这是一般只会在比较狗血的公司才会发生的情况,某公司只有一个C类IP段,但是公司内部有N〉2的子公司,且公司业务完全互相独立,之前的网络结构是只有一个公司有域环境,其他公司用工作组,某天突然提出来要再建一个域,BestPractice当然是再划出一段IP或者Vlan,但是更狗血的是连个三层交换机都没有,更不要说再加一段IP需要无数的后续工作,于是只好把主意打到在同网段内实现多域。
于是装域控,然后加域,然后成功加域,可无论如何也无法加用户,于是Troubleshooting,发现几个有趣的地方。
1. DNS解析到新域的域控是一个无比遥远的IP
2.加域居然成功了,你妹的,域控密码直接泄露了
然后TechNet,找到以下文章,
http://support.microsoft.com/?kbid=247811 ,登陆旧域,在DNS正向区域中添加 _LDAP._TCP.dc._msdcs.domainname,终于能解析到新域控,并且加域时也可识别到新的域控,只是这一地狗血,在网络架构规划时分开就可以完全避免的问题。
还有一个未完的问题,当加域加到一个本不存在的域时,这些泄露的域控信息都去了哪?谁在收集这些信息呢?