안녕하세요

저는 윈도우서버 지식이 많이없는 신입입니다.

 

회사에서 기존에 ESXi위에 AD를 구성해서 윈도우서버2016를 여러대 운용하고 있는데요.

 

이번에 새로 윈도우서버2016 구축이 필요하게 되어서 윈도우서버를 기존 ESXi위에 올리게 되었습니다.

 

문제는 기존 ad에 도메인참가 하고 있는 네트워크가  예를 들어서 172.1.186.0/24 세그먼트 였는데

 

이번에 새로 만든 서버는 안건상 특이하게 172. 100.186.0/24의 네트워크를 가지게 되었습니다.

 

그래서 도메인 참가할때 ad에 도메인 참가에 필요한 포트를 개방해서 참가했는데 

(액티브컨트롤러와 새로운 서버 사이에는 파이어월이 있습니다) 

 

GPO를 적용받지 못하고 있는 상황입니다 

 

gporesult /R 커맨드를 치면 

 

THE USER "DOMAIN\USER" DOES NOT HAVE RSOP DATA 

에러가 나오고 있습니다

 

gpoupdate /force 커맨드를 쳐도

THE PROCESSING OF GROUP POLICY FAILED BECAUSE OF LACK OF NETWORK CONNECTIVITY TO A DOMAIN CONTROLLER

에러가 나옵니다.

이상해서 확인해보니 

1.파이어월열어서 보니 도메인네트워크가 아니라 게스트/퍼블릭 네트워크로 되어있습니다 

기존 서버들 보면 모두 도메인 네트워크로 되어있는데 이것도 문제일까요? 세그먼트가 다른경우 

찾아봐도 어떻게 구성해야되는지 도저히 모르겠습니다.

2.액티브컨트롤러에서 DNS매니저를 확인해보니 역시나 목록에 없습니다. 수동으로 a레코드 추가 해보려고 하는데

해결책이 될까요? 

 

3.또 제가 의심가는 점은 인터넷을 검색하면서 알게 된건데

GPO적용 받을때 몇가지 포트가 필요한데 그중에 하나가 켈베로스라는 포트 88번 464번 TCP / UDP 개방이 필요한걸 알았습니다.

확인해보니 열려있지 않더라고요. 근데 기존 도메인 컨트롤러랑 같은 세그먼트에 있는 서버를 확인해봐도 88번 464번 포트는열려있지않았습니다. (기존서버와 액티브컨트롤러 사이에는 파이어월이 없습니다)

세그먼트가 같은 상황이면 88번 464번 포트는 개방이 필요 하지 않은 걸까요?

세그먼트가 다르기때문에 포트를 개방 하면 문제가 해결 될 가능성이 있을까요?

 

아니면 다른 문제 인것 같으면 말씀해주시면 감사하겠습니다.

 

 

막연하지만 죄송합니다. 아시는분 있으시면 답변 부탁드립니다.