none
Доступ к DFS по сети VPN RRS feed

  • Вопрос

  • Всех приветствию.

    Сразу обрисую проблему. Есть сеть VPN, есть локальная сеть в которой поднят сервер DFS. Пользователи локальной сети без труда заходят в корень DFS и спокойно работают с удалёнными папками. Но пользователи VPN не могут в неё зайти, им просто выдаёт ошибку "WINDOWS не может получить доступ к \\DC.test\DFS_shara. Проверьте правильность написания данного имени...". Если заходить не через корень домена, а просто через имя сервера DFS в сети, выдаёт тоже самое. Если расшарить папку не через DFS, а обычным способом, всё заходит, но как только я делая из этой папки корень DFS, сразу что-то блокирует подключение.

    Подытоживая, через локалку заходит, через VPN не заходит. Прошу помощи, уже дня 3 страдаю.

    29 ноября 2018 г. 15:11

Ответы

  • Проблема может быть в том, что DFS возвращает короткие имена серверов в ссылках на целевые общие папки. Если вы не предпринимали специальных мер по настройке DFS (см. ниже), то оно, скорее всего, так и будет.

    Для диагностики установите на любой клиент RSAT (или на сервере добавьте компонент средств управления DFS) и проверьте, в каком виде возвращаются ссылки, с помощью комнды dfsutil /pktinfo

    Если имена серверов в ссылках - короткие, то вам придется обеспечить их разрешение для клиентов за VPN (вариантов много: зона GlobalNames на сервере DNS, настройка суфиксов DNS для поиска на клиенте, WINS или файл lmhosts...).

    Либо предпримите те самые специальные меры: https://support.microsoft.com/en-us/help/244380/how-to-configure-dfs-to-use-fully-qualified-domain-names-in-referrals Учтите только, что они потребуют пересоздания дерева ссылок DFS (впрочем, в статье изложен способ избежать делания этого вручную).


    Слава России!


    29 ноября 2018 г. 21:28
  • Добрый день. Прошу прощения за долгое отсутствие, хотел предварительно проверить все возможные предложенные ответы.

    В настройках DFS прописался путь \\WINSERVER1_DFSS\DFS_shara, когда по факту путь был \\WINSERVER1_DFSSERVER\DFS_shara. Из-за того что имя машины в сети может содержать только 15 символов, оно обрезалось.

    Проблему решило добавление новой записи в DNS с именем WINSERVER1_DFSS и соответствующим адресом.


    • Изменено hjyb 10 декабря 2018 г. 10:45
    • Помечено в качестве ответа hjyb 10 декабря 2018 г. 10:45
    10 декабря 2018 г. 10:26

Все ответы

  • Добрый день!

    Где следует искать:

    1. Открыть нужные порты: SMB, LDAP, DNS (возможно, что-то еще , погуглите)

    2. Дать доступ на: DC, DFS Server

    Как минимум проверьте доступность DC и DFS Server'а с "той" стороны тоннеля

    29 ноября 2018 г. 15:55
  • Сто процентов лочатся порты, на чем у вас построен ваш фаэрвол в сети?
    29 ноября 2018 г. 16:47
  • Проблема может быть в том, что DFS возвращает короткие имена серверов в ссылках на целевые общие папки. Если вы не предпринимали специальных мер по настройке DFS (см. ниже), то оно, скорее всего, так и будет.

    Для диагностики установите на любой клиент RSAT (или на сервере добавьте компонент средств управления DFS) и проверьте, в каком виде возвращаются ссылки, с помощью комнды dfsutil /pktinfo

    Если имена серверов в ссылках - короткие, то вам придется обеспечить их разрешение для клиентов за VPN (вариантов много: зона GlobalNames на сервере DNS, настройка суфиксов DNS для поиска на клиенте, WINS или файл lmhosts...).

    Либо предпримите те самые специальные меры: https://support.microsoft.com/en-us/help/244380/how-to-configure-dfs-to-use-fully-qualified-domain-names-in-referrals Учтите только, что они потребуют пересоздания дерева ссылок DFS (впрочем, в статье изложен способ избежать делания этого вручную).


    Слава России!


    29 ноября 2018 г. 21:28
  • Ещё бы проверил - а собственно какой DNS сервер primary используется при подключении VPN? Все ли доменные имена успешно резолвятся?
    30 ноября 2018 г. 6:04
  • Добрый день. Прошу прощения за долгое отсутствие, хотел предварительно проверить все возможные предложенные ответы.

    В настройках DFS прописался путь \\WINSERVER1_DFSS\DFS_shara, когда по факту путь был \\WINSERVER1_DFSSERVER\DFS_shara. Из-за того что имя машины в сети может содержать только 15 символов, оно обрезалось.

    Проблему решило добавление новой записи в DNS с именем WINSERVER1_DFSS и соответствующим адресом.


    • Изменено hjyb 10 декабря 2018 г. 10:45
    • Помечено в качестве ответа hjyb 10 декабря 2018 г. 10:45
    10 декабря 2018 г. 10:26