none
Windows Server 2008 R2域控,在打了windows补丁后,客户端无法加域 RRS feed

  • 问题

  • 我有3台域控,DC01, DC02, DC03.

    DC01,DC03属于windows 2008 R2企业版, DC02, Windows 2008 R2标准版。

    DC01, DC02位于一个多VLAN的站点。

    DC03, 位于一个单VLAN的站点。

    在7月21日时, 在DC02上安装了windows 2008 r2的所有补丁,大概99个,补丁安装完后DC02重启,并未发现问题。

    7月27日,在DC03上安装了windows 2008 r2的所有补丁,补丁安装完后DC03重启,并未发现问题。

    7月28日, 在DC01安装所有补丁,补丁安装完后,重启,发现客户端无法加域。

    经测试,发现,与服务器不在同一个VLAN的客户端无法加域,如果客户端与服务器在同一VLAN, 可以加域。

    此时,断开DC02, 进行相同测试,获得相同结果。

    此时,断开DC01, 进行形同测试,也获得相同结果。

    经过抓取数据包测试,发现。

    在同一网段时,客户端发起的请求数据包,域控有回应,客户端可以加域。

    而在不同网段时,客户端发起请求,域控并没回应,故无法加域。

    测试方法: 关闭DC01, 只保留DC02工作,希望在DC02上获取数据包。

    请看下图, 这个数据包是在客户端抓取。

    L平台648是客户端,tstdcser02是DC02. 有一个请求包发现DC02后,没有回复,接着又发送了3个请求数据包给169IP。

    这时没有回应 。 此时DC02IP 172.30.12.13/24, LPT648 172.30.6.61/24. 

    再看下图,这个数据包是在DC02上抓取,是在172.30.6.0/24加域时,获取的数据包。

    此时可以看到,DC02没有回复数据包给客户端。

    下面是客户端在172.30.12.0/24 与DC02同一网段,获取的数据包。

    在这个数据包中,可以看到DC02回复了客户端的请求。

    之后开启DC01, 将DC01在7月28日所安装的补丁包卸载70多个补丁后,此时, 位于172.30.6.0/24的客户端可以加域。

    问:

    基于以上排查,

    1.想知道是哪个补丁引起该问题,我们可以不安装此补丁。

    2. 为何这个补丁安装好后,会引起DC没有回应?

    谢谢

    • 已编辑 John Jiao 2017年7月31日 2:31 造成客户端无法加域
    2017年7月31日 2:23

全部回复

  • 你好,

    请问DC1是否是PDC角色,DNS服务器?

    据我所知,一些补丁更新完之后可能会引起DNS服务的关闭。

    在同一网段的机器,还可以根据netbios来解析。

    你可以检查Event view,看看记录了有哪些时候DNS发生错误了,再根据时间来确认那个可能引起问题的补丁。

    Best Regards,

    Frank


    Please remember to mark the replies as answers if they help and unmark them if they provide no help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2017年7月31日 8:20
    版主
  • DNS错误的问题排除,先开始发现DNS有问题,DNS的问题直接导致了exchange无法使用,后来解决了DNS问题。

    DC01,DC02都是DNS服务器角色。

    如果DNS有问题,我想wireshark是不会抓到win7丢向DC02的数据包的。

    2017年7月31日 8:44
  • DC01上5大角色都有。
    2017年7月31日 8:45
  • 我觉得最主要的问题是,为什么打了补丁后, DC02会不回馈来自不同网段的数据包,我打开了数据包看了下,与可以加域的数据包做了对比,差别就在源IP。

    像是DC对比了源IP, 然后做出判断,不给于回复。

    2017年8月1日 2:05
  • 大神帮帮忙啊
    2017年8月2日 5:47