Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 16 replies
  • Subscribers 2 subscribers
  • Views 56667 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

AD x subnets

Marc M
Hi all,

I have one domain controller in the HQ 192.168.0.0/24 and REDs 192.168.1.0/24 in the branches offices, so I write this post here and not in the RED section because I found today the log bellow in the firewall live log..

19:22:32 Default DROP NetBIOS Name Service 192.168.1.132:137 → 192.168.1.255:137 len=78 ttl=128 tos=0x00 srcmac=0d:52:00:9c:4e:85 dstmac=00:53:64:03:e2[:D]e

My problem is that the computers behind the REDs cannot works fine with AD in the HQ, not logon, not access shares etc...

I try everything, I only got join the computers to the domain via djoin (off line join) but its very bad, I try WINS, NetBIOS over TCPIP, LMHOSTS etc... 

Anyone have an idea to help ?

thx.


This thread was automatically locked due to age.
  • 0
    Hi,

    NetBIOS protocol is optional, but not required for Active Directory services since Windows 2003 release, so that shouldn't be your problem.

    I would first check DNS settings at the clients, they must point to your Domain Controller, not to external DNS servers.
  • 0
    Hi vilic thx by your answer, the clients use the IP of the RED interface and the ASG have a requesting routing for the domain pointing to domain controller it's should be enough right ?
  • 0
    Try to set DC IP as a DNS on one client manually to see if it makes any difference.
    I don't have much experience with REDs beside lab environments.
  • 0
    Marc,  Are you saying that both sites with a RED have the subnet 192.168.1.0/24?

    There's very little information in the Firewall Live Log.  Please post the corresponding line from the full Firewall log file.

    In support of vilic's suggestion, you might consult DNS Best Practice.

    Cheers - Bob
  • 0
    Hi BAlfson, the by your answer.

    No the correct is that the HQ have the 192.168.0.0/24 and the branch have the 192.168.1.0/24.

    The Active directory have only one Domain Controller that is present in the 192.168.0.0/24 with the IP 192.168.0.1

    The machines in the 192.168.1.0/24 network use the 192.168.1.1 (IP of RED eth) as the DNS 

    At end the ASG have a requesting routing specifying the domain name to 192.168.0.1 that is the domain controller.

    And the issue is that the machines in the 192.168.1.0/24 have strangers behaviors to communicate with AD its mean, difficult to logon, use shares etc of the AD.

    Thx
  • 0
    Please change your DHCP and DNS settings to those recommended in DNS Best Practice (I realize that you only can assign your domain controller and the ASG as DNS servers with the UTM/ASG DHCP server), and then tell us if there was any improvement.

    Cheers - Bob
  • 0
    Hi BAlfson, thx by your answer.

    The only config that I need add in my environment is add the Active Directory server where is the local AD DNS in the Forwards, about the "use ISP forwarders" it is still unckecked.

    Only for you know in the computers in the 192.168.0.0/24 the DNS server is the Active Directory but in the computers in the 192.168.1.0/24 the DNS server is the 192.168.1.1 that is the IP of the RED interface, I need use the IP of the Active Directoy too in the computers in the 192.168.1.0/24 ?

    In advanced, in my AD DNS I put a forward to ASG, can I keep this forward or can I remove this forward ?

    tjhx.
  • 0
    Marc,

    Your UTM configuration looks ok, there is no need to change anything there.

    As both Bob and me suggested, you should put IP address of your Domain Controller (192.168.0.1) as a Primary DNS server for all client computers (both for HQ and branch office).

    Test the change first on only one client computer (if possible).
  • 0
    Also try this lookups from a client in the branch office before and after making the changes to see if there are any differences:

    1. DC DNS host record resolution check (FQDN should resolve to 192.168.0.1).
    [FONT="Courier New"]nslookup dc.company.com[/FONT] 

    2. AD DNS SRV record resoultion check (srv record should resolve to FQDN of all DCs in AD...in my example there were two of them).
    [FONT="Courier New"]nslookup
    set type=SRV
    _ldap._tcp.dc._msdcs.company.com[/FONT]
  • 0 in reply to vilic
    Hi vilic,

    I cannot check it now in the branches because all machines are turned-off now because is sunday, but I'll check it again tomorrow..

    I just register that I dont know why but always when I request in nslookup the frist lookup is timed-out only in the second lookup I got the resolution... any idea ?


    U:\>nslookup
    Default Server:  dc.domain
    Address:  192.168.0.1

    株式会社サンライズ
    Server:  dc.domain
    Address:  192.168.0.1

    DNS request timed out.
        timeout was 2 seconds.
    *** Request to dc.domain timed-out
    株式会社サンライズ
    Server:  dc.domain
    Address:  192.168.0.1

    Non-authoritative answer:
    Name:    æ ªå¼ä¼šç¤¾ã‚µãƒ³ãƒ©ã‚¤ã‚º
    Address:  157.7.143.182