none
Проблема с RODC RRS feed

 > 

  • Вопрос

  • Question
    Нужно войти
    0
    Нужно войти
    Коллеги, добрый день.
    Есть задача дать доступ подрядчикам на машину в DMZ, но чтобы они заходили под доменными учётками. Из DMZ есть доступ только до RODC контроллера.
    Я выполнил все предварительные настройки сервера по правилам для RODC, ввёл в домен. Собственно с этого момента начинаются проблемы:
    - Долгая загрузка машины, ещё более долгий вход пользователя. Сначала user profile service, потом applying user settings. Вход юзера минут 10 занимает.
    - в локальной группе админов появился юзер, который выглядит как SID. Вот как бывает, когда нет связи с доменом или учётка уже удалена и SID не сопоставляется с именем.
    - Я могу зайти на машину с учёткой доменного админа и буду админом. Могу обычной юзерской и буду просто юзером. Зайти могу даже по RDP. Но в локальных группах нигде не вижу ни domain admins, ни domain users, ни отдельно учётки, под которыми захожу.
    - Если пробую добавить в локальные группу кого-нибудь из домена, то мне доступен поиск, я могу найти любую учётку, но на моменте добавления в группу появляется ошибка "RPC server is unavailable"
    - GPO не применяются. Я так понимаю как раз из-за этого долго входит юзер

    Пробовал разные тесты:
    - nltest работает, кроме команды /dclist:. Тут выдает ошибку Сannot DsBind to.Status = 1722 0x6ba RPC_S_SERVER_UNAVAILABLE I_NetGetDCList failed: Status = 87 0x57 ERROR_INVALID_PARAMETER
    - Test-ComputerSecureChannel показывает False

    Порты открыли все, которые указаны в документациях и статьях. Возможно даже больше, чем нужно. Все telnet проверки по разным портам от сервера к RODC проходят.
    В логах ничего подходящего не увидел.

    Подскажите, пожалуйста, что может быть не так? Что ещё можно проверить?
    24 ноября 2022 г. 13:02
    |

Ответы

  • Question
    Нужно войти
    0
    Нужно войти

    В итоге получилось добиться того, чего хотелось. Было 3 важных изменения, скорее всего сработало всё вместе:

    1) На RODC была доставлена роль DNS и настроена репликация. Ранее она не требовалась, поэтому не сразу подумал её надо проверить.
    2) Поменял на клиенте DNS серверы с корневых доменных на адрес RODC. Ранее так не делал, так как явных проблем с резолвом имён не было.
    3) Между сервером и RODC были убраны все сетевые ограничения. Из тех портов, которые точно не были открыты раньше, были 123 и 139. Возможно было бы достаточно только их. Этот пункт буду прорабатывать через закрытие лишнего в windows firewall.

    • Помечено в качестве ответа Валера2 1 декабря 2022 г. 5:11
    29 ноября 2022 г. 14:04
    |

Все ответы

  • Question
    Нужно войти
    0
    Нужно войти
    RODC и подсеть DMZ в одном сайте?
    24 ноября 2022 г. 13:35
    |
  • Question
    Нужно войти
    0
    Нужно войти
    Да, я их выделил в отдельный сайт. И RODC и подсеть с сервером. 

    Включил на сервере netlogon, вот часть лога - https://pastebin.com/XwFkZtD0
    Есть ощущение что самые важные строки вот эти:
    11/24 19:33:51 [CRITICAL] [5916] NetpDcMatchResponse: DPC-RODC-PORTAL: domain.com.: Responder is not a writable server. 0x3e8fc
11/24 19:33:53 [MISC] [568] DsGetDcName function called: client PID=732, Dom:domain Acct:(null) Flags: FORCE DS WRITABLE NETBIOS RET_DNS 
11/24 19:34:05 [CRITICAL] [1068]      Unicode string: \\DPC-RODC-PORTAL.domain.com\PIPE\NETLOGON
11/24 19:34:05 [CRITICAL] [1068] domain: NlSessionSetup: Session setup: cannot I_NetServerReqChallenge 0xc0000022

    Ещё если заходить на сервер и вводить echo %logonserver%, то показывает КД из основного сайта. Выглядит это так, как-будто сервер при входе почему-то начинает обращаться к обычному контроллеру, хотя все остальные запросы, внутри сеанса точно, идут на RODC, как и должны.
    24 ноября 2022 г. 18:28
    |
  • Question
    Нужно войти
    0
    Нужно войти

    Похоже что наша схема изначально нерабочая. DMZ должна быть чистой DMZ без КД вообще. И работа сервера только с RODC невозможна, иногда нужно будет обращаться к RWDC. 

    https://learn.microsoft.com/ru-ru/previous-versions/windows/it-pro/windows-server-2008-r2-and-2008/cc754218(v=ws.10)

    И просто про поиск КД
    https://learn.microsoft.com/en-us/troubleshoot/windows-server/identity/how-domain-controllers-are-located

    25 ноября 2022 г. 9:08
    |
  • Question
    Нужно войти
    0
    Нужно войти

    В итоге получилось добиться того, чего хотелось. Было 3 важных изменения, скорее всего сработало всё вместе:

    1) На RODC была доставлена роль DNS и настроена репликация. Ранее она не требовалась, поэтому не сразу подумал её надо проверить.
    2) Поменял на клиенте DNS серверы с корневых доменных на адрес RODC. Ранее так не делал, так как явных проблем с резолвом имён не было.
    3) Между сервером и RODC были убраны все сетевые ограничения. Из тех портов, которые точно не были открыты раньше, были 123 и 139. Возможно было бы достаточно только их. Этот пункт буду прорабатывать через закрытие лишнего в windows firewall.

    • Помечено в качестве ответа Валера2 1 декабря 2022 г. 5:11
    29 ноября 2022 г. 14:04
    |