none
win 2000 ser 跨网段客户端无法到域 RRS feed

  • 问题

  • 网络现状描述:
    1.两台服务器,一台为主域控制服务器(DC),IP为192.168.1.2,一台为备用服务器,IP为192.168.1.3;
    2.客户端为vlan 10,IP地址段为:192.168.10.X/24,网关为(VRRP虚拟网关):192.168.10.254,都为手动设置。通过H3C 3600连接到核心H3C 7506E。
    3.H3C 7506E上有做ACL,配置如下:
        acl number 3000
     rule 0 deny ip source 192.168.4.0 0.0.0.255 destination 192.168.5.0 0.0.0.255
     rule 1 deny ip source 192.168.5.0 0.0.0.255 destination 192.168.4.0 0.0.0.255
     rule 2 deny ip source 192.168.5.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
     rule 3 deny ip source 192.168.5.0 0.0.0.255 destination 192.168.10.0 0.0.0.255
     rule 4 deny ip source 192.168.4.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
     rule 5 deny ip source 192.168.4.0 0.0.0.255 destination 192.168.10.0 0.0.0.255
    故障描述:
    1.网络改造前,所有设备的IP都为192.168.1.X/24网段,客户端IP设置为:
    IP :192.168.1.X
    掩码:255.255.255.0
    网关:192.168.1.120
    DNS:192.168.1.2
           202.96.134.133
    192.168.1.120为防火墙TRUST接口地址。
    所有用户都可以正常登录到域,其他应用也正常。
    2.网络改造后,所有服务器的IP为192.168.1.X/24网段,DC的IP地址也没有改变。客户端IP都改为192.168.10.X/24,客户端IP设置为:
       IP :192.168.10.X
    掩码:255.255.255.0
    网关:192.168.10.254
    DNS:192.168.1.2
            202.96.134.133
    192.168.10.254为交换机的三层IP。
    所有客户端同属VLAN10,可以相互访问,服务器同属VLAN1,服务器之间也可以互访,所有客户端通过交换机三层路由可以正常访问到服务器,也可以正常访问到公务网。
    3.有部分客户端更改IP后,出现无法登录到域的现象,在输入域用户名、密码后,提示:“系统现在无法让您登录,因为域SWT不可用”,用其它的域用户(可以在其它的客户端上正常登录的帐户)登录,也是出现一样的错误;用本地用户名登录后,PING 域控是可以通的,PING DNS服务器也是通的,且可以正常解析。把该客户端脱域,然后再加域,可以正常加域成功,重启客户端再登录,依旧提示:“系统现在无法让您登录,因为域SWT不可用”。重装操作系统后,再加域,还是一样。重启DC,DNS服务后,故障依旧。
    4.用一台笔记本(之前没有在域中)测试,在192.168.10.X加域,还是会出现同样的故障,但是在192.168.1.X/24段中加域,则可以正常登录。

    现在整个网络的域环境基本摊了,请各位大侠们看看到底该怎么做,小弟不甚感激!!!

    2009年3月21日 8:49

答案

  • 客户机登录域 要查询DNS,要连接DC的许多端口,都要畅通。

    DNS 服务器使用 TCP 和 UDP 53,
    DC 要使用 TCP 123 时间服务,389 LDAP, 88 kerberos, 3268 GC 等等。sorry,手边没机器记不住这么多。
    看看这里吧,另一位版主的blog: http://gnaw0725.blogbus.com/logs/14501076.html


    客户端测试一下 ping 域名 例如: test.com

    nslookup  /  set type=SRV /  DC.test.com  之类来检查客户机能正常解析这些记录,并保证客户机和DC之间这些端口畅通。 
    FrankGuan
    2009年3月30日 15:32
    版主

全部回复

  • 客户机登录域 要查询DNS,要连接DC的许多端口,都要畅通。

    DNS 服务器使用 TCP 和 UDP 53,
    DC 要使用 TCP 123 时间服务,389 LDAP, 88 kerberos, 3268 GC 等等。sorry,手边没机器记不住这么多。
    看看这里吧,另一位版主的blog: http://gnaw0725.blogbus.com/logs/14501076.html


    客户端测试一下 ping 域名 例如: test.com

    nslookup  /  set type=SRV /  DC.test.com  之类来检查客户机能正常解析这些记录,并保证客户机和DC之间这些端口畅通。 
    FrankGuan
    2009年3月30日 15:32
    版主
  • 有更新信息吗?
    FrankGuan
    2009年4月7日 12:03
    版主