs.acme.com.
我会检查DNS中的该区域。
后来:
01/14 06:46:55 [CRITICAL] NetpDcGetName: acme.com.: IP and Netbios are both done.
因此,RODC的DNSlogging不在预期的区域中,或者没有被DNS服务器返回,或者客户端正在获取正确的DNSlogging,但是还有其他问题正在发生,并且正在连接到其他DC。 顺便说一下,这是预期的行为。