DCPROMO no novo controlador de domínio remoto falha porque “o servidor RPC não está disponível”

2

Estou ajudando um cliente ( devops ) a mover sua pilha de tecnologia (VMware, Windows AD, Ubuntu Linux) de seu antigo recurso de co-localização para um novo ambiente. Em vez de migrar completamente o hardware e os sistemas, criei um ambiente paralelo no novo data center ...

Uma coisa que preciso estabelecer no novo site é o Active Directory. Há um AD existente composto por um único controlador de domínio em seu site antigo (2008 R2). Embora o novo recurso tenha um firewall Cisco ASA, seu site antigo não possui. Seus sistemas atuais são expostos à web sem firewall; incluindo o controlador de domínio! Um túnel VPN site-a-site não parece ser uma opção.

Gostaria de criar outro controlador de domínio no novo site. basicamente juntando um domínio pela internet . Isso é necessário para o VMware Virtual Center, o DNS e algumas outras coisas que preciso para continuar com o novo ambiente. Eu criei um novo servidor Windows 2008 R2 e executei as seguintes etapas:

  • Com sucesso juntou-se ao domínio (através da internet, limitando o novo site aos endereços de origem do site antigo).
  • Adicionado um novo site do AD para as sub-redes antigas e novas (elas são diferentes).
  • Confirmei o que pude sobre o DNS.
  • Instalou os binários do AD.
  • Ran dcpromo em uma conta de administrador de domínio.

A etapa dcpromo falha alguns minutos no processo com:

The operation failed because:

Active Directory Domain Services could not create the NTDS Settings object for this Active Directory Domain Controller CN=NTDS Settings,CN=DC2,CN=Servers,CN=ServerCentral,CN=Sites,CN=Configuration,DC=hire-a-sysadmin,DC=com on the remote AD DC PEDC.hire-a-sysadmin.com. Ensure the provided network credentials have sufficient permissions.

"The RPC server is unavailable."

Eu notei que o antigo controlador de domínio do qual estou tentando replicar é o multi-homed. Como o cliente não tem um firewall em seu antigo site de co-localização, todos os servidores parecem ter IPs públicos e gateways padrão que apontam para a Web, e uma segunda interface para comunicação interna em uma sub-rede 10.10.10.0/24. Eu pude ver que isso é um problema, pois parece que é uma prática ruim.

Como posso concluir o processo dcpromo neste novo controlador de domínio?

Editar - eu corri Consulta de porta , conforme recomendado abaixo. A única porta com um status diferente de zero era a porta 42 - TCP port 42 (nameserver service): NOT LISTENING . Acredito que seja apenas para a resolução do WINS.

    
por ewwhite 06.05.2013 / 14:02

1 resposta

4

Por mais desajeitado que seja, acabei estabelecendo uma VPN de cliente da Cisco do antigo DC para o novo firewall ASA do datacenter. Isso permitiu a replicação e o dcpromo foi concluído.

    
por 06.05.2013 / 17:18