私たちの本社はここアメリカにあります。 DC、Exchange、SQLなどを備えた控えめなデータセンターをホストしています(すべてのWindowsショップはここにあります)。 2番目に大きなオフィスはロンドンにあり、サイト間VPN(2つのCisco ASA)を介して接続されています。最近、次のようなヘルプデスクチケットが殺到しています。
"再起動しましたが、企業の有線(および/または企業のワイヤレス)ネットワークに接続できません。私canただし、ゲストWi-Fiを使用してください。 "
マシンにリモート接続すると、「OurDomain.local(認証されていない)」または「BT-Hub5」などとして識別されるLAN接続が表示されます。これを広範囲にトラブルシューティングすると、NLA(ネットワークロケーション認識)の問題であるため、症状の修正が見つかりました。
Reset-ComputerMachinePassword -Server OurDC1
次に再起動します。netsh reset winsock
&& netsh int IP reset
次に再起動します。HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Profiles\
->すべての障害のある/重複するネットワークプロファイルを見つけて削除し、再起動します。だから、私の質問は:これを引き起こしているネットワークの問題は何でしょうか?どうすればそれを特定して修正できますか?
DCはすべてWindowsServer 2012R2です。クライアントは、Win7とWin10、すべてのデルのラップトップ(重要な場合)を組み合わせたものです。
編集:ルージュDHCPサーバーこれを引き起こす可能性がありますか?および/またはダブルNAT'ing?
これはほぼ間違いなく、マシンがネットワークの場所を一貫して判別できないために発生しているため、環境に応じて、異なるWindowsファイアウォールプロファイルと、場合によっては異なるVPN設定が適用されます。
これは、ネットワークの問題というよりもアーキテクチャの問題です。 Active DirectoryやNLAなどの関連サービスが、2つはもちろん、1つのNATの背後でも機能することを期待するべきではありません。
Network Location Awarenessは、最後に接続されたドメインコントローラーへの接続をチェックすることによって最初のチェックを行います。グループポリシーを使用して、DNS名を解決する機能、または企業LANからのみアクセス可能なHTTPエンドポイントに接続する機能を介して場所を特定することで、一部のNLAチェックを上書きできますが、根本原因への対処-マシンはドメインコントローラーに接続できないため、企業ネットワーク内にあるかのように機能しません。
あなたがする必要があるのはあなたのアーキテクチャを見ることです-なぜリモートサイトに読み取り専用のドメインコントローラーを持っていないのですか?これは、リモートクライアントが実際に企業ネットワークに接続されていることを確認するための安全な方法です。