web-dev-qa-db-ja.com

Win7ワークステーションをWin2k8ドメインに参加できません

Windows 7UltimateマシンをWindows2k8ドメインに接続しようとしていますが、機能しません。このエラーが発生します:

注:この情報は、ネットワーク管理者を対象としています。ネットワークの管理者でない場合は、ファイルC:\ Windows\debug\dcdiag.txtに記録されているこの情報を受け取ったことを管理者に通知してください。

DNSは、ドメイン「example.local」のドメインコントローラーを見つけるために使用されるサービスロケーション(SRV)リソースレコードを正常に照会されました。

クエリは、_ldap._tcp.dc._msdcs.example.localのSRVレコードに対するものでした。

次のドメインコントローラーがクエリによって識別されました。
dc1.example.local
dc2.example.local

ただし、ドメインコントローラーに接続できませんでした。

このエラーの一般的な原因は次のとおりです。

  • ドメインコントローラーの名前をIPアドレスにマップするホスト(A)または(AAAA)レコードが欠落しているか、誤ったアドレスが含まれています。

  • DNSに登録されているドメインコントローラーがネットワークに接続されていないか、実行されていません。

クライアントは、MPLSを介してドメインコントローラーが存在するデータセンターにリモート接続されているオフィスにいます。 DCへの接続をブロックするものは何もないようですが、MPLS回線を完全に制御することはできないため、接続をブロックするものがある可能性があります。

1つのオフィスで複数のクライアント(Win7UltimateとWinXPSP3)を試しましたが、すべてのクライアントで同じ症状が発生しました。

確かに、すべての可能なポートを試したわけではありませんが、どちらのドメインコントローラーにも問題なく接続できます。 ICMP、LDAP、DNS、およびSMB接続はすべて正常に機能します。

クライアントDNSはDCを指しており、「example.local」はDCの2つのIPアドレスに解決されます。

NetLogonTestコマンドラインユーティリティから次の出力を取得します。

C:\Windows\System32>nltest /dsgetdc:example.local
Getting DC name failed: Status = 1355 0x54b ERROR_NO_SUCH_DOMAIN

また、MPLSではなくLAN-to-LANVPN経由でDCネットワークに接続されているオフィスの構成をエミュレートする別のネットワークを作成しました。そのリモートネットワークからWindows7コンピューターに参加することは問題なく機能します。

2つの環境の間で私が見つけることができる唯一の違いは、中間の接続性ですが、何をテストするか、またはそれをどのように行うかについては考えがありません。さらにどのような手順を実行する必要がありますか?

(これは実際には私のクライアントワークステーションではなく、直接アクセスできないことに注意してください。リモートハンドアクセスを強制されるため、パケットスニッフィングなどの明らかなトラブルシューティング方法のいくつかがより困難になります。そこにリモートで接続できるシステムをセットアップすることもできますが、そのための要求には答えられませんでした。)

2011-08-25更新:
ドメインに参加しようとしているクライアントでDCDIAG.EXEを実行しました:

C:\Windows\System32>dcdiag /u:example\adminuser /p:********* /s:dc2.example.local

Directory Server Diagnosis

Performing initial setup:
   Ldap search capabality attribute search failed on server
   dc2.example.local, return value = 81

これはLDAP経由で接続できたように聞こえますが、実行しようとしていたことは失敗しました。しかし、私はそれがやろうとしていたこと、ましてやそれを再現したり解決したりする方法に完全には従いません。

2011-08-26更新:
LDP.EXEを使用してDCに直接LDAP接続を確立しようとすると、次のエラーが発生します。

ld = ldap_open( "10.0.0.1"、389);
エラー<0x51>:10.0.0.1への接続に失敗しました。
ld = ldap_open( "10.0.0.2"、389);
エラー<0x51>:10.0.0.2への接続に失敗しました。
ld = ldap_open( "10.0.0.1"、3268);
エラー<0x51>:10.0.0.1への接続に失敗しました。
ld = ldap_open( "10.0.0.2"、3268);
エラー<0x51>:10.0.0.2への接続に失敗しました。

これは、どこかでブロックされているLDAP接続を指さしているように見えます。 (そして、0x51 == 81、これは昨日の更新からのDCDIAG.EXEからのエラーでした。)数週間前にTELNET.EXEを使用してこれをテストしたことを誓うことができましたが、今は画面をクリアすると、接続されたのではなく、待機していることがわかりました。

現在、LDAP接続の問題を追跡しています。このアップデートが答えになるかもしれません。

8
wfaulk

それが発生している場所を見つけるのに永遠に時間がかかりましたが、LDAP(およびその他の)トラフィックをブロックするフィルターがVPN内にあったことが判明しました。私はそれらのフィルターをクリアしました、そして今それは働いています。

2
wfaulk

Win7マシンとドメインコントローラーの間にファイアウォールが存在する可能性があります。

nmap にアクセスできる場合:

nmap -PN -p389 dc1.example.local dc2.example.local

更新:

nltest /dsgetdc:example.local

nslookup -q=srv _ldap._tcp.dc._msdcs.example.local  
nslookup -q=a $prefered_Host  
ldapsearch -h $IPaddress_of_A_record -x -b "" -s base (&(DNSDomain=example.local)(Host=$localmachineshostname)(NtVer=\\\\16\\\\00\\\\00\\\\00)) netlogon

NtVerは、V5(バージョン5ネットログオン)、V5EX(バージョン5拡張ログオン)、VCS(最も近いDC)を要求しています。 Win7Entから取得。

(LDAP hexはtrixyです。)

2
84104

Win7がDNSをDCに向けていないように聞こえますか?おそらくDHCPはDNSをインターネットプロバイダーのDNSに向けているのでしょうか?

1
Alan

DNSに関する限り、すべてを試し、テストしたようですが、DC/DNSサーバーのAレコードが存在し、正しいことを確認しましたか? nslookupを実行して、両方のサーバーのAレコードの存在について両方のサーバーをテストするとどうなりますか?エラーメッセージで返されたDCは、実際にはドメインの正しいDC/DNSサーバーですか?

0
joeqwerty

リモートオフィスのクライアントがIPv6のみを実行していて、DCのSRVレコードを検出しているのに、DNSがAAAA(IPV6)レコードで構成されていない可能性はありますか?

0
Stephen Short