作者 主題: 跨網段 Client 如何加入 AD?  (閱讀 14253 次)

0 會員 與 1 訪客 正在閱讀本文。

threeseconds

  • 俺是博士!
  • *****
  • 文章數: 1368
    • 檢視個人資料
    • http://www.3sec.tw
跨網段 Client 如何加入 AD?
« 於: 2006-06-16 00:06 »
DC: Win2003 Std
Client: WinXP Pro SP2

請問一下,我有 40 幾個網段,192.168.0.0/16 (目前用到45)
DC 是 192.168.0.105,除了 192.168.0.0/24 這一段加入 AD 都正常,
其他網段加入 AD 都會出現找不到網域的錯誤訊息 (DNS 設好了),
請問是不是 DC 上面要更改哪些地方?
本文作者為天線寶寶,長期關注兒童智力發展狀態。

星無痕

  • 活潑的大學生
  • ***
  • 文章數: 387
    • 檢視個人資料
跨網段 Client 如何加入 AD?
« 回覆 #1 於: 2006-06-16 10:32 »
CLIENT端的DNS指向正確嗎??
AD啟動時,DC的DNS有沒有跟著一起啟動?
Client 去Ping DC的時候.試著不要用ip.而用電腦名稱去ping
看你的dns解析是不是正常.

小弟目前只會這兩招查固障
其他的可能要論壇裡的大大們幫你了...

threeseconds

  • 俺是博士!
  • *****
  • 文章數: 1368
    • 檢視個人資料
    • http://www.3sec.tw
跨網段 Client 如何加入 AD?
« 回覆 #2 於: 2006-06-16 15:37 »
DNS Client 都設定正確,ping 電腦名稱和網域名稱都成功
但就是無法把電腦加入網域。
本文作者為天線寶寶,長期關注兒童智力發展狀態。

arkie

  • 憂鬱的高中生
  • ***
  • 文章數: 91
    • 檢視個人資料
跨網段 Client 如何加入 AD?
« 回覆 #3 於: 2006-06-16 15:44 »
引述: "threeseconds"
DNS Client 都設定正確,ping 電腦名稱和網域名稱都成功
但就是無法把電腦加入網域。


這 40 幾個網段. 應該不會有開啟 nat 吧
各網段是可以互通的嗎 ?
如果從 192.168.0.105 可以 ping 到 192.168.40.xx 嗎 ?

threeseconds

  • 俺是博士!
  • *****
  • 文章數: 1368
    • 檢視個人資料
    • http://www.3sec.tw
跨網段 Client 如何加入 AD?
« 回覆 #4 於: 2006-06-16 16:10 »
網域內沒有 NAT,所有網域內的任何電腦都可以互相 ping 的到喔。
本文作者為天線寶寶,長期關注兒童智力發展狀態。

twu2

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 5394
  • 性別: 男
    • 檢視個人資料
    • http://blog.teatime.com.tw/1
跨網段 Client 如何加入 AD?
« 回覆 #5 於: 2006-06-16 16:19 »
會不會有 "某" 台電腦的 netmask 設成 255.255.255.0 而不是 255.255.0.0 ? (看起來很像是這樣...)

threeseconds

  • 俺是博士!
  • *****
  • 文章數: 1368
    • 檢視個人資料
    • http://www.3sec.tw
跨網段 Client 如何加入 AD?
« 回覆 #6 於: 2006-06-16 16:43 »
抱歉,可能我描述的不夠清楚,重新描述一次好了。

我們總公司的網段是 192.168.0.0/24,分店 45 家,每家店有一個子網路,
分別是 192.168.1.0/24 到 192.168.45.0/24,
總公司的 DC 是 192.168.0.105,平常總公司和分店所有的電腦 (包括 PC 和 Server )互通都沒有問題,
現在要開始導入 AD,逐一將 PC 加入網域,設定好 PC 的 DNS 指向 192.168.0.105 後,
(DC 和 DNS Server 在同一台機器)
卻會出現找不到網域的錯誤訊息。

剛剛再作了一次測試,發現原因可能出在 DNS 上面,
DC 主機 nslookup 自己的電腦名稱可以成功,(DNS Server 和 DC 是同一台機器)
但其他 PC nslookup DC 電腦名稱就失敗了....

不知道原因出在哪裡?
本文作者為天線寶寶,長期關注兒童智力發展狀態。

星無痕

  • 活潑的大學生
  • ***
  • 文章數: 387
    • 檢視個人資料
跨網段 Client 如何加入 AD?
« 回覆 #7 於: 2006-06-16 16:49 »
引述: "threeseconds"
剛剛再作了一次測試,發現原因可能出在 DNS 上面,
DC 主機 nslookup 自己的電腦名稱可以成功,(DNS Server 和 DC 是同一台機器)
但其他 PC nslookup DC 電腦名稱就失敗了....

不知道原因出在哪裡?

DNS SERVER的正解跟反解都有設好嗎??
還有client的通訊協定有正確嗎??

threeseconds

  • 俺是博士!
  • *****
  • 文章數: 1368
    • 檢視個人資料
    • http://www.3sec.tw
跨網段 Client 如何加入 AD?
« 回覆 #8 於: 2006-06-16 17:46 »
引述: "星無痕"

DNS SERVER的正跟反解都有設好嗎??
還有client的通訊協定有正確嗎??

我是按照書上的 AD 架設步驟做的,有開啟 DNS Server 的 SRV 和動態更新等功能,
起先測試的時候總公司的 PC (192.168.0.0/24) 都還可以加入 AD,
會自動註冊新的電腦名稱,但反解領域卻是完全空的,似乎不會自動建立?
但不知為何突然就不能加入了,在這中間我只安裝了 IIS 和 SMTP 而已,
完全是按照預設安裝,並未變更任何東西。

請教一下,nslookup (電腦名稱)只需正解就可以成功了,照理講不需反解也可以成功才對?
為何 DNS 主機 nslookup 查詢自己可以成功,但其他 PC nslookup 都失敗呢?
本文作者為天線寶寶,長期關注兒童智力發展狀態。

twu2

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 5394
  • 性別: 男
    • 檢視個人資料
    • http://blog.teatime.com.tw/1
跨網段 Client 如何加入 AD?
« 回覆 #9 於: 2006-06-16 18:59 »
cache 嗎?
dns client service restart 試看看.

threeseconds

  • 俺是博士!
  • *****
  • 文章數: 1368
    • 檢視個人資料
    • http://www.3sec.tw
跨網段 Client 如何加入 AD?
« 回覆 #10 於: 2006-06-17 09:52 »
引述: "twu2"
cache 嗎?
dns client service restart 試看看.

PC 端重新開機了好幾次也一樣 nslookup 失敗,
另外找了幾台從沒加入 192.168.0.105 的 PC 來測試也一樣,
所以應該不是 cache 的問題....

--
說不定砍掉重練比較快,反正有 Ghost...:P
本文作者為天線寶寶,長期關注兒童智力發展狀態。

arkie

  • 憂鬱的高中生
  • ***
  • 文章數: 91
    • 檢視個人資料
跨網段 Client 如何加入 AD?
« 回覆 #11 於: 2006-06-17 17:14 »
引述: "threeseconds"
引述: "twu2"
cache 嗎?
dns client service restart 試看看.

PC 端重新開機了好幾次也一樣 nslookup 失敗,
另外找了幾台從沒加入 192.168.0.105 的 PC 來測試也一樣,
所以應該不是 cache 的問題....


你 nslookup 的是 "電腦名稱" 還是 FQDN 名稱 ?
如果在同網段, nslookup 電腦名稱, 可能是抓得到的. 若是不同網段. 就不一定了
試試 nslookup 電腦名稱 跟 nslooup 電腦名稱.完整.網域
再不然, nslooup 進去後將 server 改到 192.168.0.105 .. 再查 ad 中的電腦名稱. 看能不能找得到.

C:\>nslookup

> server 168.95.1.1
Default Server:  dns.hinet.net
Address:  168.95.1.1

> www                      --> 跟 nslookup www 意思一樣. 但找不到 ( 因為沒有設 default domain )
Server:  dns.hinet.net
Address:  168.95.1.1

*** dns.hinet.net can't find www: Non-existent domain
> www.hinet.net        --> 查詢 fqdn 才有正確的的結果.
Server:  dns.hinet.net
Address:  168.95.1.1

Name:    www.hinet.net
Addresses:  61.219.38.89, 203.66.88.89

> exit

加入 domain 的機器, 會加上自己的 domain 為預設 domain
而沒加入 domain 的機器, 沒有 default domain, 所以查詢最好用 fqdn

除非你有啟動 wins service, 否則不能用 netbios 名稱來加入 domain

threeseconds

  • 俺是博士!
  • *****
  • 文章數: 1368
    • 檢視個人資料
    • http://www.3sec.tw
跨網段 Client 如何加入 AD?
« 回覆 #12 於: 2006-06-21 00:07 »
引述: "arkie"

你 nslookup 的是 "電腦名稱" 還是 FQDN 名稱 ?
如果在同網段, nslookup 電腦名稱, 可能是抓得到的. 若是不同網段. 就不一定了
試試 nslookup 電腦名稱 跟 nslooup 電腦名稱.完整.網域
再不然, nslooup 進去後將 server 改到 192.168.0.105 .. 再查 ad 中的電腦名稱. 看能不能找得到.

感謝 arkie 幫我找到盲點....
狀況一:我在總公司網段 ping 電腦名稱,疏忽了在其他網段必須 ping FQDN,結果當然是 ping 不到...
狀況二:我在家裡用軟體 VPN 連上公司網域,因為是從外面連進公司,必須在 nslookup
裡面手動指定 DNS Server,沒指定當然就無法 ping FQDN,指定後就沒問題了!

另外請教一個問題,在網外用軟體 VPN 連回公司時,
(使用 Notel Contivity VPN Client)
可以登入公司網域嗎?有什麼需要注意的地方嗎?
我試著加入公司網域的結果,因為 VPN 取得 IP 時(由 DHCP 發給 192.168.254.x),
並不會將 Client 指定 DNS 為 192.168.0.105,所以無法加入網域,
這種情況該如何處理呢?
本文作者為天線寶寶,長期關注兒童智力發展狀態。

arkie

  • 憂鬱的高中生
  • ***
  • 文章數: 91
    • 檢視個人資料
跨網段 Client 如何加入 AD?
« 回覆 #13 於: 2006-06-21 11:11 »
引述: "threeseconds"
引述: "arkie"

你 nslookup 的是 "電腦名稱" 還是 FQDN 名稱 ?
如果在同網段, nslookup 電腦名稱, 可能是抓得到的. 若是不同網段. 就不一定了
試試 nslookup 電腦名稱 跟 nslooup 電腦名稱.完整.網域
再不然, nslooup 進去後將 server 改到 192.168.0.105 .. 再查 ad 中的電腦名稱. 看能不能找得到.

感謝 arkie 幫我找到盲點....
狀況一:我在總公司網段 ping 電腦名稱,疏忽了在其他網段必須 ping FQDN,結果當然是 ping 不到...
狀況二:我在家裡用軟體 VPN 連上公司網域,因為是從外面連進公司,必須在 nslookup
裡面手動指定 DNS Server,沒指定當然就無法 ping FQDN,指定後就沒問題了!

另外請教一個問題,在網外用軟體 VPN 連回公司時,
(使用 Notel Contivity VPN Client)
可以登入公司網域嗎?有什麼需要注意的地方嗎?
我試著加入公司網域的結果,因為 VPN 取得 IP 時(由 DHCP 發給 192.168.254.x),
並不會將 Client 指定 DNS 為 192.168.0.105,所以無法加入網域,
這種情況該如何處理呢?


所以可以成功加入 domain 了 ?

你指的是 Client-to-Site VPN 還是 site-to-site VPN ?

每一家的 VPN 作法都不同. 我們用的是 cisco , 可以指定 vpn 連通時的 DNS / WINS / domain name  ( client-to-site )

若非必要, 倒應該不建議先連上 VPN 後再加入 domain. 加入 domain 時會有一段時間跟 dc 通訊. 這情形跑在 vpn 上. 不見得會有問題. 但如果加入 domain 到一半. 連線又中斷. 又怎辦 ?
其次是, 假設加入 domain 後, 未登入前無法連線 vpn, 則無法用 domain 帳號登入, 這樣加入 domain 又有什麼意義呢 ?

在公司外, 上網 dns 要設外部. 然後連上 vpn 後為了加入 domain. 又必需將 dns 設在 dc 上. vpn 斷了再改回來. 何必要自找麻煩呢 ?

slime

  • 俺是博士!
  • *****
  • 文章數: 1692
    • 檢視個人資料
跨網段 Client 如何加入 AD?
« 回覆 #14 於: 2006-06-21 11:38 »
(僅供參考)

以前在學校, 研究室跟社團也是分在不同子網域, 所以用了兩個做法讓電腦可以互相看到:

1. 從 DHCP 主機指定 WINS 主機(通常也是 192.168.0.105), 讓所有相關的電腦都會向 WINS 主機登記電腦名稱, 查詢時也是向 WINS 主機查詢.

2. 在各分公司架設 Local Master , 然後 Local Master 再跟 WINS 主機更新, 各子網域的電腦則會跟 Local Master 更新.

我的想法是把網路芳鄰的 Domain 跟 DNS 完全分開來想, 畢竟本來就是獨立的運作情況; 當時使用的情況是 Windows 2000 + Samba , 對於 Windows 2003 是否適用就不知道了.
冷笑話: 我的 IP 是 127.0.0.1