分类: 系统运维
2010-09-16 09:04:48
遇到问题:域控降级时提示“Active Directory 无法传输目录分区,CN=Schema,CN=……的剩余数据到域控制器CGDCONE.lamc.avic”RPC服务器不可用”
长沙域控ip 10.0.123.14 汉中域控IP 10.0.0.3、10.0.0.9 两台
域控报错:ID13565、ID13508 文件复制有困难、ID1586 windowsNT4.0或更早的版本与PDC仿真的复制检查不成功。
分析原因1
防火墙只是转换了IP包头中的IP地址,没有转换NetBIOS数据包头中的源IP地址。
NetBIOS 数据报的用途:
1、 查找登录服务器
2、发送登录请求
3、 进行域同步
4、浏览服务主机名称宣告
5、浏览服务工作组 /域宣告
6、住浏览服务器存在和选举包
7、NET SEND /d:
需要确认防火墙支持NetBIOS数据报包头转换,经确认防火墙支持。
分析原因2:
防火墙做inbound和outbound 可能会导致此现象。
在长沙域控上面ping 汉中域控可以ping通,共享访问可以访问
在汉中域控上面ping长沙域控不同,共享访问不行
需要在防火墙上面做设置策略,让汉中域控可以FRS服务复制过来也就是。
解决问题
防火墙外网口0/0地址为10.0.10.253 连接汉中交换机
防火墙内网看0/1地址为10.0.203.253 连接长沙交换机
防火墙配置为路由模式
防火墙外网口连接对于汉中的核心交换机为trunk口,配置如下
Hybrid trunk vlan 10 (连接防火墙外网口)
Trunk vlan 190 (洋县)
Trunk vlan 254 (管理地址)
汉中域控地址10.0.0.3 、10.0.0.9
长沙域控地址10.0.123.14、10.0.13.2 (FTP)
首先排除防火墙问题
1、 将防火墙的外网口10.0.10.253 用PC机配置相同的地址段测试如10.0.10.252
在10.0.10.252的计算机上面ping 10.0.13.2 (长沙FTP)\10.0.123.14(长沙域控)可以ping通。
2、 在长沙 外网口连接的PC机也可ping通
证明如果在防火墙的外网口上连接为PC机是可以通过,那么防火墙的trust区域和untrust区域配置的策略是正常的,不是防火墙的问题。
目前现象就是在汉中的服务器端地址ping长沙域控不通,但是可以ping到防火墙外网口地址10.0.10.253
解决思路
1、 可能是路由问题,查看汉中核心交换机配置
2、 核心交换机连接加密码也就是防火墙的配置为trunk口,默认hybird 为vlan 10 ,trunk vlan190、vlan254 配置没有问题。
3、 查看核心交换机路由表,发现缺少指向防火墙外网口的路由表
4、 在核心上面添加0.0.0.0 0.0.0.0 10.0.10.253 静态路由表,让它指向防火墙的外网口
5、 在长沙ping汉中通过,在汉中ping长沙通过 OK
chinaunix网友2010-09-16 15:31:16
很好的, 收藏了 推荐一个博客,提供很多免费软件编程电子书下载: http://free-ebooks.appspot.com