Are there any specific tools for troubleshooting Domain Controller & Client connectivity?
I am setting up a test rig on Amazon Web Services comprising of 2 web servers, 1 database server and 1 domain controller. All the servers are Windows Server 2012. I have had random occurrences of the web servers losing trust with the domain controller. I am led to believe that there could be an issue with firewall settings/dns between the client and dc.
Is there any tool that can help me sort out connectivity issues between domain controller and client? I have tried Port Query tool from Microsoft.
I have disabled Windows Fire Wall and enabled AWS firewall rules for the purpose of ruling out any unforeseen blockages.
thanks, SDG
- Чтобы напрямую ответить на ваш вопрос, полезными инструментами являются Ncdiag и Nltest, а также Portqry . Nltest входит в состав Windows, и Ncdiag должен быть на контроллере домена. Я предпочитаю Nmap Portqry, так как его синтаксис проще. Помимо Ping, просканируйте с сервера проблемы с открытыми портами 88 (Kerberos), 123 (ntp), 389 (LDAP) и 135 (RPC-сопоставитель) на контроллере домена. Пример nmap: nmap -p 88,123,135,389 IPaddressOfDomainController
- Вы упомянули, что ваша проблема связана с доверием домена. Убедитесь, что их время синхронизировано. Рядовые серверы должны получать свое время от контроллера домена. Проверьте реестр HKLM \ System \ CurrentControlSet \ Services \ W32tm \ Parameters. Значение NtpServer должно быть установлено на NTDS5. На контроллере домена вы можете использовать надежный источник времени в Интернете, например time.nist.gov. Используйте команду «w32tm / config /manualpeerlist:time.nist.gov / syncfromflags: manual / secure: yes / update», затем перезапустите службу W32Time. (Ссылка: «Это просто!» - Конфигурация времени в Active Directory )
- А как насчет DNS? Ваш DC должен быть DNS-сервером; ваши рядовые серверы должны использовать DC в качестве своего DNS-сервера. В свою очередь, если вы не используете Интернет, DC DNS должен пересылать все остальные запросы на ваши облачные DNS-серверы (что вы увидите, если вы используете DHCP).
- Я согласен - не выключайте брандмауэр. Большинство функций Windows автоматически добавляют все необходимые правила. Но вы можете дважды проверить, что активным профилем брандмауэра на DC является домен.
Удивил всех, кто упомянул portqry, но никто не сказал о portqryUI - это не просто красивая оболочка с графическим интерфейсом для portqry, она включает в себя набор заранее определенных наборов тестов. «Домен и доверие» - это один из наборов тестов, он проверяет все порты, необходимые для работы AD.