windows10加入AD,找不到網絡路徑。
阿新 • • 發佈:2018-02-07
name cname tro 說明 事故 域控 虛擬桌面 正常 安裝 這是一起對抗勒索病毒引發的事故。
簡單的說,win10加域,無論DC和PC是否在同一個網段,都必須保證445端口能正常通信。
為什麽這樣強調,因為win7不需要,這可能是他們的SMB版本不一樣導致。
事情經過是這樣的:
當時為了抵抗勒索病毒,我在三層交換機上針對每個接口做了禁止訪問445端口的ACL,因為是應急,所以沒有做相關的日誌說明,早就忘了這茬了,就是這時埋下的故障隱患。
簡單的說,win10加域,無論DC和PC是否在同一個網段,都必須保證445端口能正常通信。
為什麽這樣強調,因為win7不需要,這可能是他們的SMB版本不一樣導致。
事情經過是這樣的:
當時為了抵抗勒索病毒,我在三層交換機上針對每個接口做了禁止訪問445端口的ACL,因為是應急,所以沒有做相關的日誌說明,早就忘了這茬了,就是這時埋下的故障隱患。
上個月在做桌面雲時,發現win7加不了域(帶機網關為屏蔽了445的三層交換機),故障表現為:加域能彈出輸入帳號密碼的窗口,但最後會報錯:找不到網絡路徑。抓包也沒查出原因,於是嘗試在和虛擬機同網段下新增一臺額外域控,win7加域問題也因此解決。這樣也讓我更加堅信是防火墻DNS透明代理設置不妥造成的(因為我的DC部署在防火墻的DMZ區域)。
前幾天質控部門打算更換一批PC,因為質控軟件較老,不支持win7,突發奇想在win10上嘗試安裝了下,居然裝上了。所以就想弄個虛擬桌面,先讓win10跑軟件測試一段時間。這時win10加域的毛病又來了,但這次更絕,提示和win7加域故障類似,即使同網段也一樣。
net use \\dcname.local\ipc$
返回:找不到網絡路徑 53折騰好幾天,最後下午突然想起交換機屏蔽445這事,取消配置,一切順利了~
這說明:win7加域,PC和DC同網段下,不需要445端口,跨網段,則需要。
win10加域,不管PC和DC在不在一個網段下,都需要445端口。
個人愚見,不喜勿噴。
windows10加入AD,找不到網絡路徑。