none
Subdominio passando pelo isa RRS feed

  • Pergunta

  • Vou criar um subdominio fora da rede interna (dominio.br), e quero saber quais portas no firewall libero para que a consulta ao AD do controlador pai, existe na sincronização dos dados entre o controlador do subdominio (teste.dominio.br) na hora de executar o dcpromo ???

    obrigado .

    segunda-feira, 19 de maio de 2008 13:16

Respostas

  • Este artigo aqui deve lhe ajudar:

    http://support.microsoft.com/kb/832017

     

    Nele você tem todas as portas usadas pelos produtos da MS.

     

    Abraço,

     

    quinta-feira, 22 de maio de 2008 15:14
  • Opa Grande Cláudio,

     

    É verdade, se o ambiente for NAT não vai funcionar, só funciona se for um ambiente roteado. A alternativa seria usar um túnel IPSec dedicado entre as duas redes. Boa pegada, realmente não atentei para o NAT neste cenário, de fato não é suportado.

     

    Grande Abraço,

     

    segunda-feira, 26 de maio de 2008 13:33
  • Então, uma alternativa seria fechar uma VPN Site to Site entre o ISA e o Linux, desta forma a comunicação entre as redes seria simplemente roteada. Aqui um artigo que pode lhe ajudar nesta configuração:

    http://technet.microsoft.com/en-us/library/cc302486.aspx

     

    Espero que ajude.

     

    Abraço,

    segunda-feira, 26 de maio de 2008 14:20
  • Olá Carlos,

     

    Nem o domínio de teste nem o ISA deveriam estar causando tal problema. A VPN estando fechada você apenas está dando um salto a mais para chegar da origem para o destino, tudo via túnel. Está máquina que você está promovendo deve apontar para o servidor pai como DNS. Após fazer isso, use o nslookup para tentar resolver nomes e veja se consegue. Segue abaixo sugestões de troubleshooting:

     

    Common DCPromo Error Messages

    http://support.microsoft.com/kb/279212/en-us

     

    Error Message: The Specified Domain Either Does Not Exist or Could Not Be Contacted

    http://support.microsoft.com/kb/283133/en-us

     

    Para maiores detalhes sobre o erro, procure os arquivos Dcpromoui.Log e Dcpromo.log na pasta %SystemRoot%\Debug, neles você vai ter o motivo da falha.

     

    Abraço,

     

    terça-feira, 27 de maio de 2008 02:17
  • Grande Carlos,

     

    Agora já se trata mais de um problema de AD, sugiro que você coloque uum post na comunidade de serviços de diretório pois eles podem lhe ajudar com mais eficiência.

     

    Porém também sugiro que você obtenha mais detalhes sobre o erro procurando nos arquivos Dcpromoui.Log e Dcpromo.log na pasta %SystemRoot%\Debug, neles você vai ter o motivo da falha. Ao abrir o arquivo, vá para o final do mesmo e veja o código de erro gerado durante o momento da replicação.

     

    Em último caso, considere abrir um incidente de suporte com a Microsoft Brasil, aqui o link que pode lhe ajudar nisso:

    https://support.microsoft.com/oas/default.aspx?ln=pt-br&prid=5826&gprid=36983

     

    Grande abraço,

     

     

    domingo, 1 de junho de 2008 00:29

Todas as Respostas

  • Canofx,

    Cara internamente eu aconselho vc a liberar todos os protocoolos de internal e local host para internal e local host, assim vc nao corre o risco de ter nenhum dos seus serviços bloqueados. entende?


    abrax
    segunda-feira, 19 de maio de 2008 13:57
    Moderador
  • OK, caro Luiz, entendi o seu post, mas meu problema é quanto um servidor que esta fora da rede interna e será um DC como subdominio do dominio da rede Interna, entao quando eu for rodar o DCPROMO, quais serao as portas que eu tenho que deixar aberta para o DC local para que haja a sincronização dos dados ?? E se essas portas vai fazer com que sempre haja uma integração entre o controlador de dominio primário e o DC do subdominio. Sei que o AD usa o LDAP, mais é só essa porta que eu tenho que abrir ???

    Obrigado !
    segunda-feira, 19 de maio de 2008 17:43
  • Ola pessoal,

    Alguem poderia me ajudar quanto a esse problema ???
    Acho que tem como solucionar, porém preciso de ajuda para que eu possa resolver !!!
    Qualquer coisa, entro com mais detalhes quanto ao ambiente.

    Obrigado.
    quinta-feira, 22 de maio de 2008 13:10
  • Este artigo aqui deve lhe ajudar:

    http://support.microsoft.com/kb/832017

     

    Nele você tem todas as portas usadas pelos produtos da MS.

     

    Abraço,

     

    quinta-feira, 22 de maio de 2008 15:14
  • Opa Yuri, muito obrigado pela atenção !!!!!!!

    Estarei fazendo as configurações no servidor amanhão e darei noticias quanto a execução da promoção do servidor para o dominio como dominio filho.

    Abração cara !
    sexta-feira, 23 de maio de 2008 02:36
  • De nada grande Carlos.

     

    Espero que ajude.

     

    Abração.

     

    sexta-feira, 23 de maio de 2008 02:53
  • Yuri,

    Tentei aqui na empresa liberar tanto as portas específicas contidas no link que vc enviou, quanto liberar o acesso completo de sentido externo para eu poder criar o dominio filho. Meu ambiente esta desta forma:

     

                                               internet
                                                    |
                                                    |
                                                    |
                                              roteador (200.200.200.15)
                                                    |
                                                    |
                                                switch
                                               _ |     |_
                                            _ |           |_
                                        _ |                  |_
        200.200.200.17         |                        |          200.200.200.16
               10.10.0.5 <- firewall            firewall -> 192.168.1.250       
                                   linux               isa2006                                  PDC dhcp, dns (dominio.com.br)
                                       |                         |                                        |
      DC                            |                          |                                       |
     dominio (dhcp, dns)     |                          |_______ switch_________|
     filhho ???                   |                                              |
           |____ switch ____|                                              |
                         |                                                           |

                         |                                                         área A (192.168.0.0/24) rede interna
                         |                                                       
                   area B (10.10.0.0/24) rede interna                   

                                                      

    Como promover um controlador de dominio filho como numa estrutura mostrada ai em cima ????
    Você pode me ajudar Yuri ????

    Muito Obrigado !!

    domingo, 25 de maio de 2008 03:27
  • Olá Carlos,

     

    Ambos Firewalls (Linux e ISA) terão que ter as portas abaixo abertas:

    http://support.microsoft.com/kb/179442/en-us

     

    O artigo acima explica com maiores detalhes o que precisa ser feito. Para confirmar que as portas estão abertas, coloque uma estação nesta switch que existe entre os dois Firewalls e use a ferramenta PortQuery para validar a comunicação. Aqui o artigo que explica como usar esta ferramenta:

    http://support.microsoft.com/kb/310456/en-us

     

    Abraço,

     

    domingo, 25 de maio de 2008 15:52
  • Grande Yuri,

     

    Em um link dentro do que você me enviou, encrontrei um documento chamado ADSegment_IPSec_W2K - Active Directory in Networks Segmented by Firewalls, neste documento me chamou a atenção quando nele está escrito: "Active Directory functionality is not supported over a router that has Network Address Translation (NAT) enabled. The configuration recommendations in this paper apply only to non-NAT environments."

     

    Por que ainda não estou tendo exito na promoção do servidor como dominio filho, mesmo abrindo as portas contidas no link e documentação que você enviou Yuri. A minha pergunta é se o NAT realizado nos dois Firewalls está atrapalhando de fato eu promover o servidor?? Ou falta alguma configuração no servidor que será promovido, haja vista que as portas estão todas liberadas nos firewalls ???

     

    Muito obrigado Yuri.

    segunda-feira, 26 de maio de 2008 13:29
  • Opa Grande Cláudio,

     

    É verdade, se o ambiente for NAT não vai funcionar, só funciona se for um ambiente roteado. A alternativa seria usar um túnel IPSec dedicado entre as duas redes. Boa pegada, realmente não atentei para o NAT neste cenário, de fato não é suportado.

     

    Grande Abraço,

     

    segunda-feira, 26 de maio de 2008 13:33
  • Entao Yuri, se não for abusar de sua pasciencia, como devo proceder esta configuração ???

     

    Obrigado amigo !!

    segunda-feira, 26 de maio de 2008 13:40
  • Então, uma alternativa seria fechar uma VPN Site to Site entre o ISA e o Linux, desta forma a comunicação entre as redes seria simplemente roteada. Aqui um artigo que pode lhe ajudar nesta configuração:

    http://technet.microsoft.com/en-us/library/cc302486.aspx

     

    Espero que ajude.

     

    Abraço,

    segunda-feira, 26 de maio de 2008 14:20
  • Grande Yuri,

    Cara, o seguinte:

    Configurei o IPSec no servidor firewall ISA2006 da area A (de acordo com o link que você enviou) e exclui o servidor firewall Linux da area B (tava complicado configurar o IPsec - apanhei !!!), instalei o Windows 2003 Server com o ISA 2006. Após a instalação e configuração do servidor da area B, parti para a configuração do IPSec e Ok ! acho que ficou redondo !! Tanto que antes de configurar não conseguia acessar o portal interno da rede area A, pingar, acessar via TS e etc. Porem quando eu rodei o DCPROMO em uma maquina com MSW2003 não obtive exito, exibindo a mensagem:" Não foi possivel contatar um controlador de dominio do AD para o dominio dominio.com.br. "

    Tambem não tinha te falado que nesta area B já existe um controlador de dominio chamado teste.dominio.com.br com DHCP, DNS e Wins rodando, será que ele está atrapalhando a promoção do dominio filho desta maquina que estou testando ???? O servidor ISA 2006 da area B (recentemente instalado e configurado, esta integrado a esse dominio) isso esta atrapalhando tambem ???

    Abraços meu amigo !


    terça-feira, 27 de maio de 2008 02:00
  • Olá Carlos,

     

    Nem o domínio de teste nem o ISA deveriam estar causando tal problema. A VPN estando fechada você apenas está dando um salto a mais para chegar da origem para o destino, tudo via túnel. Está máquina que você está promovendo deve apontar para o servidor pai como DNS. Após fazer isso, use o nslookup para tentar resolver nomes e veja se consegue. Segue abaixo sugestões de troubleshooting:

     

    Common DCPromo Error Messages

    http://support.microsoft.com/kb/279212/en-us

     

    Error Message: The Specified Domain Either Does Not Exist or Could Not Be Contacted

    http://support.microsoft.com/kb/283133/en-us

     

    Para maiores detalhes sobre o erro, procure os arquivos Dcpromoui.Log e Dcpromo.log na pasta %SystemRoot%\Debug, neles você vai ter o motivo da falha.

     

    Abraço,

     

    terça-feira, 27 de maio de 2008 02:17
  • Meu amigo Yuri,

    Você sabe o significado da expressão "filé mignon" quando agente soluciona um problema ??? Pois é meu cara, é como ficou a configuração VPN site-to-site que você me auxiliou........

    Muito obrigado mesmo, pela atenção e pelas dicas

    Até a proxima meu velho !!!
    terça-feira, 27 de maio de 2008 13:43
  •  

    Que bom saber que deu tudo certo. Fico feliz em saber que ficou "filé mignon"!!!

     

    Grande Abraço,

     

     

    terça-feira, 27 de maio de 2008 13:46
  • Yuri, só mais uma dúvida ....


    Após a configuração, um pouco depois, a comunicação de rede entre os computadores da area A ficou muito lenta, sistemas que acessão servidores de banco de dados estão parando, o acesso está muito lento, fiz um teste de ping continuo para o servidor qualquer e há perda de pacotes e e as vezes sem comunicação, essa configuração VPN afeta no desempenho da rede ???

    muito obrigado !
    terça-feira, 27 de maio de 2008 14:27
  • A passagem de dados da rede A para rede B pode ficar lenta se o link não tiver uma boa performance. Quando se trabalha com VPN ha uma tendência da performance cair devido camada de criptografia que é adicionada no pacote. Então se o ping da rede A para a rede B perde pacote, é importante ver com a operadora fatores como: latência, largura de banda disponível, se isso for Frame Relay - veja quanto você tem de CIR e por aí vai. A performance local não deve ser afetada, ou seja, pacotes da rede A para rede A devem continua com a velocidade de antes.

     

    Abraço,

     

     

    terça-feira, 27 de maio de 2008 14:31
  • Grande Yuri,

       Quando eu mencionei que estava filé mignon, eu estava falando a respeito de eu ter conseguido após colocar a senha de usuario da rede do dominio da area A no servidor que estava fazendo teste na area B e logo apos ele reconheceu o dominio pai (até então pra mim tava filé mignon). Porem, quando eu sigo as etapas de conclusao de inclusão do servidor como dc dominio filho, ele trava na etapa de "Duplicando a partição de diretório do esquema" e logo em seguida apresenta o erro:

    Assistente para instalação do AD

    "A operação falhou porque:


        O AD não pode duplicar a partição de diretorio CN=Schema ..... , do controlador de dominio remoto server.dominio.com.br

        " O procedimento de chamada remoto foi cancelado."

    No momento da promoção, eu monitorei, e todos os protocolos permitidos na regra, eles inicião a conexão normalmente, não apresenta falha nenhuma, protocolos como RPC, DNS, CIFS, LDAP, Kerberus etc. mais em um momento na monitoração, que é exatamente no momento da duplicação da partição, é possivel ver que todos os protocolos começão a fechar a conexão até aparecer o erro apresentado aí em cima Yuri.

        Que você acha que pode estar acontecendo ???

    Obrigado amigo.
     

    sábado, 31 de maio de 2008 17:47
  • Este erro pode ser devido a fragmentação UDP no tráfego Kerberos, siga os procedimentos do artigo abaixo para ver se ajuda:

    http://support.microsoft.com/kb/295582/en-us

     

    ...ou por que a conexão é lenta e acontece um timeout, para isso ajuste a chave abaixo:

    http://support.microsoft.com/kb/830746/en-us

     

    Grande Abraço,

     

     

    sábado, 31 de maio de 2008 18:31
  • Só uma dúvida grande Yuri,


    Essas alterações no regedit, são feitas aonde??? nos DCs tanto pai quanto filho e tambem em um DC secundário (aqui apresenta falha de replicação tambem) ou somente no DC primário ???

    Obrigado !!!
    sábado, 31 de maio de 2008 21:24
  • São realizadas em ambos DCs.

     

    Abraço,

     

    sábado, 31 de maio de 2008 23:50
  • Eu reiniciei o DC após fazer a alteração quanto o tempo de replicação RPC no regedit, e executei o DCPROMO no servidor que será dominio filho, e houve uma diferença quanto uma melhoria mais não promove o servidor. Apareceu essa menssagem durante a promoção:

            Duplicando CN=Schema... , 527 recebido(s) de aproximadamente 2553 objetos.

    O servidor fica tentando receber os objetos mas não conclui, entao a promoção não tem efeito

    Você pode me ajudar Yuri.   

    sábado, 31 de maio de 2008 23:59
  • Grande Carlos,

     

    Agora já se trata mais de um problema de AD, sugiro que você coloque uum post na comunidade de serviços de diretório pois eles podem lhe ajudar com mais eficiência.

     

    Porém também sugiro que você obtenha mais detalhes sobre o erro procurando nos arquivos Dcpromoui.Log e Dcpromo.log na pasta %SystemRoot%\Debug, neles você vai ter o motivo da falha. Ao abrir o arquivo, vá para o final do mesmo e veja o código de erro gerado durante o momento da replicação.

     

    Em último caso, considere abrir um incidente de suporte com a Microsoft Brasil, aqui o link que pode lhe ajudar nisso:

    https://support.microsoft.com/oas/default.aspx?ln=pt-br&prid=5826&gprid=36983

     

    Grande abraço,

     

     

    domingo, 1 de junho de 2008 00:29
  • Caro Yuri,

    Muito obrigado por me fazer chegar a esta conclusão. Obrigado tambem pela atenção cara, é sempre bom conversar com gente mais experiente que nós.

    Até a próxima meu amigo.
    domingo, 1 de junho de 2008 00:46
  • Sem problemas Carlos, é meu prazer ajudá-lo e espero que no prosseguimento da resolução do problema você tenha êxito na implementação.

     

    Grande Abraço e até a próxima.

     

    domingo, 1 de junho de 2008 01:01