问:分公司和总公司是由Netscreen,sitetosite***连接分别为172.30.100.*和172.30.35.*网段
ad在总部的服务器网段内,前面还有台netscreen
总公司内部使用域没有任何问题。
分公司网段内的PC能够ping通ad,dns,wins解析都非常正常,能够平通**.com域名,telnet
53、88、135、139、445、389、1025、636、3268、3269端口都是通的
远端客户端不能加域,能够弹出加域时输入的加域认证的窗口,输入后,等很久报错“域控制器不可再用”
在总部加好域的机器,拿到分公司,nettime不成功,gpupdate/force可以(但非常慢),原没有登陆过这台机器的新用户,能够登陆这台机器(不过时间会非常长,起码30分钟),分公司机器上可以直接mstsc到ad,可以共享目录访问ad

请高手帮忙分析一下
 
回答:
 
您好!

由于您总公司内部使用的客户端可以正常登陆到域,而且远程客户端也可以PING通域控制器的IP地址,DNS服务器地址,建议您做以下测试:

1. 在远程客户端上,点击“开始→运行”并输入“CMD”→Ping域控制器的IP地址加-t参数,察看都否有丢包的现象。

2. 在远程客户端上使用NSLOOKUP工具验证 DC的SRV 记录在客户端是否可以解析,具体的操作步骤如下:
a. 在“打开”框中,键入 cmd。
b. 键入 nslookup,然后按 Enter。
c. 键入 set type=all,然后按 Enter。
d. 键入 _ldap._tcp.dc._msdcs.Domain_Name,其中 Domain_Name 为域名,然后按 Enter。

Nslookup 将返回显示为以下格式的一个或多个 SRV 服务位置记录,其中,Server_Name 为域控制器的主机名,Domain_Name 为域控制器所属的域,Server_IP_Address 为域控制器的 Internet 协议 (IP) 地址。

更多信息您可以参考以下文章:
如何验证是否为域控制器创建了 SRV DNS 记录
[url]http://support.microsoft.com/kb/816587/zh-cn[/url]

3. 使用Portqry工具为轻量目录访问协议 (LDAP)、远程过程调用 (RPC) 和域名服务 (DNS) 验证 Active Directory 所使用的 TCP/IP 端口的是否可以在客户端进行连接。

具体的操作步骤请参考以下文章:
如何使用 Portqry 解决 Active Directory 连接问题
[url]http://support.microsoft.com/kb/310456/zh-cn[/url]

4. 如果以上步骤未能找出问题所在,请检查有问题的客户端系统日志和应用程序日志,把错误事件的具体信息贴到新闻组,包括事件ID、事件类型和事件描述,同时提供加入域时的报错截屏。

希望我的回答对您有所帮助。

Tom Zhang 张一平
在线技术支持工程师
微软全球技术支持中心
---------------------------------------------------------------------------------------
我们的服务时间:周一至周五9:00-18:00(节假日除外)。我们将在两个工作日(48小时)内提供初始回应,并和您一起研究并解决问题。更多微软新闻组技术支持信息,请访问:[url]http://support.microsoft.com/gp/newsgroupsupport/zh-cn[/url].

回帖时,请在您的新闻组阅读器中使用“回复组(Reply to Group)”,这将帮助其他用户从您的提问中获益
---------------------------------------------------------------------------------------
本贴子以”现状”提供且没有任何担保,同时也没有授予任何权利。
 
gnaw0725回答:
首先,client与dc的通讯需要使用到rpc,而rpc需要1024以上所有高位端口。
故而,讲client与dc之间分割开来是存在问题,您应该考虑在分公司也放置一台dc,
然后利用dc之间的replication进行同步。
微软对于如何让dc的replication通过防火墙是有文档的。
[url]http://www.microsoft.com/china/technet/windows2000/win2ksrv/adrepfir.asp[/url]
[url]http://support.microsoft.com/kb/179442/zh-cn[/url]