Problema de replicação entre dois servidores, um SBS 2008

Executando um servidor SBS 2008 para um cliente, que adicionou um novo escritório. Eu configurei um servidor Windows 2008R2 no novo escritório, que foi promovido a controlador de domínio e servidor GC (logon).

Ambos os servidores estão conectados via VPN e podemos fazer ping tanto por isso. No entanto, algo está errado com a replicação do AD: os logs em ambos têm erros KCC 1311 no log de eventos:

The Knowledge Consistency Checker (KCC) has detected problems with the following directory partition.
Directory partition: CN=Configuration,DC=xxxxxxxxx,DC=local There is insufficient site connectivity information for the KCC to create a spanning tree replication topology. Or, one or more directory servers with this directory partition are unable to replicate the directory partition information. This is probably due to inaccessible directory servers.

A configuração de Sites e Serviços está correta com as sub-redes certas. Se eu adicionar itens de sitelink em um servidor, eles serão replicados para as informações do servidor remoto. Portanto, algo está sendo replicado! Mudanças de DNS também são replicadas. Então estou confuso - existe algum problema ou não existe?

Quando tentei configurar uma raiz DFS na caixa SBS e criar um espaço para nome no servidor remoto (do console do SBS) ele falha com "Tempo limite do semáforo".

Também descobrimos no outro dia que o site 'Remote' usado para acesso remoto e o OWA não é acessível pelo novo servidor Win2008R2:

por exemplo. O ping remoto fornece o endereço IP correto e responde: navegar para o link é iniciado, mas nunca chega ao site remoto (nada aparece nos logs do IIS). O mesmo site funciona na LAN local para o SBS e externamente em locais da Internet.

Eu tentei os vários ADutils para testar a conectividade que todos dizem que está tudo bem.

Então, algo está definitivamente errado com a conectividade em algum lugar, mas não conseguimos descobrir o que é ou onde está.