web-dev-qa-db-ja.com

ドメインコントローラーはパブリックネットワーク上にあると考えています

サーバー2008 R2があります。 プライマリー それがどのようなネットワーク上にあるのかを知ることになると、記憶喪失を持っているように見えるドメインコントローラー。 (唯一の)ネットワーク接続は、起動時に「パブリックネットワーク」として識別されます。

それでも、接続を無効にしてから再度有効にすると、実際にはドメインネットワークの一部であることがわかります。

これは、ネットワークの場所が最初に決定されたときにADドメインサービスが開始されていないためですか?

この問題により、Windowsファイアウォールルールでいくつかの問題が発生します(これは、他の方法で解決できることは承知しています)。

networkingwindows-server-2008-r2domain-controller
31
Matt Renner

その接続にデフォルトゲートウェイがありますか? pingリクエストに応答しますか?

Windowsはゲートウェイを使用してネットワークを識別します。ゲートウェイが構成されていない場合、または正常にpingできない場合は、接続先のネットワークを識別できず、パブリックネットワークであると見なします。

17
Massimo

ドメインコントローラーのネットワークがdomain networkゲートウェイ構成に依存しません。

誤ったネットワーク分類の動作は、NLA(ネットワークロケーション認識)サービスstarts before the domain is availableが原因である可能性があります。この場合、パブリックまたはプライベートネットワークが選択され、後で修正されません。

この障害状況が発生したかどうかを確認する方法
再起動後のドメインコントローラーがパブリックネットワークにある場合は、NLAサービスを再起動するか、ネットワークを切断または再接続します。その後、ドメインコントローラーはドメインネットワークに存在する必要があります。

解決方法
NLAサービスを遅延開始に設定するが役立つ場合があります。ドメインが存在する必要がある理由を確認してください。複数のネットワークカードがある場合、ドメインの起動に時間がかかるようです。

それが役に立たない場合
ドメインの読み込みの高速化もNLAヘルプの遅延も発生せず、エラーがドメインの長い読み込みによって引き起こされた場合(「確認方法...」を参照)、さらにいくつかあります。できること。

  • 再起動するためのスクリプトを記述し、スケジューラで実行する(危険)

  • NLAサービスの読み込みをサービス開始の最後にシフトし、レジストリの読み込み順序を変更します(危険)

    次のレジストリエントリは、依存関係をNSI RpcSs TcpIp Dhcp Eventlog NTDS DNSに設定します。

    REGEDIT4

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NlaSvc]
"DependOnService"=hex(7):4e,53,49,00,52,70,63,53,73,00,54,63,70,49,70,00,44,68,\
63,70,00,45,76,65,6e,74,6c,6f,67,00,4e,54,44,53,00,44,4e,53,00,00

  • 起動時にスケジューラから「IPCONFIG/RENEW」を1〜2分の遅延で実行します(NLAサービスの開始よりも優れています)

  • 再起動するたびにNLAサービスを手動で再起動します(ただし、「IPCONFIG/RENEW」をお勧めします)。

ドメインコントローラーに2つ以上のIPが(同じまたは他のネットワークカード上に)構成されていて、追加のネットワークがDNSで構成されていない場合も、もう1つの原因が考えられます。

行動の再現
テストドメインコントローラ(単一DC!)で、デフォルトゲートウェイエントリを削除し、DNS Serverdelayed startに設定しました。これを行うと、ドメインがロードされるまでに時間がかかり、ネットワークはpublicとして分類されました。ネットワークケーブルを取り外して再接続した後、ネットワークはdomain networkとして正しく分類されました。

編集

Daniel Fisher lennybaconJoshua Hanleyのコメントに感謝します。

NlaSvcの依存関係をDNSおよびNTDSに追加する方法

cMDからsc config nlasvc depend=NSI/RpcSs/TcpIp/Dhcp/Eventlog/DNS/NTDSを実行します(PowerShellで実行している場合はsc.exeを使用します)。 DNSとNTDSを追加する前に既存の依存関係を再確認する場合は、sc qc nlasvcを使用します

54
marsh-wiggle

2008 R2 ADサーバーで同様の動作が見られます。 NIC使用されていなくても有効になっています。未使用のNICを無効にして再起動すると、問題は解消しました。

ここで直面している正確なウィンドウ機能はNLA(Network Location Awareness)と呼ばれます。私はそれについて専門家であると主張するには十分な知識がありませんが、すべてがどのように機能するか、または機能するはずであるかについて、intertubesに興味深い情報があることを知っています。

1
John Homer

私の場合、サーバーはDMZであり、多くのファイアウォールルールがサーバーをドメインコントローラーと通信することをブロックしています。この場合、ファイアウォール(ハードウェアFW)を開いてサーバーが通信できるようにする必要があります。 。また、テストを実行するには、ファイアウォールルールによってクライアントとサーバー間の通信が許可されているネットワークにサーバーを接続します。

0
Kabul