none
关于加入AD的疑问 RRS feed

  • 问题

  • 我的物理环境是这样的:

    DC: WIN2008 R2   IP:192.168.1.1 域名:DC.A.COM

    安装服务: 域控制器(主控制器)、DNS服务器、IIS服务器

    局域网内所有计算机通过设置主DNS192.168.1.1能正常加入DC,成为DC的一员

    问题如下:

    我有一个外网固定IP 202.1.1.1.,已通过域名解析到DC 192.168.1.1上,并且能通过域名 DC.A.COM正常访问IIS或远程桌面

    但我现在希望在外网把其中一台PC加入到DC里(已在PC上把首DNS设置成202.1.1.1,并能PING 202.1.1.1 通过),为何无法加入AD?

    烦请大家帮帮我,谢谢!

    2013年7月19日 2:22

答案

  • 您好! 根据我的研究,你应该在DC上将DNS服务器地址设置为192.168.1.1,客户端的DNS服务器地址也指向192.168.1.1,如果客户端需要加入域的话,可以通过VPN拨入,然后客户端会获得一个内网地址,就可以顺利加入到域了。

    希望我的回答对您有所帮助,如果有不清楚的地方,请告诉我。


    微软一站式示例脚本库: http://blogs.technet.com/b/onescript

    2013年7月19日 8:49
    版主

全部回复

  • 您好

    PC: DNS 應該要設定 192.168.1.1

    2013年7月19日 2:33
  • 您好

    PC: DNS 應該要設定 192.168.1.1

    那在DC上,我还需要在DNS服务设置多一个主机 202.1.1.1 的解析吗?

     

    2013年7月19日 3:23
  •  不能在網際網絡這樣做...

    你需要用VPN把電腦連接入局域網絡再進行加入DC的步驟


    邊幫助, 邊鍛鍊

    2013年7月19日 3:29
  •  不能在網際網絡這樣做...

    你需要用VPN把電腦連接入局域網絡再進行加入DC的步驟


    邊幫助, 邊鍛鍊

    如果是这样操作的话 我又有疑问

    如果用VPN的方法登入不是很麻烦?(先登录系统,再连接VPN,注销后再重新登入域,这样做不是没什么意义?) 

    2013年7月19日 3:36
  • 看你的目的吧, 原本AD的設計就只是服務局域以內的資源和機器, 也建基在保安理由上..

    試想一下, 假如一部電腦常常在網際網絡, 而DC經常不能掌握它的資訊, 或是更新它的組策略原則, 那麼加入網域也是枉然噢.

    所以先登入VPN是很正常的事~很多路由器都可以提供基本PPTP VPN功能, 讓外網電腦簡易地接入局域網

    假使公司開設一個分公司, 也要先設Site to Site VPN設備, 再到AD裡開設另一個Site來管理...

    其實從Windows Server 2008開始就有提供Direct Access, 讓外部使用者更快捷地提取到公司的局域網內資源了

    但是加入網域這一環, 很多時也只有兩個方法

    1. 電腦先回去公司連接一下網絡

    2. 從外面以VPN接入


    邊幫助, 邊鍛鍊

    2013年7月19日 3:53
  • 看你的目的吧, 原本AD的設計就只是服務局域以內的資源和機器, 也建基在保安理由上..

    試想一下, 假如一部電腦常常在網際網絡, 而DC經常不能掌握它的資訊, 或是更新它的組策略原則, 那麼加入網域也是枉然噢.

    所以先登入VPN是很正常的事~很多路由器都可以提供基本PPTP VPN功能, 讓外網電腦簡易地接入局域網

    假使公司開設一個分公司, 也要先設Site to Site VPN設備, 再到AD裡開設另一個Site來管理...

    其實從Windows Server 2008開始就有提供Direct Access, 讓外部使用者更快捷地提取到公司的局域網內資源了

    但是加入網域這一環, 很多時也只有兩個方法

    1. 電腦先回去公司連接一下網絡

    2. 從外面以VPN接入


    邊幫助, 邊鍛鍊

    感谢您的回复。

    我的目的只有一个,通过组策略管理所有用户。如果用VPN先拨入再登入,对于组策略和用户漫游配置,就是很现实。

    2013年7月19日 3:56
  • 我明白你的用意,

    所以佈署的時候你也可以考慮把連接入VPN這一環也包含在那些電腦的Logon Script裡, 讓使用者無縫接入環境

    其實加入網域原本就需要網域管理員帳號, 並不能隨隨便便就讓人在網際網絡去做這種事

    假如你的公司有很多漫遊電腦, 我建議你考慮微軟另一套方案 - Mircosoft Intune

    http://technet.microsoft.com/zh-tw/windows/intune.aspx

    它主要用以掌控網際網絡上的電腦, 例如查看它們的更新狀態, 防毒狀態等等..



    邊幫助, 邊鍛鍊


    2013年7月19日 4:05
  • 您好

    PC: DNS 應該要設定 192.168.1.1

    不行

    我在外网的PC上设置DNS 192.168.1.1 无法加入域 毕竟192.168.1.1是内网而不是外网的IP

    同时 我在PC上设置202.1.1.1 当PING DC.A.COM 的时候,返回的IP是192.168.1.1 不通(毕竟192.168.1.1是内网IP而不是外网IP)

    所以 是否还得在DNS服务器上设置多一个主机记录202.1.1.1?

    2013年7月19日 7:14
  • 您好! 根据我的研究,你应该在DC上将DNS服务器地址设置为192.168.1.1,客户端的DNS服务器地址也指向192.168.1.1,如果客户端需要加入域的话,可以通过VPN拨入,然后客户端会获得一个内网地址,就可以顺利加入到域了。

    希望我的回答对您有所帮助,如果有不清楚的地方,请告诉我。


    微软一站式示例脚本库: http://blogs.technet.com/b/onescript

    2013年7月19日 8:49
    版主
  • 您好! 根据我的研究,你应该在DC上将DNS服务器地址设置为192.168.1.1,客户端的DNS服务器地址也指向192.168.1.1,如果客户端需要加入域的话,可以通过VPN拨入,然后客户端会获得一个内网地址,就可以顺利加入到域了。

    希望我的回答对您有所帮助,如果有不清楚的地方,请告诉我。




    感谢这位朋友的回复。

    但撇开VPN拨入,难道没有办法外网的PC 加入AD了吗?

    谢谢

    2013年7月19日 12:45
  • 您也可以通过配置DirectAccess来实现。

    微软一站式示例脚本库: http://blogs.technet.com/b/onescript

    2013年7月30日 8:27
    版主