我们刚刚在新站点中添加了一个新的 Server 2008 (sp2) 域控制器,这是我们的第一个此类配置。它通过 VPN 网关 WAN (10Mbit)。不幸的是,它显示出奇怪的网络症状。与 SMB 端口(TCP/139 和 TCP/445)的连接被主动拒绝……如果连接是通过纯 IPv4 进入的。如果传入连接是通过 6to4 隧道来的,那么这些连接会建立并正常工作。
它不是防火墙,因为可以在关闭防火墙的情况下复制此行为。此外,它实际上是向连接尝试发出 RST 数据包;只有在端口后面有服务并且服务本身拒绝访问时,Windows 防火墙才会发生这种情况。我怀疑它是网络上的一些防火墙设备,因为这个替换的服务器正在运行 Samba,并且从我们的主网络访问它运行得很好。
我认为这可能与 AD 站点和服务中的子网列表有关,但我不确定。我们没有在其中放置任何 IPv6 地址,只有 v4,并且被拒绝的是 v4 连接。不幸的是,我无法弄清楚这一点。我们需要能够从主校区与这个 DC 交谈。是否正在进行某种基于站点的 SMB 级过滤?我可以和校园里的 DC 交谈,但那是通过 v6 隧道。我无法访问该远程子网上的常规机器,这限制了我的测试能力。
在这里回答我自己的问题,但赫尔维克把它钉牢了。刚刚与我们的防火墙人员进行了长时间的交谈(他们整天不在办公室安装一个新的远程站点,所以我之前没有机会与他们交谈)。他们重新安排了规则顺序,这似乎已经接受了。旧的 IPv4 BLOCK TCP/139 规则被 6to4 网关绕过,这就是流量通过的原因。
回想起来,我们之前做的 Samba 访问不应该在主网络上工作。我得检查一下发生了什么。
总之,解决了。