这是一起对抗勒索病毒引发的事故。
简单的说,win10加域,无论DC和PC是否在同一个网段,都必须保证445端口能正常通信。
为什么这样强调,因为win7不需要,这可能是他们的SMB版本不一样导致。
事情经过是这样的:
当时为了抵抗勒索病毒,我在三层交换机上针对每个接口做了禁止访问445端口的ACL,因为是应急,所以没有做相关的日志说明,早就忘了这茬了,就是这时埋下的故障隐患。
上个月在做桌面云时,发现win7加不了域(带机网关为屏蔽了445的三层交换机),故障表现为:加域能弹出输入帐号密码的窗口,但最后会报错:找不到网络路径。抓包也没查出原因,于是尝试在和虚拟机同网段下新增一台额外域控,win7加域问题也因此解决。这样也让我更加坚信是防火墙DNS透明代理设置不妥造成的(因为我的DC部署在防火墙的DMZ区域)。
前几天质控部门打算更换一批PC,因为质控软件较老,不支持win7,突发奇想在win10上尝试安装了下,居然装上了。所以就想弄个虚拟桌面,先让win10跑软件测试一段时间。这时win10加域的毛病又来了,但这次更绝,提示和win7加域故障类似,即使同网段也一样。
net use \\dcname.local\ipc$
返回:找不到网络路径 53折腾好几天,最后下午突然想起交换机屏蔽445这事,取消配置,一切顺利了~
这说明:win7加域,PC和DC同网段下,不需要445端口,跨网段,则需要。
win10加域,不管PC和DC在不在一个网段下,都需要445端口。
个人愚见,不喜勿喷。
原文地址:http://blog.51cto.com/siteo/2069931
时间: 2024-10-12 08:13:36