Вопрос или проблема
У меня есть сервер Windows 2016, выполняющий роль контроллера домена AD. У меня есть брандмауэр Fortigate 50E. Я настраиваю VPN-соединение для удаленных пользователей на Fortigate.
VPN подключается без проблем. Я могу пинговать все остальные узлы в внутренней сети, кроме контроллера домена. Контроллер домена также является сервером DNS, поэтому я использую IP-адреса. У нас даже есть другой сервер Windows 2016, подключенный к тому же домену, и я могу его пинговать.
Я проверил правила брандмауэра на контроллере домена и также пробовал отключать брандмауэр. Результат тот же. Не могу пинговать, не могу получить доступ к общим файлам, DNS или любым службам на контроллере домена. Доступ к другим серверам/рабочим станциям работает нормально.
В конфигурации Fortigate нет ничего специфического для этого единственного IP-адреса.
У меня закончились идеи. Что еще могло бы блокировать соединения на контроллере домена?
В “Политике контроллера домена по умолчанию” у вас настроено что-либо для
Конфигурация компьютера>Политики>Параметры Windows>Параметры безопасности>Локальные политики>Назначение прав пользователя
для настроек с метками “Доступ к компьютеру из сети”, “Разрешить локальный вход в систему” или “Разрешить вход через службы удаленных рабочих столов”?
Вероятно, у вас больше нет этой проблемы, но на случай, если она у кого-то еще есть.
Это не похоже на проблему с брандмауэром. Я бы поставил на то, что причина в отключенном сетевом обнаружении.
Перейдите в:
Панель управления\Все элементы панели управления\Центр управления сетями и общим доступом\Расширенные параметры общего доступа
Раскройте текущий профиль, который должен быть Доменным, но это может быть не так. Убедитесь, что включена опция “Включить сетевое обнаружение”. Если она не включена, выполните клик и затем сохраните изменения.
***Важно – вернитесь и проверьте, включена ли она по-прежнему. Если нет, то одна или несколько из следующих зависимых служб отключены:
- DNS-клиент
- Публикация ресурсов обнаружения функций
- Обнаружение SSDP
- Хост устройства UPnP
Перейдите в Службы – нажмите Пуск и введите services.msc
Эти службы должны иметь статус “Выполняется” в колонке состояния. Если нет, откройте службу двойным щелчком или щелкнув правой кнопкой мыши и выбрав свойства.
Установите тип запуска “Автоматически” в выпадающем списке и нажмите “Применить”. Теперь нажмите “Запустить”, чтобы запустить службу.
Когда все перечисленные службы запущены, вернитесь и включите сетевое обнаружение, выйдите, затем вернитесь и убедитесь, что оно включено.
Когда сетевое обнаружение включено, это позволит вам пинговать контроллер домена.
Надеюсь, это поможет вам или следующему, кто это прочитает 🙂
Ответ или решение
Подключение к контроллеру домена Active Directory (AD DC) через VPN может вызывать затруднения по ряду причин. Проблема, с которой вы столкнулись, характерна для возничающего несоответствия между политиками безопасности, конфигурацией сетевых устройств и настройками самого сервера. Рассмотрим ситуацию подробно, используя модель TEA (Теория, Пример, Применение).
Теория
Проблема подключения к AD DC через VPN может быть связана с несколькими факторами. Во-первых, контроллер домена выполняет несколько критически важных ролей, таких как управление пользователями и группами, политиками безопасности и централизованным управлением конфигурацией для всей сети. Он также может выполнять функцию DNS-сервера. Соответственно, любые сбои или блокировки в трафике, направленном к этому серверу, могут вызвать отказ в подключении.
Основные факторы, которые могут повлиять на недоступность контроллера домена через VPN:
-
Сетевые политики и маршрутизация: Проверьте, настроены ли маршруты для VPN таким образом, чтобы пакеты корректно доставлялись до сети, в которой находится ваш контроллер домена.
-
Настройки брандмауэра: Даже если брандмауэр на DC временно отключен, политики сетевой безопасности могут блокировать специфические порты или диапазоны IP-адресов, которые не относятся к VPN.
-
Политики безопасности в AD: Политики, установленные в "Default Domain Controller Policy", могут ограничивать доступ к DC из-за неверных или отсутствующих разрешений на доступ для удаленных пользователей.
-
Службы сети: Некорректная работа необходимых служб, таких как DNS Client, может помешать корректному обнаружению и соединению с DC.
Пример
Как указывалось в обсуждении, ваш VPN соединение работает нормально, и вы можете пинговать другие устройства в вашей внутренней сети, но не контроллер домена. Другой сервер Windows 2016, находящийся в той же сети, доступен, что указывает на проблему не в конфигурации самого VPN, а в более специфической настройке подключения DC.
Применение
-
Проверка маршрутов и сетевых политик: Убедитесь, что все маршруты к сети контроллера домена правильно настроены в конфигурации VPN. Для этого введите команду "route print" на клиентской машине и проверьте наличие правильной записи для подсети DC. Определите, идет ли трафик в обход через встроенные политики фаервола Fortigate.
-
Антивирусное и фаервалльное программное обеспечение: Отключите или настоите эти средства на клиентской стороне на время тестирования, чтобы убедиться, что они не блокируют соединение.
-
Политики в AD: Войдите в домен и проверьте настройки политик в "Default Domain Controller Policy" по пути Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies > User Rights Assignment. Убедитесь, что учетные записи пользователей, подключающиеся по VPN, имеют права на "Access this computer from the network".
-
Включение обнаружения сети: Как было предложено, убедитесь, что сеть настроена на обнаружение устройств. Это можно сделать через Панель управления: Control Panel\All Control Panel Items\Network and Sharing Center\Advanced sharing settings. Убедитесь, что включено обнаружение сети через запуск и настройку дополнительных служб, таких как Function Discovery Resource Publication и SSDP Discovery.
-
Проверка DNS и услуг WinRM: Проверьте, работают ли службы DNS на DC. Удостоверьтесь, что на DC правильно настроены записи DNS, которые соответствуют поисковым образом настроенные на VPN. Попробуйте выполнить диагностику WinRM, так как она может помочь в обнаружении неполадок через RPC-соединения.
Описанные меры помогут вам выявить ключевые моменты, которые необходимо проверить для решения проблемы соединения с контроллером домена через VPN. Важно тщательно следовать методологическому подходу, постепенно исключая возможные источники проблемы.