Etki Alanı Denetleyicisi, bir Genel Ağda olduğunu düşünüyor

30

Ne tür bir ağ üzerinde çalıştığı konusunda amnezi gibi görünen Server 2008 R2 Birincil Alan Denetleyicisine sahibiz. (Sadece) ağ bağlantısı başlangıçta 'Genel Ağ' olarak tanımlanır.

Yine de, bağlantıyı devre dışı bırakıp yeniden etkinleştirirsem, bunun aslında bir etki alanı ağının parçası olduğunu mutlu bir şekilde bulur.

Bunun nedeni, ağ konumu başlangıçta işe yaradığında AD Etki Alanı Hizmetlerinin başlatılmadığından mıdır?

Bu sorun, Windows Güvenlik Duvarı Kurallarında bazı baş ağrısına neden oluyor (bildiğimden daha fazla başka yollardan çözülebiliyorum), bu yüzden çoğunlukla bunun neden olduğunu bilen var mı merak ediyorum.

networking  windows-server-2008-r2  domain-controller 
Matt Renner
kaynak
13
Lütfen benimle tekrarlayın: "Birincil Etki Alanı Denetleyicisi yok ve Windows 2000'den beri hiç olmadı".
Massimo
5
Benim içten özürlerim. Web Geliştiricisi bir Windows Ağına bakmak zorunda!
Matt Renner
Sadece bu sinir bozucu sorun için bazı ek bilgiler eklemek için: blogs.technet.com/b/networking/archive/2010/09/08/… ve Windows 7 ve 2008 R2 için bir düzeltme var support.microsoft.com/en-us / kb / 2524478
Lee Thompson,
Kaç tane etki alanı denetleyiciniz var? Bakım yaptığımızda, bazen teknolojiler aynı anda hem etki alanı denetleyicilerimizi yeniden başlatıyor! tüm hizmetleri çalışır halde tutmak için yeniden başlatmaya başladığınızda çok akıllıca değildir (gecenin ortasında olmasına rağmen).
Brian D.

Yanıtlar:

16

Bu bağlantıda varsayılan bir ağ geçidiniz var mı? Ping isteklerine cevap veriyor mu?

Windows ağları tanımlamak için ağ geçitleri kullanır; yapılandırılmış bir ağ geçidi bulunmuyorsa veya başarılı bir şekilde ping atamıyorsa, bağlı olduğu ağı tanımlayamaz ve bunun halka açık olduğunu varsayacaktır.

Massimo
kaynak
Yapıyoruz - Ağ geçidi ayrıca, DC'nin ping yapabildiği Forefront Threat Management Gateway çalıştıran bir Server 2008 R2 Makinesi.
Matt Renner,
DC'nizde kurulu ve kullanımda birden fazla NIC var mı?
John Homer
Hayır, sadece bir tane.
Matt Renner
13
Anladım - istemeden IPv6 açıktı, bu yüzden v6 üzerinden ağ geçidini bulmaya çalışıyor olmalıydı. Bunu kapattım ve iyi çalışıyor.
Matt Renner,
3
Bu kesinlikle yanlıştır. Bir etki alanı denetleyicisinde, güvenlik duvarı durumu varsayılan ağ geçidinden etkilenmez.
Katman8
52

Bir etki alanı denetleyicisinin ağının etki alanı ağı olarak sınıflandırılıp sınıflandırılmaması geçidi yapılandırmasına bağlı değildir.

Sahte bir ağ sınıflandırmasının davranışı NLA(şebeke konumu farkındalığı) servisine neden olabilir starts before the domain is available. Bu durumda, kamu veya özel ağ seçilir ve daha sonra düzeltilmez.

Bu hata durumunun verilip verilmediği nasıl kontrol edilir
Yeniden başlattıktan sonra etki alanı denetleyicisi ortak ağdayken, NLA hizmetini yeniden başlatın veya ağ bağlantısını kesin / yeniden bağlayın. Etki alanı denetleyicisi daha sonra etki alanı ağında olmalıdır.

Nasıl çözülür? NLA Hizmetini gecikmeli başlatmaya ayarlamak
yardımcı olabilir . Daha iyisi, etki alanının neden uzun sürmesi gerektiğini kontrol edin. Birden fazla ağ kartı olduğunda etki alanının başlaması daha uzun zaman alıyor gibi görünüyor.

Ne işe yaramazsa
Ne etki alanı yüklemesini hızlandırırken ne de NLA yardımının gecikmesine ve hataya etki alanının uzun yüklenmesinden kaynaklandığında (bakınız: "nasıl kontrol edilir ..."), o zaman bazı yapılabilecek daha çok şey var.

  • Yeniden başlatmak için bir senaryo yaz ve zamanlayıcı ile çalıştır (tehlikeli)

  • NLA servisinin yüklenmesini servisin başlangıcına kaydırın, kayıt sırasındaki yük sırasını değiştirin (tehlikeli)

    Aşağıdaki Kayıt defteri girdisi bağımlılıkları aşağıdakilere ayarlar NSI RpcSs TcpIp Dhcp Eventlog NTDS DNS:

    REGEDIT4

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NlaSvc]
"DependOnService"=hex(7):4e,53,49,00,52,70,63,53,73,00,54,63,70,49,70,00,44,68,\
63,70,00,45,76,65,6e,74,6c,6f,67,00,4e,54,44,53,00,44,4e,53,00,00

  • "IPCONFIG / RENEW" uygulamasını zamanlayıcıdan başlangıçta 1 veya 2 dakika gecikmeyle yürütün (NLA hizmetini başlatmaktan iyidir)

  • Her yeniden başlatma işleminden sonra NLA hizmetini manuel olarak yeniden başlatın (ancak: "IPCONFIG / RENEW" tercih edilmelidir)!

Etki alanı denetleyicisinin yapılandırılmış iki veya daha fazla IP olması durumunda (aynı veya diğer ağ kartlarında) ve ek ağlar DNS'de yapılandırılmadığında da bir neden daha olabilir.

Davranışın Üreme
bir test alanı denetleyicisi (tek DC!) Ben varsayılan ağ geçidi girişi silindi ve set DNS Serveriçin delayed start. Bunu yaparak etki alanının yüklenmesi uzun sürdü ve ağ olarak sınıflandırıldı public. Ağ kablosunu çıkardıktan ve yeniden taktıktan sonra, ağ doğru olarak sınıflandırıldı domain network.

Düzenle

minnetle yorumlarından Daniel Fisher lennybaconve Joshua Hanley:

NlaSvc'e DNS ve NTDS'ye bağımlılık nasıl eklenir

çalıştırmak sc config nlasvc depend=NSI/RpcSs/TcpIp/Dhcp/Eventlog/DNS/NTDS(PowerShell içinde çalıştırıyorsanız kullanım sc.exe) CMD. DNS ve NTDS'yi eklemeden önce mevcut bağımlılıkları tekrar kontrol etmek istiyorsanız,sc qc nlasvc

bataklık-kıpırdatmak
kaynak
2
Bu, Azure'daki (VPN üzerinden şirket içi DC'ye bağlı) ikincil / yedek bir etki alanı denetleyicisinin özel ağ konumuna sürekli olarak takıldığı ve NLA'yı yeniden başlattıktan sonra etki alanı ağına doğru şekilde çözüldüğü durumumuzun cevabıdır. Başlamayı geciktirmek için değişiklik yaptım ve bu sorunumuzu çözdü.
Jaans
1
Bu benim için çalıştı! Şimdi aylarca bu sorunu yaşadım ve sonunda çözmeye karar verdim.
notbad.jpeg 2
2
burada NLA hakkında bilgi içeren MS blogu blogs.technet.microsoft.com/networking/2010/09/08/…
Tilo
3
NlaSvc için DNS ve NTDS'ye bir bağımlılık ekledim. Cazibe gibi çalışır.
Daniel Fisher lennybacon 20:17
1
@DanielFisherlennybacon ne yaptığını yapmak için CMD'den "sc config nlasvc bağımlı = NSI / RpcSs / TcpIp / Dhcp / Eventlog / DNS / NTDS" komutunu çalıştırın (PowerShell'de çalıştırıyorsanız sc.exe kullanın). DNS ve NTDS'yi eklemeden önce mevcut bağımlılıkları tekrar kontrol etmek istiyorsanız, "sc qc nlasvc" kullanın.
Joshua Hanley
1

2008 R2 AD sunucusunda benzer davranışlar gördüm. Beni büyüleyen şey, kullanımda olmasa bile birden fazla NIC'nin etkin olmasıydı. Kullanılmayan NIC'leri devre dışı bırakıp yeniden başlattıktan sonra sorun çözüldü.

Burada karşınıza çıkan tam pencere özelliği NLA (Ağ Konumu Farkındalığı) olarak adlandırılıyor. Uzman olduğunu iddia etmek için yeterince bilgim yok, ama her şeyin nasıl yürüdüğü ya da çalışması gerektiğine dair aralarında ilginç bilgiler var.

John Homer
kaynak
0

Benim durumumda, sunucu DMZ ve sunucunun etki alanı denetleyicileri ile konuşmasını engelleyen pek çok güvenlik duvarı kuralıydı. Bu durumda, sunucuların iletişim kurmasını sağlamak için Güvenlik Duvarları (donanım FW) açmanız gerekir. Ayrıca bir test yapmak için, sunucuyu güvenlik duvarı kurallarının istemci ve sunucular arasında iletişime izin verdiği ağa bağlayın.

Kâbil
kaynak
-4

Yeni bir etki alanı denetleyicisi yükledikten sonra, "WINDOWS FIREWALL" öğesinin "DOMAIN: ON" konumuna ayarlanmadığını görebilirsiniz. Bu, Microsoft tarafından sağlanan hatalı yükleme varsayılanlarının bir sonucudur. Bunu düzeltmek için, ağ bağlantısındaki IP6 DNS ayarlarını ":: 0" konumundan otomatik konumuna getirin. Ayrıca, IP6 İleticileri'ni DNS sunucusundan temizleyin.

Funschlager
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.