Добрый день!
Столкнулся проблемой,имеется 2 офиса соединенных ipsec ikev2 тунелем.В центральном офисе циска,в удаленном подразделении микротик rb962.Соединение установлено,пинги проходят в 2 стороны.Но при попытке ввода пк в домен,получаю сообщение,домен не найден или отбивка по таймауту(Не удалось присоединить компьютер "DESKTOP-3P0K4V3" из его текущей рабочей группы "WORKGROUP" к домену "
office.ru", сообщение об ошибке: Указанный домен не существует или к нему невозможно подключиться)
Что делалось:
1)Прописывал dns сервер центрального офиса
2)Перенаправлял запросы dns от имени домена на ip домен контроллера через l7 метки
3)Проверялась доступность 53 порта для контроллера домена(доступность есть)
4)Создавались статические записи в dns в удаленном подразделении,kerberos.ldap.dc и прочее.
Насколько понял,при соединении ipsec не создается интерфейс и нельзя перенаправить через него траффик(возможно ошибаюсь).
Powershell
***
Add-Computer -DomainName office.ecr.ru Командлет Add-Computer в конвейере команд в позиции 1 Укажите значения для следующих параметров:
Credential
Add-Computer : Не удалось присоединить компьютер "DESKTOP-3P0K4V3" из его текущей рабочей группы "WORKGROUP" к домену "
office.ecr.ru", сообщение об ошибке: Указанный домен не существует или к нему невозможно подключиться.
строка:1 знак:1
+ Add-Computer -DomainName office.ecr.ru
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo : OperationStopped: (DESKTOP-3P0K4V3:String) [Add-Computer], InvalidOperationException
+ FullyQualifiedErrorId : FailToJoinDomainFromWorkgroup,Microsoft.PowerShell.Commands.AddComputerCommand
PS C:\Windows\system32> Test-NetConnection 10.10.0.8 -Port 53
ComputerName : 10.10.0.8
RemoteAddress : 10.10.0.8
RemotePort : 53
InterfaceAlias : Ethernet
SourceAddress : 192.168.88.12
TcpTestSucceeded : True
PS C:\Windows\system32> nltest /dnsgetdc:office.ru
ОШИБКА. Сбой DNS-сервера: Status = 1460 0x5b4 ERROR_TIMEOUT
PS C:\Windows\system32> Test-NetConnection 10.10.0.8
ComputerName : 10.10.0.8
RemoteAddress : 10.10.0.8
InterfaceAlias : Ethernet
SourceAddress : 192.168.88.12
PingSucceeded : True
PingReplyDetails (RTT) : 5 ms
***
Подскажите,как можно связать удаленный офис с центральным,чтобы оба офиса работали с ad и могли применяться политики gpo?
ipsec ikev2 проблема с добавлением в домен удаленного офиса
-
aleksandr.rusin
- Сообщения: 26
- Зарегистрирован: 06 авг 2018, 15:33
- Откуда: Moscow
- Контактная информация:
при ipsec шлюз не создается - траффик отправляется правилами
что необходимо проверить
1) что трафик в сторону циски исключен из nat, примерно таим правилом которое должно стоять перед правилом общего ната или маскардинга:
2) обязательно проверить что правила на обеих концах тоннеля строго зеркальны , cisco будет всегда рвать тоннель всегда если правила разняться.
3) есть два варианта перенаправления dns:
первый, через i7 как вы написали , главное не забывать, что это работает если сам микротик является dns сервером для клиента, но тем неимение напомню:
второй способ форвода dns через настройку статического dns на микротике с помощью regexp выражений, главное не забывать, что это работает если сам микротик является dns сервером для клиента, для этого делятся две записи :
Второй способ выглядит более простым, но я предпочитаю первый способ
p.s. да , была замечена еще одна проблема с i7, если данные правила были созданы в 6 версии , а потом микрот обновили на 7, они почем-то переставали работать, приходилось их удалять и добавлять заново
что необходимо проверить
1) что трафик в сторону циски исключен из nat, примерно таим правилом которое должно стоять перед правилом общего ната или маскардинга:
Код: Выделить всё
0 ;;; no NAT
chain=srcnat action=accept src-address=[локальная подсеть]
dst-address=[удаленная подсеть] log=no log-prefix=""3) есть два варианта перенаправления dns:
первый, через i7 как вы написали , главное не забывать, что это работает если сам микротик является dns сервером для клиента, но тем неимение напомню:
Код: Выделить всё
/ip firewall layer7-protocol add name=domain.local regexp=domain.local
/ip firewall mangle add chain=prerouting dst-address=[локальны ip микротика] layer7-protocol=domain.local action=mark-connection new-connection-mark=domain.local-fwd protocol=tcp dst-port=53
/ip firewall mangle add chain=prerouting dst-address=[локальны ip микротика] layer7-protocol=domain.local action=mark-connection new-connection-mark=domain.local-fwd protocol=udp dst-port=53
/ip firewall nat add action=dst-nat chain=dstnat connection-mark=domain.local-fwd to-addresses=[ip домен контроллера]
/ip firewall nat add action=masquerade chain=srcnat connection-mark=domain.local-fwdКод: Выделить всё
21 laba.local A 192.168.222.253 1d
20 ^.+(laba.local).*$ FWD 1d p.s. да , была замечена еще одна проблема с i7, если данные правила были созданы в 6 версии , а потом микрот обновили на 7, они почем-то переставали работать, приходилось их удалять и добавлять заново
Малое знание опасно , впрочем как и большое.
-
karacel
- Сообщения: 4
- Зарегистрирован: 01 окт 2024, 10:18
aleksandr.rusin писал(а): ↑25 окт 2024, 21:31 при ipsec шлюз не создается - траффик отправляется правилами
что необходимо проверить
1) что трафик в сторону циски исключен из nat, примерно таим правилом которое должно стоять перед правилом общего ната или маскардинга:2) обязательно проверить что правила на обеих концах тоннеля строго зеркальны , cisco будет всегда рвать тоннель всегда если правила разняться.Код: Выделить всё
0 ;;; no NAT chain=srcnat action=accept src-address=[локальная подсеть] dst-address=[удаленная подсеть] log=no log-prefix=""
3) есть два варианта перенаправления dns:
первый, через i7 как вы написали , главное не забывать, что это работает если сам микротик является dns сервером для клиента, но тем неимение напомню:второй способ форвода dns через настройку статического dns на микротике с помощью regexp выражений, главное не забывать, что это работает если сам микротик является dns сервером для клиента, для этого делятся две записи :Код: Выделить всё
/ip firewall layer7-protocol add name=domain.local regexp=domain.local /ip firewall mangle add chain=prerouting dst-address=[локальны ip микротика] layer7-protocol=domain.local action=mark-connection new-connection-mark=domain.local-fwd protocol=tcp dst-port=53 /ip firewall mangle add chain=prerouting dst-address=[локальны ip микротика] layer7-protocol=domain.local action=mark-connection new-connection-mark=domain.local-fwd protocol=udp dst-port=53 /ip firewall nat add action=dst-nat chain=dstnat connection-mark=domain.local-fwd to-addresses=[ip домен контроллера] /ip firewall nat add action=masquerade chain=srcnat connection-mark=domain.local-fwdВторой способ выглядит более простым, но я предпочитаю первый способКод: Выделить всё
21 laba.local A 192.168.222.253 1d 20 ^.+(laba.local).*$ FWD 1d
p.s. да , была замечена еще одна проблема с i7, если данные правила были созданы в 6 версии , а потом микрот обновили на 7, они почем-то переставали работать, приходилось их удалять и добавлять заново
Спасибо за ответ!
В моем случае, dns сервер на сервере в ad.(в подсети 10.10.0.0\24)
1)Правила траффика "что трафик в сторону циски исключен из nat" прописано,
2)Правила на обеих концах тоннеля строго зеркальны,соединение стабильно
3)Насколько я понимаю, нужно каким-то образом перенаправить netbios запросы в туннель,при добавлении в домен, посылаются netbios широковещательные запросы,но пока не знаю как это сделать.Выше приведенные методы не сработали.
-
aleksandr.rusin
- Сообщения: 26
- Зарегистрирован: 06 авг 2018, 15:33
- Откуда: Moscow
- Контактная информация:
Никаких широковещательных запросов не передается при добавление в домен
Забудет про широковещательные запросы в принципе. если есть правильно настроенный dns .
что возвращает за микротом nslookup office.ru?
Малое знание опасно , впрочем как и большое.
-
karacel
- Сообщения: 4
- Зарегистрирован: 01 окт 2024, 10:18
DNS request timed out.aleksandr.rusin писал(а): ↑31 окт 2024, 05:27Никаких широковещательных запросов не передается при добавление в домен
Забудет про широковещательные запросы в принципе. если есть правильно настроенный dns .
что возвращает за микротом nslookup office.ru?
timeout was 2 seconds.
*** Превышено время ожидания запроса UnKnown
При добавлении в домен
Произошла ошибка: "Ошибка DNS-сервера."
(код ошибки: 0x0000232A RCODE_SERVER_FAILURE)
Опрос проводился для SRV-записи для _ldap._tcp.dc._msdcs.office.ru
Пытался добавлять записи dns для поиска домена
/ip dns cache print
Flags: S - STATIC
Columns: NAME, TYPE
# NAME TYPE
0 S _ldap._tcp.pdc._msdcs.office.ru SRV
1 S _ldap._tcp.gc._msdcs.office.ru SRV
2 S _kerberos._tcp.dc._msdcs.office.ru SRV
3 S _ldap._tcp.dc._msdcs.office.ru SRV
4 S office.ru A
5 S gc._msdcs.office.ru A
6 S 544077de-a6d1-4145-9a66-3a0486b37c90._msdcs.office.ru CNAME
7 S router.lan A
8 S shell A
9 S domains._msdcs.office.ru SRV
10 S _ldap._tcp.office.ru SRV
11 S _ldap._tcp.dc._msdcs.office.ru SRV
12 S _ldap._tcp.default-first-site-name._sites.gc._msdcs.office.ru SRV
13 S _ldap._tcp.default-first-site-name._sites.dc._msdcs.office.ru SRV
14 S _ldap._tcp.controller._msdcs.office.ru SRV
15 S _ldap._tcp.Default-First-Site-Name._sites.office.ru SRV
16 S _ldap._tcp.gc._msdcs.office.ru SRV
17 S _kerberos._tcp.office.ru SRV
18 S _kerberos._tcp.Default-First-Site-Name._sites.office.ru SRV
19 S _kerberos._tcp.default-first-site-name._sites.dc._msdcs.office.ru SRV
20 S _kerberos._tcp.dc._msdcs.office.ru SRV
21 S _kerberos._udp.office.ru SRV
22 S _kpasswd._tcp.office.ru SRV
23 S _kpasswd._udp.office.ru SRV
24 S _tcp.default-first-site-name._sites.dc._msdcs.office.ru SRV
25 S _tcp.Default-First-Site-Name._sites.office.ru SRV
26 S _tcp.default-first-site-name._sites.gc._msdcs.office.ru SRV
27 S _tcp.gc._msdcs.office.ru SRV
28 S default-first-site-name._sites.gc._msdcs.office.ru SRV
29 S gc._msdcs.office.ru SRV
30 S _gc._tcp.office.ru SRV
31 S _gc._tcp.Default-First-Site-Name._sites.office.ru SRV
32 S _sites.gc._msdcs.office.ru SRV
33 S _vlmcs._tcp.office.ru SRV
Если указать адрес dns AD ,то так же таймаут.
-
karacel
- Сообщения: 4
- Зарегистрирован: 01 окт 2024, 10:18
UPaleksandr.rusin писал(а): ↑31 окт 2024, 05:27Никаких широковещательных запросов не передается при добавление в домен
Забудет про широковещательные запросы в принципе. если есть правильно настроенный dns .
что возвращает за микротом nslookup office.ru?
Создал тестовый стенд в eve ng,между 2 микротиками,там все работает,теперь буду искать причину, почему на оборудовании не срабатывает.Огромное спасибо!