本文介绍AD(Active Directory)域网络环境中的客户端主机,无法访问阿里云内网服务问题的问题现象、问题原因和解决方案。

  问题描述

  AD域网络环境中的客户端主机无法访问阿里云内网服务,例如NTP、KMS和WSUS等服务。

  以无法访问阿里云内网的Windows实例更新服务器(update.cloud.aliyuncs.com)为例,在客户端主机上执行ping update.cloud.aliyuncs.com命令检查网络,回显示例如下:

  问题原因

  在部署DC(Domain Controller)域控制器时,通常会将AD域服务和DNS(Domain Name Server)服务部署在同一台ECS实例上,而客户端主机则会将首选DNS服务器地址设置为DC所在实例的IP地址。若DC上部署的DNS服务器不能解析阿里云的内网服务网络,则会造成整个AD域环境下的客户端主机都无法访问阿里云的内网服务,例如NTP、KMS和WSUS等服务。

  解决方案

  说明

  本文操作步骤以Windows Server 2012 R2数据中心版64位中文版为例,实际操作以您实际的操作系统为准。

  方案一:在DC所在实例的DNS转发器策略中添加阿里云内网DNS服务器IP地址

  如果您需要访问较多的阿里云内网服务,则您可以执行如下操作步骤解决该问题。

  远程连接DC所在实例。

  具体操作,请参见连接方式概述。

  查看DNS配置信息。

  在桌面左下角,选择

  > 控制面板。

  单击网络和Internet,然后单击网络和共享中心。

  单击以太网。

  查看DC的首选DNS服务器的IP地址。

  说明

  首选DNS服务器的IP地址为127.0.0.1,表示DNS解析地址指向本机的IP地址,此时,所有的DNS解析都需要到DNS的转发器页签中配置。

  在DNS的转发器配置中添加阿里云内网DNS服务的IP地址。

  在桌面左下角,选择

  > 服务器管理器。

  在服务器管理器页面右上角,选择工具 > DNS。

  在DNS管理器页面,右键单击目标DNS服务器,然后单击属性。

  单击转发器页签,然后单击编辑。

  在编辑转发器对话框,添加阿里云内网DNS服务的IP地址。

  重要

  转发器中至少需要保留一个阿里云内网DNS服务地址,否则您将不能正常访问阿里云内网域名。阿里云内网DNS服务地址为100.100.2.136和100.100.2.138。

  单击确定。

  打开CMD命令提示符。

  在桌面左下角,单击

  图标。

  在右上角搜索框输入cmd,然后单击命令提示符。

  进入CMD命令提示符。

  执行ipconfig /flushdns命令,刷新DNS缓存信息。

  在不能访问阿里云内网服务的客户端主机上,执行ping 目标阿里云内网服务域名命令,测试阿里云内网服务网络访问是否正常。

  以执行ping update.cloud.aliyuncs.com命令为例,如图所示,成功解析到域名对应的IP地址,即表示网络访问正常。

  方案二:在客户端主机的host文件中添加目标阿里云内网服务域名解析记录

  如果您只需要访问较少的阿里云内网服务,则您可以执行如下操作步骤解决该问题。

  登录任意一台能正常访问目标阿里云内网服务的主机。

  在主机上执行ping 目标阿里云内网服务域名命令,获取该阿里云内网服务域名对应的IP地址。以获取update.cloud.aliyuncs.com域名对应IP地址为例,如图所示。

  登录不能访问阿里云内网服务的AD域环境中的客户端主机。

  打开hosts文件。

  以hosts文件所在目录为C:\Windows\System32\drivers\etc为例,如图所示。

  在hosts文件中,添加该阿里云内网服务域名对应的IP地址的解析记录。

  以添加update.cloud.aliyuncs.com域名解析记录为例,如图所示。

  打开CMD命令提示符。

  在桌面左下角,单击

  图标。

  在右上角搜索框输入cmd,然后单击命令提示符。

  进入CMD命令提示符。

  执行ipconfig /flushdns命令,刷新DNS缓存信息。

  在不能访问阿里云内网服务的客户端主机上,执行ping 目标阿里云内网服务域名命令,测试阿里云内网服务网络访问是否正常。

  以执行ping update.cloud.aliyuncs.com命令为例,如图所示,成功解析到域名对应的IP地址,即表示网络访问正常。

最后修改:2024 年 07 月 22 日
© 允许规范转载
如果觉得我的文章对你有用,请随意赞赏