DNS, DFS, надежный канал, не могу подключиться к домену (DC1)

Моя настройка

• MultiRole AutoLab/PluralSight/GitHub
  • DC1
  • S1
  • CLI1

Прогресс, статус, текущая конфигурация
Сперва у меня не было интернета, но я понял, что нужно избавиться от 1 или 2 моих NetNat, поэтому я стер это все, и после этого начал получать разные сообщения об ошибках, установил интернет, так что я двигаюсь в правильном направлении. Все системы: локальные, удаленные, виртуальные, соответствуют или превосходят минимальные требования.

Есть два пункта, которые, по моему мнению, могут быть неправильно настроены после установки: Корневые подсказки, удостоверяющий центр (CA) и выбор учетной записи для аутентификации.

Симптомы Коды ошибок ниже

• С CLI1 я могу пинговать DC1 и Google по IP и имени сетевой адаптер CLI1 изменен с конфигурации AutoLab на DHCP. У меня были эти проблемы и до этого, так что, скорее всего, это не связано
• С DC1 я не могу пинговать CLI1 вообще.
• С DC1 я могу пинговать S1 по имени и IP (это меня сбило с толку).
• Я могу подключиться с CLI1 к DC1 через PowerShell удаленно (например, Enter-PSSession).

Что я пробовал не обязательно в порядке

1. Отключил IPv6 scope в DHCP и Корневые подсказки Я все равно вижу много корней с IPv6 даже после перезагрузки DC1, не знаю, что делать дальше.
2. Очистка ipconfig и тому подобное, перезагрузки и т.д.
3. Проверка DNS-конфига через консольные инструменты, выглядят нормально, но я не уверен, что правильно, поэтому…
4. После перезагрузки DC1:
   1. Перезапустил службы; NETLOGON, DFS (любые службы с этим в названии)

Коды ошибок

• С CLI1 через системный журнал:

  • 1054 Обработка групповой политики не удалась. Windows не мог получить имя контроллера домена. Это может быть вызвано сбоями разрешения имени. Проверьте корректность настройки и работу DNS.

  • 8033 Система не смогла обновить и удалить записи ресурсов host (A или AAAA) для сетевого адаптера

    Имя адаптера : {CFAC1B88-23D5-4B1F-96BD-A7B2368731BD}
    Имя хоста : Cli1
    Основной суффикс домена : Company.Pri
    Список DNS-серверов :
      	192.168.3.10
    Отправлено обновление на сервер : <?>
    IP-адрес(а) :
      192.168.3.200
    

  • 1014 DNS-сервер не ответил

  • Ошибки служб COM, DCOM, Time Service

  • 5719 Эта компьютер не мог установить защищенную сессию с контроллером домена в домене COMPANY по следующим причинам:
    Мы не можем войти в систему с использованием этих учетных данных, потому что ваш домен недоступен. Убедитесь, что ваше устройство подключено к сети вашей организации, и попробуйте снова. Если вы ранее входили в систему на этом устройстве с другими учетными данными, вы можете войти с ними.
    Это может привести к проблемам аутентификации. Убедитесь, что этот компьютер подключен к сети. Если проблема сохраняется, обратитесь к администратору домена.

• С DC1:

  • 12 Time Provider NtpClient: Это устройство настроено использовать иерархию домена для определения источника времени, но оно является PDC-эмулятором AD для корня леса, поэтому выше его по иерархии машин нет, чтобы выступать в роли источника времени. Рекомендуется настроить надежный сервис времени в основном домене или вручную настроить синхронизацию с внешним источником. В противном случае это устройство будет являться авторитетным источником времени в иерархии.
  • 1014 Время выше, чем у DNS-серверов, не ответили.
  • 10154 Fail to create SPNs для WinRM: WSMAN/DC1.Company.Pri, WSMAN/DC1
  • 1014 Таймаут DNS
  • 5781 Не удалось зарегистрировать или удалить DNS-записи, связанные с ‘ForestDnsZones.Company.Pri.’

• С S1:

  • 1058 Обработка групповой политики не удалась. Windows пытался прочитать файл \Company.Pri\SysVol\Company.Pri\Policies{F4DD1E03-A436-488D-96F3-0D95D0B66C40}\gpt.ini с контроллера домена, но не смог. Настройки групповой политики могут не применяться до устранения этой проблемы. Это может быть временной проблемой и вызвано:

a) разрешением имени/сетевым соединением с текущим контроллером домена.

b) задержкой репликации файловой службы.

c) отключением клиента DFS.
* 5719 Этот компьютер не смог установить защищенную сессию с контроллером домена:
Мы не можем войти в систему с этими учетными данными, так как домен недоступен. Убедитесь, что устройство подключено к сети организации и повторите попытку.
Если вы ранее входили в систему с другими учетными данными, используйте их.
Это может привести к проблемам аутентификации. Но я еще могу войти в S1 через HyperV mng > Command Prompt по учетной записи домена, что???

**Я не добавлял S1 в DNS-конфиг. Я мало что менял в настройках DNS.

Я не правильно вставил скриншот своей консоли DNS, и теперь не могу понять, как добавить это фото. FML LOL

Извините, если я учу вас как новичка, но я не знаю вашего уровня опыта.

Что вы делаете насчет аренды IP-адресов? Используете ли вы DHCP или статические IP-адреса везде? Если DHCP, возможно, некоторые устройства получают адрес от вашего маршрутизатора. Если да, они не зарегистрируют IP в вашей зоне Company.Pri.

Область DHCP определена, но только один клиент (CLI1 = Windows 10) использует DHCP. Два сервера, DC1 и S1 (Server 2019), — статические. Мой “маршрутизатор” — это NatNet Hyper-V VMswitch.

Я был обязан гуглить выражение “sucking eggs” LOL. Спасибо за это! В будущем буду использовать эту фразу ОБЯЗАТЕЛЬНО.

Опять же, я не знаю вашего уровня, поэтому не обижайтесь, если все это кажется очевидным, но у меня изначально была проблема, когда мои виртуальные машины Hyper-V работали на публичном коммутаторе, и DHCP-сервер у меня не работал.

Теперь это очевидно, и я больше так не сделаю, но мой физический роутер от ISP занимается DHCP, а при установке DHCP-сервера на моей сети возник конфликт.

Возможно, ваше устройство получает IP от домашнего маршрутизатора и использует его DNS.

Если DHCP не настроен в вашей домашней лаборатории, вы должны установить статический IP и вручную указать DNS-сервер.

Вы можете проверить DNS на клиенте командой “nslookup”. Например, команда:

nslookup google.com

выдает:

nslookup google.com
Server:  cache1.service.virginmedia.net
Address:  194.168.4.100

Non-authoritative answer:
Name:    google.com
Addresses:  2a00:1450:4009:819::200e
          172.217.169.78

Это показывает, что DNS-сервер у VirginMedia (ваш интернет-провайдер) по адресу (194.168.4.100).

В моей домашней лаборатории:

nslookup google.com
Server:  UnKnown
Address:  172.18.0.2

Non-authoritative answer:
Name:    google.com
Addresses:  2a00:1450:4009:817::200e
          216.58.213.14

Неясно, почему он говорит Server: UnKnown, но DNS-запрос идет на адрес 172.18.0.2, что — мой контроллер домена в домашней лаборатории.

Мне кажется, выражение “sucking eggs” — это английская фраза.