locked
Autenticação de usuários em DC's fora do domínio principal RRS feed

  • Pergunta

  • Utilizamos Windows Server 2012 R2 para gerenciamento dos DC’s do nosso domínio.

    Nossos sites são segmentados por rede:

    ex.         Sede 10.1.*.*

    Fortaleza 10.81.*.*

    Curitiba 10.41.*.* e assim por diante.

    O problema são as estações de trabalho que estão no site Sede com rede 10.1.x.x estarem fazendo consulta LDAP para validação dos usuários/senhas em outros DC's que não o da SEDE, por exemplo Fortaleza e Curitiba, trafegando pela rede WAN e causando lentidão extrema nas resoluções, além do trafego excessivo e desnecessário sobre os links WAN. Este trafego cruzado indevido ocorre das estações localizadas sobre outros sites também, não apenas da sede. 

    Validamos as configurações das subnets nos Sites and Services e não encontramos erros de configuração. 

    Toda documentação relacionada ao problema remete a configuração do “sites and services” e não encontramos o que pode estar gerando este trafego indevido.

     Exemplo de configuração;

    AD Ed. SEDE: 10.1.1.1

    Estação de trabalho IP 10.1.40.10 - 255.255.0.0 - DNS 10.1.1.1

    Ao realizar logon em um servidor do domínio ex. 10.1.1.145 o usuário está sendo direcionado para fazer o kerberos (TCP-88) no DC com IP 10.81.1.1 que também é global catalog.

    Obs.:     Todos os DC’s do domínio são Global Catalog;

                 A réplica entre os DC’s está configurada via sites and services;

    Alguma ideia do que pode estar causando esta autenticação em DC's que não seja o do site principal da estação??


    Fábio Souza

    quinta-feira, 22 de fevereiro de 2018 11:49

Respostas

  • Fábio, você disse link WAN, então imagino que vocês possuem uma VPN Site to Site, certo?

    O que está usando pra fechar esse tunel? Tem algum NAT envolvido nessa topologia, em algum momento?

    Os problemas que já vi parecidos com esse (considerando que está tudo 100% correto com as Subnets em Sites and Services) era relacionados a topologia de rede (NAT mais precisamente). Achei alguns links com alguns relatos/troubleshooting - se quiser, compartilho aqui.


    Gustavo Valle | http://grvalle.com
    LinkedInWordPressTwitter

    quinta-feira, 22 de fevereiro de 2018 18:21
    Moderador