当通过VPN(LogMeIn Hamachi)连接到(SBS 2003)DC时,无法在XP工作站上以域用户身份login
我们在远程站点上安装了Windows XP Professional桌面,通过VPN(LogMeIn Hamachi)连接到我们在主办公室的SBS 2003域控制器。
XP桌面通过VPN连接join域,没有任何问题。
问题是远程站点上的域用户在尝试login时会看到以下消息:
- 转发时DNS服务器失败
- 转移主机只需更改一个logging或名称服务器
- IIS7网站使用example.com,但与www.example.com不兼容。 DNS问题?
- Rotary.org DNSparsing – 服务器故障
- 在Windows Server 2008中将FQDN转换为IP地址
当PC被带到主办公室并连接到局域网时,这种情况不会发生,随后的远程login尝试成功完成(但仅仅是由于caching的凭证 – 潜在的问题仍然存在,新用户仍然不会能够在远程站点login)。
另一个症状是,域用户在“ 本地用户和组” MMCpipe理单元(仅显示其SID,没有相应的域用户名)上没有正确显示。
我已经尝试从域中删除PC,并重新join,以防它是简单的破坏的信任关系问题(甚至尝试了不同的PC),但问题总是相同的。
以下是从XP系统ping域控制器的主机名和IP地址的各种组合的结果:
ping服务器= SUCCESS
ping server.domain.local = FAIL(但是在主办公室的PC上ping服务器的FQDN 是成功的)
ping 192.168.1.50 =失败(通过私有IP ping DC)
ping服务器的Hamachi VPN IP地址= SUCCESS
通过VPN链接访问服务器上的共享没有问题。
XP系统的(自动分配的)DNS是网关路由器的IP:192.168.1.1
服务器上的networking共享工作正常,似乎这个问题只影响以域用户身份login的能力。
任何想法是怎么回事,我该如何解决这个问题?
正如你怀疑的那样,这是远程站点的DNS。
为了使DNS服务器能够支持Active Directory,服务器需要支持服务(SRV)资源loggingtypes和dynamic更新协议,如RFC 2136中所述。Active Directory使用DNS作为位置机制域控制器,使networking上的计算机能够获得域控制器的IP地址。 在安装Active Directory的过程中,服务(SRV)和地址(A)资源logging在DNS中dynamic注册。 这两种types的logging对于域控制器定位器(Locator)机制的function都是必需的。
要查找域或林中的域控制器,客户端将查询DNS以获取域控制器的SRV和DNS资源logging。 资源logging为客户端提供域控制器的名称和IP地址。 在这种情况下,SRV和A资源logging被称为定位器DNS资源logging。
http://technet.microsoft.com/en-us/library/cc759550%28v=ws.10%29.aspx
由于远程站点无法通过其内部IP联系DC,所以远程用户无法“find”该服务器login。
您可能不想为第二个IP添加条目。 多宿主域控制器可能会导致问题。
http://support.microsoft.com/kb/272294
相反,我想你想禁用虚拟Hamachi适配器上的DNS注册。 无论如何,这就是我会先尝试的。
http://support.microsoft.com/kb/272294 (即指2000年,但它也应该为2003年工作)
祝你好运!
[编辑添加…]
听起来就像你在DC上有Hamachi界面一样。 如果是这样的话,我不知道Hamachi是否支持通过非Hamachi界面来引用DC。 如果不是,您可能必须使用不同的机器作为隧道端点。