筆電加入AD後，到外部網路環境竟能登入AD帳號??!!

wolfonone 2011-04-29 09:27:33 ‧ 16542 瀏覽

請教各位大大..
小弟最近碰到難解問題
筆電加入AD後，在公司內部網路使用正常，但在公司外部網路環境卻莫名其妙可以登入AD帳號(照理來講是不行的)，產生這個情形後精彩的就來了....網路功能在外部就完全不能使用(無論AD或本機帳號)，而所謂的不能使用是指..tcp/ip設定都正常，硬體也都運作正常，但就是無法上網，然而拿回公司後，使用內部網路環境，卻又一切正常。
發問總結..
1.為何以加入AD的筆電，在沒有刻意破解與沒有使用虛擬連線的狀況下卻能在外部網路環境下登入AD帳號?
2.又為何發生此狀況後，筆電的網路就變成在外部都不能使用(無論本機還是AD帳號都一樣)

麻煩邦幫忙裡的高手們能幫小弟提點提點~甘溫阿~

看更多先前的討論...收起先前的討論...

tom6507 iT邦大師 1 級 ‧ 2011-04-29 10:33:43 檢舉

所謂的正常是否將tcpip設定值都設定為自動

賽門 iT邦超人 1 級 ‧ 2011-04-29 13:33:24 檢舉

可能公司網域有設定群組規則, 規則中有設定Proxy....

到外部網路時, 改以本機帳號登入.

回到公司再以公司網域帳號登入.

這是SOP.

wolfonone iT邦新手 5 級 ‧ 2011-04-29 13:48:11 檢舉

Hell tom6507 大大

感謝你的回應

關於你提出的問題，NB的網路環境設定是確定沒問題的，正是因為如此才會成為難題

真的是一點頭緒都沒有，感覺起來第一個問題跟第二個問題是有相關聯的只是找不出當中的因果關係

tom6507 iT邦大師 1 級 ‧ 2011-04-29 13:50:37 檢舉

請問AD與NB的OS分別是什麼

wolfonone iT邦新手 5 級 ‧ 2011-04-29 13:57:26 檢舉

Hello simon581923 大大

感謝你的回應

1.公司網域有設定群組，但規則不知道是怎麼設定的，proxy本公司並沒有使用與架設
2.那關於我發問中第一個問題和第二個問題他們是否有因果關係?

wolfonone iT邦新手 5 級 ‧ 2011-04-29 14:03:35 檢舉

OS是 XP SP3

賽門 iT邦超人 1 級 ‧ 2011-04-29 14:04:58 檢舉

wolfonone提到：
第一個問題和第二個問題他們是否有因果關係?

一定有, 因為公司網域可以設定很多群組規則, 這些規則是伴隨著網域帳號所隸屬群組而來的.

如果群組規則中有限制, 在外部網路登入網域帳號, 同樣會套用相同的規則.

但, 我比較好奇的是, 用本機帳號也會把群組規則套用的情況是否發生? 這種情形我是還沒見過.

所以, 有可能, 那台筆電的網路相關設定已亂掉了.

請版大用本機Administrator帳號登入, 把TCP/IP設定Release再Renew看看.

tom6507 iT邦大師 1 級 ‧ 2011-04-29 14:05:37 檢舉

AD是否為2008

wolfonone iT邦新手 5 級 ‧ 2011-04-29 14:07:08 檢舉

server 2003

tom6507 iT邦大師 1 級 ‧ 2011-04-29 15:01:51 檢舉

在cmd模式下執行這個指令看看

netsh winsock reset

花輪 iT邦大師 1 級 ‧ 2011-04-29 16:22:12 檢舉

simon581923提到：
用本機帳號也會把群組規則套用的情況是否發生

回賽大：
local policy是第一個被套用的，它會被後面套用的 site、domain、ou 的 gpo 蓋掉（衝突的話），尤其是針對 computer 套用的 gpo！

Ken(Bigcandy) iT邦大師 1 級 ‧ 2011-05-02 11:15:12 檢舉

筆電的網路就變成在外部都不能使用

你這問題，有太多可能性了
1.有線、無線同時啟動

2.資安設備管控
2A.你可以連線之處，有允許你連線，且保留你的連線資訊，你能重新、快速連線
2B.你不能連線之處，該處資安設備、IP分享器有管控，你不能連

3.承2，你的IP或是MAC被封鎖

4.你的IP設定錯誤，如果自動取得IP不通，那就請手動改一個IP來測試

5.DNS設定錯誤

NB的網路環境設定是確定沒問題的

何謂沒問題？

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

6 個回答

ghost234

iT邦新手 4 級 ‧ 2011-04-29 09:57:14

最佳解答

我記得這好像是正常的

因為在外部時，你登入網域

好像只是暫時在電腦本機中做記錄

而非『真正登入網域』

故相關網域資源都不能用

回應 2
分享
檢舉

wolfonone iT邦新手 5 級 ‧ 2011-04-29 13:59:45 檢舉

感謝你的回應 ghost234 大大

所以可以在外部網路環境登入ad帳號是正常的，那想清問一下大大會是何種原因導致發問中第二個問題的發生?

ap204333 iT邦新手 4 級 ‧ 2011-05-01 02:01:26 檢舉

第二個問題....會不會是proxy? 或者AD裡的GPO來管制...很多公司網管會用這些個方式...因為常常替到我公司的客戶,解決他們來訪時不能上網的問題

登入發表回應

Tony

iT邦高手 4 級 ‧ 2011-04-29 10:00:32

1.一般而言, 只要曾經在連線網域狀態下, 登入過網域, 則該電腦即會有該帳戶登入(快取)資料, 所以, 網域離線時, 的確是可以正常登入網域。
2.無法上網的情形, 有可能是電腦TCP/IP的設定, 不適合外部環境, 如Gateway, DNS的設定, 建議可以詢問一下外部環境的TCP/IP的正確設定。

回應 4
分享
檢舉

看更多先前的回應...收起先前的回應...

seend iT邦新手 5 級 ‧ 2011-04-29 10:30:53 檢舉

印象中，離線登入是有次數限制的

tom6507 iT邦大師 1 級 ‧ 2011-04-29 11:12:36 檢舉

50次

wolfonone iT邦新手 5 級 ‧ 2011-04-29 14:02:41 檢舉

Hello m32243 大大

感謝你的回應

關於筆電網路環境設定值的部分確定是沒問題的

但就是發生發問內容的問題1後就沒辦法在外部網路上網(本機帳號亦是如此)

毫無頭緒問題是出在哪

Tony iT邦高手 4 級 ‧ 2011-04-30 12:00:52 檢舉

我還是認為問題點在於TCP/IP的設定,
是否麻煩說明一下, IP設定(取得)的方式?DHCP or 手動?
不管如何取得, 不能上網通常是出在IP或DNS的設定,
可以用ipconfig /all檢視電腦的IP,
再Ping 168.95.1.1是否回應正常?
如果 Reply from 168.95.1.1: bytes=32 time=xxxms TTL=xxx,
那代表網路是通的,
那最有可能就是DNS的問題。
另外, 如果IE有設Proxy, 也會有無法上網的可能,
這部份, 可能得麻煩檢視一下。

登入發表回應

oowo

iT邦高手 1 級 ‧ 2011-04-29 15:51:13

一、該筆電的作業系統是?
二、是否有針對網路的部分使用GPO?
三、檢查網路設定值…(有線跟無線的部分…內部驗證模式?及相關設定…)
有些為了公全性考量會強迫針對二、三點進行限制…
問題一的狀況是很正常，就如上面的老大們所說，那是所謂的離線登入的…

回應
分享
檢舉

登入發表回應

aesop

iT邦研究生 4 級 ‧ 2011-04-29 16:00:32

這是正常的啊
預設
如果無法連線到DC後
還可以登入10次
例如 mary 曾經登入過這台
即便是無法連線到DC 他還是可以登入10次

但是如果
john 不曾用過這台
那就不行

這個設定可以透過 GPO 修改

在 [電腦設定][Windows 設定][安全性設定][本機原則][安全性選項]
[互動式登入：先前網域控制站無法使用時的登入快取次數}
預設值是 10
以下是參考資料
http://technet.microsoft.com/zh-tw/library/cc755473%28WS.10%29.aspx

回應
分享
檢舉

登入發表回應

花輪

iT邦大師 1 級 ‧ 2011-04-29 16:24:26

client 是 xp＋sp3，AD 是 2003，所以不會是 NAP...

除了 GPO 之外，有沒有可能是 802.1X 的關係？！請樓主確認！！

回應
分享
檢舉

登入發表回應

szm

iT邦新手 5 級 ‧ 2011-06-21 08:38:09

網卡是設定成自動取得ip還是手動設定ip呢？
如果gpo沒有設定網路相關的限制，不能上網應該是本機網路設定的問題；
看一下有沒有拿到DHCP分到的ip，能不能ping到gateway，能不能ping到外部的真實ip（例如168.95.1.1），能不能解析FQDN（例如ping www.google.com.tw），必要時在command line下ipconfig/flushdns的指令看看～