作者主題: AD IIS 和跨網段問題 (閱讀 8841 次)

asukarei · « 於: 2006-02-20 10:14 »

哀.在搜尋Google大神1個禮拜後.我放棄了.因為真的找部到達案.先謝謝個位的幫忙. 問題如下.

我有依台AD在 10.0.1.x 255.255.255.0 10.0.1.254. 另外依個網段式172.168.16.x 255.255.255.0 172.168.16.254.
我在AD上裝了IIS. 如在10的網段裡都可以存取網頁.可是如果在172的網段就不行. 這兩個網段適用VPN連的.

可是最奇怪的是如果我IIS不裝在AD上爾裝在其他伺服器上. 172的網段就可以存取其他伺服器. 偏偏我需要把網頁裝在AD上因為抹些原因,所以救命啊

Beginner · « **回覆 #1 於:** 2006-02-21 12:51 »

請在 172 的網段，先 ping 10.0.1.254 看看通不通。我猜，這個步驟你應該有做過，不至於連這個都沒測試過吧？我先假設這應該是沒問題的，也就是你的 VPN 互相 routing 均正常。

接著請在 172 的網段，開一個 DOS 視窗，輸入 telnet 10.0.1.254 80，看看畫面有沒有變黑。

有變黑：表示 172 網段連得到你的 IIS，但你說看不到網站，表示是 Layer4 以上的問題。

沒變黑，最後說 timeout，表示 172 網段雖然與 10 網段互通，但是要連到 10.0.1.254 的 http service 是有問題的，請檢查 VPN 之間是否有安全性的阻擋、10.0.1.254 是否有阻擋 172 連到 http 的軟體防火牆被開啟之類的。

asukarei · « **回覆 #2 於:** 2006-02-22 22:43 »

先謝謝你的回覆.基本上我用過ping 和telnet了.我解釋依下好了. 只要不連那台AD.在別的伺服器上裝. 不管事ping 或 telnet 到 80 port都可以. 我還用過tracert 等測試.就是不通所以我才想說來問各位朋友

Overcertified · « **回覆 #3 於:** 2006-02-23 15:22 »

引述: "asukarei"

先謝謝你的回覆.基本上我用過ping 和telnet了.我解釋依下好了. 只要不連那台AD.在別的伺服器上裝. 不管事ping 或 telnet 到 80 port都可以. 我還用過tracert 等測試.就是不通所以我才想說來問各位朋友

那就不要在DC上面安裝IIS，這樣會衍生很多安全性問題，另外DC在預設的權限就是禁止使用者登入本機存取

shenfive · « **回覆 #4 於:** 2006-02-23 19:19 »

....哦...先問一下, 你的VPN是如何作的?

Beginner · « **回覆 #5 於:** 2006-02-24 11:36 »

我就是在 DC 上也裝 IIS 而且不論是 Intranet(含分公司網路 VPN 過來) 以及開放到 Internet 都可以正常存取。也許這麼做會有潛在的安全性，但是想要在 DC 上架設 IIS 提供網站服務是絕對可行的。

asukarei · « **回覆 #6 於:** 2006-02-25 10:44 »

我解釋依下好了. 我知道IIS是可行的.我內網都可以通.我的VPN怎嚜裝的喔.就兩個網段互連.重點是全開放.所以兩個網段內要做什麼都可以. 172的網段可以連到10網段的別台的IIS都可以. 至於為什麼要放在DC上市因為上面有一套sql db,網頁需要連結.可以把網頁放在別台聯.但是時間會延遲3秒. 太慢了

shenfive · « **回覆 #7 於:** 2006-02-26 01:13 »

另外兩個網段的使用者有沒有加入AD?
會不會是Windows整合式驗證的問題?

asukarei · « **回覆 #8 於:** 2006-02-26 20:02 »

172的網段並未加入網域... 我曾經懷疑是DC有設定某些條件不接受別的網段.但是我看了一個禮拜.找不出來.殘念..可以指導依下.

shenfive · « **回覆 #9 於:** 2006-02-27 09:21 »

請檢查以下項目

1. DNS 是否可以正確解到DC群?
2. IIS 的網站安全性是不是設成整合式驗證?

twu2 · « **回覆 #10 於:** 2006-02-27 09:28 »

想太多了吧. 由基本的地方檢查起吧. 不過是簡單的 IP routing.

由起點一個一個檢查 ip 設定與 routing table, firewall 設定. 看看封包是不是依照你想的那樣跑. 每個點看一下是不是真的收到該封包不就清楚了.

環境都在你那兒, 你不測, 光請大家在這邊想破頭, 也想不出封包實際上是怎麼跑的.

asukarei · « **回覆 #11 於:** 2006-02-27 15:52 »

hmm. 我想各位前輩可能誤解了.我說明依下我測試的方法好了. 我開了兩台伺服器在 10網段. 一台視DC一台視Member server. 我在兩台上都架IIS. 我去172網段. 用ping 來解析. 只有Member server回應. 用telnet 到80 port 也是只有member server 回應. 一開始我認為會部會是我防火牆不小新黨到了. 但是進去看. 鎖有都是透通的. 然後我懷疑routing有問題.所以我也看了routing 也是對的. 所以我就轉圈圈了. 我現在沒辦法測的事DC那台因為,他跑滿多服務的.是沒辦法說關就關的

asukarei · « **回覆 #12 於:** 2006-02-27 16:05 »

對了,不好意思.補聰依下. 我如果在10的網段不管適用 telnet 或是 ping.兩台伺服器都有回印. 所以我才很頭痛. 因為看起來是沒問題的在內網李.所以我才懷疑是部室DC會擋掉別的網段.

asukarei · « **回覆 #13 於:** 2006-02-28 11:04 »

yeah.解決了. 謝謝各位的幫忙喔. 感激不進.

酷!學園

最新消息: