Por mais desajeitado que seja, acabei estabelecendo uma VPN de cliente da Cisco do antigo DC para o novo firewall ASA do datacenter. Isso permitiu a replicação e o dcpromo
foi concluído.
Estou ajudando um cliente ( devops ) a mover sua pilha de tecnologia (VMware, Windows AD, Ubuntu Linux) de seu antigo recurso de co-localização para um novo ambiente. Em vez de migrar completamente o hardware e os sistemas, criei um ambiente paralelo no novo data center ...
Uma coisa que preciso estabelecer no novo site é o Active Directory. Há um AD existente composto por um único controlador de domínio em seu site antigo (2008 R2). Embora o novo recurso tenha um firewall Cisco ASA, seu site antigo não possui. Seus sistemas atuais são expostos à web sem firewall; incluindo o controlador de domínio! Um túnel VPN site-a-site não parece ser uma opção.
Gostaria de criar outro controlador de domínio no novo site. basicamente juntando um domínio pela internet . Isso é necessário para o VMware Virtual Center, o DNS e algumas outras coisas que preciso para continuar com o novo ambiente. Eu criei um novo servidor Windows 2008 R2 e executei as seguintes etapas:
dcpromo
em uma conta de administrador de domínio. A etapa dcpromo
falha alguns minutos no processo com:
The operation failed because:
Active Directory Domain Services could not create the NTDS Settings object for this Active Directory Domain Controller CN=NTDS Settings,CN=DC2,CN=Servers,CN=ServerCentral,CN=Sites,CN=Configuration,DC=hire-a-sysadmin,DC=com on the remote AD DC PEDC.hire-a-sysadmin.com. Ensure the provided network credentials have sufficient permissions.
"The RPC server is unavailable."
Eu notei que o antigo controlador de domínio do qual estou tentando replicar é o multi-homed. Como o cliente não tem um firewall em seu antigo site de co-localização, todos os servidores parecem ter IPs públicos e gateways padrão que apontam para a Web, e uma segunda interface para comunicação interna em uma sub-rede 10.10.10.0/24. Eu pude ver que isso é um problema, pois parece que é uma prática ruim.
Como posso concluir o processo dcpromo
neste novo controlador de domínio?
Editar - eu corri Consulta de porta , conforme recomendado abaixo. A única porta com um status diferente de zero era a porta 42 - TCP port 42 (nameserver service): NOT LISTENING
. Acredito que seja apenas para a resolução do WINS.