SSLVPN上的域认证

Question

在问我的问题之前，我先从一些背景资料开始。

网络设置：

5站点MPLS w/云防火墙。SSLVPN客户端连接到云防火墙，并通过LDAP根据我们的PDC对用户进行身份验证，并为其提供了一个可在MPLS上路由的IP。

设备位置：

虚拟服务器2003 SE作为PDC @site1 1

Virtualized 2012作为DC从服务器@site5 5

虚拟服务器2003 SE作为文件服务器@site5 5

XP Pro客户端使用SSLVPN从家中连接到MPLS。

设想情况：

最近，一名雇员开始在家工作。她已经把她的公司所有的域名连接笔记本电脑带回家工作，通过我们的SSLVPN连接。用户可以使用域凭据登录到SSLVPN，并能够与上述三台服务器通信。用户需要在文件服务器上访问两个共享。这些共享有4组分配的权限/安全性:记帐、本地管理员、域管理员、经过身份验证的用户。当他们在site1的时候，他们能够用他们的凭证访问这些股票。当他们通过SSLVPN从家中连接并试图从他们的域帐户访问这些共享时，他们会得到“无法定位DC来验证这个用户”的消息(他们的用户名在会计组中)。但是，我能够输入我的凭据(域管理组)，它可以验证和允许访问。

我已经检查了我的所有共享和安全设置，并没有找到任何原因，在那里的问题。我还编辑了她计算机的主机文件，以自动将每台服务器解析为适当的IP地址，如Servername和servername.domain.com。通过主机名和FQDN验证通信是可以通过ping实现的。我研究了XP是如何定位DC的，并且无法确定它为什么无法定位要对其进行身份验证的DC。现在，这个用户必须通过RDP将这些共享文件访问到site5的应用服务器，但这并不是最优的。

问题：

为什么我的域凭据能够针对DC进行身份验证，而用户的凭据在试图访问共享时却违反了“无法找到DC来验证用户”。

Answer 1

看起来是我们的防火墙将SSLVPN适配器交给无用的DNS，这就阻止了一些用户找到要对其进行身份验证的DC。用我们的内部DNS替换默认的DNS，然后在计算机的防火墙中打开一个用于文件共享和打开计算机浏览器服务的漏洞，解决了这个问题。