问：分公司和总公司是由Netscreen,sitetositeVPN连接分别为172.30.100.*和172.30.35.*网段
ad在总部的服务器网段内，前面还有台netscreen
总公司内部使用域没有任何问题。
分公司网段内的PC能够ping通ad，dns，wins解析都非常正常，能够平通**.com域名，telnet
53、88、135、139、445、389、1025、636、3268、3269端口都是通的
远端客户端不能加域，能够弹出加域时输入的加域认证的窗口，输入后，等很久报错“域控制器不可再用”
在总部加好域的机器，拿到分公司，nettime不成功，gpupdate/force可以（但非常慢），原没有登陆过这台机器的新用户，能够登陆这台机器（不过时间会非常长，起码30分钟），分公司机器上可以直接mstsc到ad，可以共享目录访问ad

请高手帮忙分析一下

 

回答：

 

您好！

由于您总公司内部使用的客户端可以正常登陆到域，而且远程客户端也可以PING通域控制器的IP地址，DNS服务器地址，建议您做以下测试：

1. 在远程客户端上，点击“开始→运行”并输入“CMD”→Ping域控制器的IP地址加-t参数，察看都否有丢包的现象。

2. 在远程客户端上使用NSLOOKUP工具验证 DC的SRV 记录在客户端是否可以解析，具体的操作步骤如下：
a. 在“打开”框中，键入 cmd。
b. 键入 nslookup，然后按 Enter。
c. 键入 set type=all，然后按 Enter。
d. 键入 _ldap._tcp.dc._msdcs.Domain_Name，其中 Domain_Name 为域名，然后按 Enter。

Nslookup 将返回显示为以下格式的一个或多个 SRV 服务位置记录，其中，Server_Name 为域控制器的主机名，Domain_Name 为域控制器所属的域，Server_IP_Address 为域控制器的 Internet 协议 (IP) 地址。

更多信息您可以参考以下文章：
如何验证是否为域控制器创建了 SRV DNS 记录
http://support.microsoft.com/kb/816587/zh-cn

3. 使用Portqry工具为轻量目录访问协议 (LDAP)、远程过程调用 (RPC) 和域名服务 (DNS) 验证 Active Directory 所使用的 TCP/IP 端口的是否可以在客户端进行连接。

具体的操作步骤请参考以下文章：
如何使用 Portqry 解决 Active Directory 连接问题
http://support.microsoft.com/kb/310456/zh-cn

4. 如果以上步骤未能找出问题所在，请检查有问题的客户端系统日志和应用程序日志，把错误事件的具体信息贴到新闻组，包括事件ID、事件类型和事件描述，同时提供加入域时的报错截屏。

希望我的回答对您有所帮助。

Tom Zhang 张一平
在线技术支持工程师
微软全球技术支持中心
---------------------------------------------------------------------------------------
我们的服务时间：周一至周五9:00-18:00（节假日除外）。我们将在两个工作日（48小时）内提供初始回应，并和您一起研究并解决问题。更多微软新闻组技术支持信息，请访问：http://support.microsoft.com/gp/newsgroupsupport/zh-cn.

回帖时，请在您的新闻组阅读器中使用“回复组(Reply to Group)”，这将帮助其他用户从您的提问中获益
---------------------------------------------------------------------------------------
本贴子以”现状”提供且没有任何担保，同时也没有授予任何权利。

 

gnaw0725回答：

首先，client与dc的通讯需要使用到rpc，而rpc需要1024以上所有高位端口。
故而，讲client与dc之间分割开来是存在问题，您应该考虑在分公司也放置一台dc，
然后利用dc之间的replication进行同步。
微软对于如何让dc的replication通过防火墙是有文档的。
http://www.microsoft.com/china/technet/windows2000/win2ksrv/adrepfir.asp
http://support.microsoft.com/kb/179442/zh-cn