Pregunta Controlador de dominio piensa que está en una red pública


Tenemos un servidor 2008 R2 Primario Controlador de dominio que parece tener amnesia cuando se trata de averiguar en qué tipo de red se encuentra. La (única) conexión de red se identifica en el inicio como una 'Red pública'.

Sin embargo, si desactivo y luego vuelvo a habilitar la conexión, se da cuenta de que en realidad es parte de una red de dominio.

¿Esto se debe a que los Servicios de dominio de AD no se inician cuando la ubicación de la red se trabajó inicialmente?

Este problema causa algunos dolores de cabeza con las Reglas de Firewall de Windows (que estoy más que consciente de que se pueden resolver de otras maneras), por lo que, en general, siento curiosidad por ver si alguien sabe por qué sucede esto.


28
2018-02-21 20:30


origen


Por favor, repita conmigo: "no hay un controlador de dominio primario, y nunca ha habido desde Windows 2000". - Massimo
Mis sinceras disculpas. Desarrollador web que tiene que cuidar una red de Windows! - Matt Renner
Solo para agregar información adicional para este problema frustrante: blogs.technet.com/b/networking/archive/2010/09/08/… y hay un hotfix para Windows 7 y 2008 R2 support.microsoft.com/en-us/kb/2524478 - Lee Thompson
¿Cuántos controladores de dominio tienes? Cuando hacemos tareas de mantenimiento, a veces los técnicos reinician ambos controladores de dominio al mismo tiempo. lo cual no es muy inteligente (aunque es la mitad de la noche) cuando puedes escalonar los reinicios para mantener todos los servicios en funcionamiento. - Brian D.


Respuestas:


¿Tiene una puerta de enlace predeterminada en esa conexión? ¿Responde a las solicitudes de ping?

Windows usa puertas de enlace para identificar redes; si no tiene una puerta de enlace configurada, o si no puede hacer un ping exitosamente, no podrá identificar la red a la que está conectada y asumirá que es pública.


16
2018-02-21 20:34



Nosotros lo hacemos: la puerta de enlace también es una máquina Server 2008 R2 que ejecuta Forefront Threat Management Gateway, a la que el DC puede hacer ping. - Matt Renner
¿Tiene su DC más de una NIC instalada y en uso? - John Homer
No, sólo el uno. - Matt Renner
Lo tengo, sin querer, IPv6 estaba encendido, por lo que debe haber estado tratando de encontrar la puerta de enlace a través de v6. Apagado y funciona bien. - Matt Renner


Si la red de un controlador de dominio se clasifica como red de dominio No depende de la configuración de la puerta de enlace.

El comportamiento de una clasificación de red falsa puede ser causada por NLA servicio (reconocimiento de ubicación de red) starts before the domain is available. En este caso, la red pública o privada se elige y no se corrige posteriormente.

Cómo comprobar si se da esta situación de fallo.
Cuando el controlador de dominio después de reiniciar está en la red pública, reinicie el servicio NLA o desconecte / vuelva a conectar la red. El controlador de dominio debe estar en la red de dominio después.

Cómo resolverlo
Puede ayudar a configurar el servicio NLA en inicio retrasado. Mejor, comprueba por qué el dominio necesita mucho tiempo para estar presente. Parece que el dominio necesita más tiempo para comenzar cuando hay varias tarjetas de red.

Cuando no ayuda
Cuando no se acelera la carga del dominio ni la demora de la ayuda de NLA y el error se debe a la larga carga del dominio (aspecto: "cómo verificar ..."), entonces hay algunas cosas más que se pueden hacer. .

  • Escriba un script para reiniciarlo y ejecútelo con el programador (peligroso)
  • Desplazar la carga del servicio NLA al inicio del servicio, cambiando el orden de carga en el registro (peligroso)

    La siguiente entrada del Registro establece las dependencias en NSI RpcSs TcpIp Dhcp Eventlog NTDS DNS:

    REGEDIT4
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NlaSvc]
    "DependOnService"=hex(7):4e,53,49,00,52,70,63,53,73,00,54,63,70,49,70,00,44,68,\
    63,70,00,45,76,65,6e,74,6c,6f,67,00,4e,54,44,53,00,44,4e,53,00,00
    
  • Ejecute "IPCONFIG / RENEW" desde el programador al inicio con un retraso de 1 o 2 minutos (mejor que iniciar el servicio NLA)

  • Reinicie el servicio NLA manualmente después de cada reinicio (pero se debe preferir "IPCONFIG / RENEW").

Una causa más también puede ser cuando el controlador de dominio tiene dos o más IP configuradas (en la misma tarjeta de red o en otras) y las redes adicionales no están configuradas en el DNS.

Reproducción del comportamiento.
En un controlador de dominio de prueba (solo DC), eliminé la entrada de la puerta de enlace predeterminada y configuré DNS Servera delayed start. Haciendo esto, el dominio necesitó mucho tiempo para cargarse y la red se clasificó como public. Después de desconectar y volver a conectar el cable de red, la red se clasificó correctamente como domain network.


41
2017-11-26 11:07



Esta es la respuesta a nuestra situación en la que un controlador de dominio secundario / de respaldo en Azure (conectado a través de VPN a DC local), se atascó de forma constante en la ubicación de la red privada y, después de reiniciar NLA, se resolvió correctamente en la red de dominio. He hecho el cambio para retrasar el inicio y resolvió nuestro problema. - Jaans
Esto funcionó para mí! Tenía este problema durante meses y finalmente decidió resolverlo. - notbad.jpeg
aquí MS blog con información sobre NLA blogs.technet.microsoft.com/networking/2010/09/08/… - Tilo
Agregué una dependencia para NlaSvc a DNS y NTDS. Funciona como el encanto. - Daniel Fisher lennybacon


He visto un comportamiento similar con un servidor AD 2008 R2. Lo que me convenció fue tener más de una NIC habilitada, aunque no estaba en uso. Una vez que deshabilité las NIC no utilizadas y reinicié, el problema desapareció.

La característica exacta de Windows con la que te enfrentas aquí se llama NLA (Network Location Awareness). No sé lo suficiente como para afirmar que soy un experto, pero sé que hay información interesante sobre los intertubos sobre cómo funciona todo o cómo se supone que funciona.


1
2018-02-21 21:12





Después de instalar un nuevo controlador de dominio, es posible que "WINDOWS FIREWALL" no se configure correctamente en "DOMAIN: ON". Este es el resultado de una mala instalación por defecto proporcionada por Microsoft. Para solucionar este problema, borre la configuración de IP6 DNS en la conexión de red de ":: 0" de nuevo a automático. Además, borre los reenviadores IP6 del servidor DNS.


-3
2018-01-22 13:12