コロケーションでのWindowsNLAの問題(サイト間VPN):複数のマシンがネットワークを認識できず、ドメインが「認証されていません」
私たちの本社はここアメリカにあります。 DC、Exchange、SQLなどを備えた控えめなデータセンターをホストしています(すべてのWindowsショップはここにあります)。 2番目に大きなオフィスはロンドンにあり、サイト間VPN(2つのCisco ASA)を介して接続されています。最近、次のようなヘルプデスクチケットが殺到しています。
"再起動しましたが、企業の有線(および/または企業のワイヤレス)ネットワークに接続できません。私canただし、ゲストWi-Fiを使用してください。 "
マシンにリモート接続すると、「OurDomain.local(認証されていない)」または「BT-Hub5」などとして識別されるLAN接続が表示されます。これを広範囲にトラブルシューティングすると、NLA(ネットワークロケーション認識)の問題であるため、症状の修正が見つかりました。
- 1a。ドメインの結合を解除して再結合し、再起動します。これは、2つの接続(有線/無線)のいずれかがまだドメインで機能している場合です。
1b。 または有線または無線のどちらもドメインで機能していない場合は、ソフトウェアクライアントVPN(Cisco AnyConnect)に接続し、ドメイン管理者の資格情報を使用してPowerShellを実行します:Reset-ComputerMachinePassword -Server OurDC1次に再起動します。- NICドライバーを完全にアンインストールして再インストールします。
- 次の2つのCMDを実行します:
netsh reset winsock&&netsh int IP reset次に再起動します。 - RegEdit.exe->
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Profiles\->すべての障害のある/重複するネットワークプロファイルを見つけて削除し、再起動します。 - (オプションの手順?)有線NICと無線NICの両方でIPv6を無効にします。私たちのDCはIPv6を使用していません(ITディレクターに感謝します-私を始めないでください)。
だから、私の質問は:これを引き起こしているネットワークの問題は何でしょうか?どうすればそれを特定して修正できますか?
DCはすべてWindowsServer 2012R2です。クライアントは、Win7とWin10、すべてのデルのラップトップ(重要な場合)を組み合わせたものです。
編集:ルージュDHCPサーバーこれを引き起こす可能性がありますか?および/またはダブルNAT'ing?
これはほぼ間違いなく、マシンがネットワークの場所を一貫して判別できないために発生しているため、環境に応じて、異なるWindowsファイアウォールプロファイルと、場合によっては異なるVPN設定が適用されます。
これは、ネットワークの問題というよりもアーキテクチャの問題です。 Active DirectoryやNLAなどの関連サービスが、2つはもちろん、1つのNATの背後でも機能することを期待するべきではありません。
Network Location Awarenessは、最後に接続されたドメインコントローラーへの接続をチェックすることによって最初のチェックを行います。グループポリシーを使用して、DNS名を解決する機能、または企業LANからのみアクセス可能なHTTPエンドポイントに接続する機能を介して場所を特定することで、一部のNLAチェックを上書きできますが、根本原因への対処-マシンはドメインコントローラーに接続できないため、企業ネットワーク内にあるかのように機能しません。
あなたがする必要があるのはあなたのアーキテクチャを見ることです-なぜリモートサイトに読み取り専用のドメインコントローラーを持っていないのですか?これは、リモートクライアントが実際に企業ネットワークに接続されていることを確認するための安全な方法です。