Компьютеры в домене через VPN

Aivc · 01 июн 2020, 17:27

Всем доброго!
Извиняюсь, если есть что то подобное, но я не нашел.
Нужна помощь.
1. Есть головной офис с rb1100ahx4 внешний ИП статика. На нем развернут L2TP сервер для VPNов.
2. Есть второй офис с hex-s. Он выходит в интернет через USB 4G модем.
Между двумя микротиками поднят VPN site-to-Site.
В главном офисе стоит контроллер домена "DC01" 10.0.88.10 он же DNS и DHCP.
Во втором офисе DHCP раздает микротик (пул 192.168.201.0/24) с указанием DNS на контроллер домена - 10.0.88.10 плюс указан префикс домена. В результате компьютер в сети 192.168.201.х "ПК01" получает адрес с микротика и спокойно пингует контроллер в головном офисе по имени "DC02". Так же телнетом с "ПК01" проваливаемся на любой порт на любой компьютер в головном офисе. Ровно тоже самое из головного офиса во второй офис (пинг, телнет работает).
Получается, что в VPN туннеле все порты открыты.
Далее компьютер "ПК01" вводим в домен и получаем такую ошибку:

При присоединении к домену domain.local произошла следующая ошибка:
указанный сервер не может выполнить требуемую операцию

Однако, если на "ПК01" настроить виндовый VPN к rb1100ahx4, то комп спокойно входит в домен и применяются все политики.
Помогите допилить VPN site-to-site и искоренить это извращение.

KARaS'b · 01 июн 2020, 20:20

domain.local точно примерно так выглядит, или он все же синглнейм и выглядит примерно как domain? Пинги идут по какому имени, прям по DC02 или DC02.domain.local?

bst-botsman · 01 июн 2020, 20:33

В оснастке "Active Directory - Сайты и службы" в разделе "Подсети" ваша подсеть филиала описана???

Aivc · 02 июн 2020, 08:50

KARaS'b писал(а): ↑01 июн 2020, 20:20 domain.local точно примерно так выглядит, или он все же синглнейм и выглядит примерно как domain? Пинги идут по какому имени, прям по DC02 или DC02.domain.local?

domain.local измененное название. в реале полноценный нормальный домен. Пинги идут и по FQDN имени и просто по имени (суффикс домена через DHCP раздается).

Aivc · 02 июн 2020, 09:07

bst-botsman писал(а): ↑01 июн 2020, 20:33 В оснастке "Active Directory - Сайты и службы" в разделе "Подсети" ваша подсеть филиала описана???

Да, сеть прописана. Я конечно понимаю, что правильно создать отдельный сайт, прописать туда сеть, установить туда КД и отвезти его в удаленный офис. Но надо справиться без этого.

bst-botsman · 02 июн 2020, 10:32

тут есть еще один нюанс... Проверьте - регистрируются ли ваши клиенты (из филиала) в DNS???
частенько бывает что сторонний DHCP-сервер не регистрирует клиентов в DNS AD...

Aivc · 02 июн 2020, 16:31

bst-botsman писал(а): ↑02 июн 2020, 10:32 тут есть еще один нюанс... Проверьте - регистрируются ли ваши клиенты (из филиала) в DNS???
частенько бывает что сторонний DHCP-сервер не регистрирует клиентов в DNS AD...

Да, в ДНСе компы прописываются.

rtfm · 02 июн 2020, 17:38

Попробуйте руками прописать днс суффикс в сетевухе
Какой днс получает клиент, тот же что и в КД? Если нет, то прописан ли опрос в получаемом ДНС?

Aivc · 03 июн 2020, 09:55

rtfm писал(а): ↑02 июн 2020, 17:38 Попробуйте руками прописать днс суффикс в сетевухе
Какой днс получает клиент, тот же что и в КД? Если нет, то прописан ли опрос в получаемом ДНС?

Aivc писал(а): ↑01 июн 2020, 17:27 Во втором офисе DHCP раздает микротик (пул 192.168.201.0/24) с указанием DNS на контроллер домена - 10.0.88.10 плюс указан префикс домена. В результате компьютер в сети 192.168.201.х "ПК01" получает адрес с микротика и спокойно пингует контроллер в головном офисе по имени "DC02".

Aivc · 03 июн 2020, 17:33

Тему можно закрывать.
Сделал другим методом.

Компьютеры в домене через VPN

Вход • Регистрация