這是一起對抗勒索病毒引發的事故。
簡單的說,win10加域,無論DC和PC是否在同一個網段,都必須保證445端口能正常通信。
爲什麼這樣強調,因爲win7不需要,這可能是他們的SMB版本不一樣導致。
事情經過是這樣的:
當時爲了抵抗勒索病毒,我在三層交換機上針對每個接口做了禁止訪問445端口的ACL,因爲是應急,所以沒有做相關的日誌說明,早就忘了這茬了,就是這時埋下的故障隱患。
上個月在做桌面雲時,發現win7加不了域(帶機網關爲屏蔽了445的三層交換機),故障表現爲:加域能彈出輸入帳號密碼的窗口,但最後會報錯:找不到網絡路徑。抓包也沒查出原因,於是嘗試在和虛擬機同網段下新增一臺額外域控,win7加域問題也因此解決。這樣也讓我更加堅信是防火牆DNS透明代理設置不妥造成的(因爲我的DC部署在防火牆的DMZ區域)。
前幾天質控部門打算更換一批PC,因爲質控軟件較老,不支持win7,突發奇想在win10上嘗試安裝了下,居然裝上了。所以就想弄個虛擬桌面,先讓win10跑軟件測試一段時間。這時win10加域的毛病又來了,但這次更絕,提示和win7加域故障類似,即使同網段也一樣。
net use \\dcname.local\ipc$
返回:找不到網絡路徑 53折騰好幾天,最後下午突然想起交換機屏蔽445這事,取消配置,一切順利了~
這說明:win7加域,PC和DC同網段下,不需要445端口,跨網段,則需要。
win10加域,不管PC和DC在不在一個網段下,都需要445端口。
個人愚見,不喜勿噴。