iT邦幫忙

0

Windows 10 在網域中DNS IP設定成不是AD 主機時 在存取其他的檔案伺服器時會出現需要帳號密碼??

Windows 10 在登入網域後.如果DNS 不是指定IP為AD 伺服器的IP,則存取其他的主機就會跳出需要帳號密碼,若將DNS指定為 AD 伺服器的IP 則存取其他的主機時就不會跳出需要帳號密碼,

由於基於它是筆電..總不能叫老闆一直改DNS的IP ..
防火牆的部份是使用 monowall ,在DHCP中沒法另外指定DNS ,在DNS 中有另外設定了DNS Forward
手動指定了 ad.xxx.com.tw 了到內部 ad主機 ,也看DN 的IP 確認無誤
AD 為Windows server 2008

請問...這發生了什麼事

看更多先前的討論...收起先前的討論...
slime iT邦大師 1 級 ‧ 2016-10-19 22:53:36 檢舉
1. 有 AD 時, 建議 Client 的 DNS 指向有 DNS 功能的 DC , DNS Server 再設定 forward DNS 為 ISP 的 DNS .
2. 可以設定預帶尾碼治標.
一般而言,DNS 應該會有兩組可以設定,第一組設定為 內部 AD DNS,第二組設定為 外部 DNS
如此設定當 筆電 拿出去使用時,找不到 內部 AD DNS 時,就會自動跳第二組查詢
另外就是,一般來說,用戶端的 IP 都應該是自動取得,筆電在公司內使用,取得的 IP 設定資料,應該就能夠存取公司內部資源
拿到外面使用,取得的 IP 設定資料,也一定是能夠存取網路才對
但如果你要讓在外面使用也能夠使用公司內資源,你必須建立 VPN 伺服器,透過 VPN 連進公司網路
根據微軟的 AD 架構,用戶端必須透過 DNS 的 _msdcs 內的 srv 紀錄找到服務主機進行 kdc 認證,才能存取網域內的主機資源,所以只要需要去存取主機資源,就算你開機用網域帳號登入,但是沒有取得 kdc 的權柄,就沒有權限登入網域內的主機資源,必須在一次經過認證才行,根據你的問題,答案是 yes ,因為沒有取得登入權柄,就無權登入任何的主機資源,在網域內,你必須讓用戶端能夠跟 dns 查詢到 網域內的 _msdcs 內的 srv 紀錄才可以取得 kdc 認證,並獲得登入網域資源的權柄,這沒有第二條路

1 個回答

0
raytracy
iT邦大神 1 級 ‧ 2016-10-20 22:08:14

你把 m0n0wall 自己的: System > General Setup > DNS Server 設定成 AD 的 DNS Server IP, 他就會自動派給 Client 端 AD 的 DNS 了....

看更多先前的回應...收起先前的回應...
zuyan iT邦好手 1 級 ‧ 2016-10-21 01:37:46 檢舉

我試試...因為有設定 Captive Portal 其他的USER 不知回應會不會正常..

zuyan iT邦好手 1 級 ‧ 2016-10-24 15:45:26 檢舉

設定m0m0wall 後Client DHCP 抓到的DNS還是Gateway的IP

zuyan iT邦好手 1 級 ‧ 2016-10-24 15:55:13 檢舉

把DNS forwarder關掉就可以了

fairy715 iT邦新手 5 級 ‧ 2016-10-27 14:40:18 檢舉

關掉dns forwarder 應該captive portal又會不正常
照理說開了dns forwarder ,client 的dns是gatewayip ,他會拋給 System > General Setup > DNS Server 這邊設定的dns 作處理

zuyan iT邦好手 1 級 ‧ 2016-10-29 11:17:39 檢舉

結論
LAN DHCP 套用 WAN DNS設定值的話,DNS forwarder 這個選項要取消,LAN 的DHCP DNS值才會套用WAN端的 DNS 的設定值..

我要發表回答

立即登入回答