1.故障现象
阿三哥在设置防火墙时,一直不能顺利的连接AD服务器。三哥一直说“AD Server is not working" 。被他误导。
排除了很久。
2. 故障分析
2.1 可能是防火墙上的AD服务器设置有问题,特找来了AD Explorer查看AD域控的DN、SN、等信息。反复查询确定
并没有设置错。
此时,我不能判定是不是还有其他设置有问题,但我又找不到方法。
考虑到不能浪费时间,我开始考虑是不是策略上有问题,在经过一段时间查找后,发现确实少了一条LOCAL--TRUST的
策略,
3. 故障解决
加上策略指向AD服务器后,防火墙的检测通过了。
4. 总结
4.1 当路走不通的时候,或许绕道可达。
4.2 SSLVPN,需要搭建两端VPN_IP_POOL.因为一个段是给SSLVPN的,另一个段是给网络扩展的。
4.3 而这两个段同样需要放行策略。
4.4 当开放了上面两天策略之后,还需要开放一条untrust ---trust的策略,即便是员工通过获取到IP_POOL里的地址,也不算内网地址,只是外网NAT到内网的,外网地址的一种形式。固需要写此策略。
4.5 最后把写好的几条策略,看看能否优化一下,以便策略过多增加防火墙的负担,减少策略冗余。