none
Не выполняется подъем контроллера дочернего домена через VPN RRS feed

  • Общие обсуждения

  • Здравствуйте!

    Проблема:
    Установил соединение двух сайтов по VPN через ISA 2004.
    Установил маршрутизацию между сетями (с обоих сторон)
    Разрешил весь трафик, отключил ограничения DCOM на правилах.
    Снял RPC-фильтр на протоколе.

    Проходит ping, устанавливается любое соединение - можно хоть машину в главный домен загнать, хоть файлы качать по NetBios.
    Тест dcdiag /test dcpromo /childdomain проходит.
    Пытаюсь поднять контроллер в дочернем домене - принимает все данные, реплицирует схему и конфигурацию и не может создать объект сервера - ошибка "1908 Не удается найти контроллер этого домена". При этом по имени контроллера (с guid) - проходит пинг и все соединения, имя разрешается.
    Пробовал менять конфигурацию DNS - использовать тот же DNS, что и в основном домене - нет эффекта.

    Что может быть не так?


    25 ноября 2008 г. 10:40

Все ответы

  • Приведите сюда файлы dcpromo.log, dcpromoui.log, netsetup.log с проблемной машины

    25 ноября 2008 г. 10:54
    Отвечающий
  • Из dcpromo.log
    ===============
    11/25 13:18:38 [INFO] Promotion request for domain controller of new domain
    11/25 13:18:38 [INFO] DnsDomainName  design.mgpu.ru
    11/25 13:18:38 [INFO]     FlatDomainName  DESIGN
    11/25 13:18:38 [INFO]     SiteName  (NULL)
    11/25 13:18:38 [INFO]     SystemVolumeRootPath  C:\WINDOWS\SYSVOL
    11/25 13:18:38 [INFO]     DsDatabasePath  C:\WINDOWS\NTDS, DsLogPath  C:\WINDOWS\NTDS
    11/25 13:18:38 [INFO]     ParentDnsDomainName  mgpu.ru
    11/25 13:18:38 [INFO]     ParentServer  (NULL)
    11/25 13:18:38 [INFO]     Account mgpu.ru\ilya
    11/25 13:18:38 [INFO]     Options  192
    11/25 13:18:38 [INFO] Validate supplied paths
    11/25 13:18:38 [INFO] Validating path C:\WINDOWS\NTDS.
    11/25 13:18:38 [INFO]     Path is a directory
    11/25 13:18:38 [INFO]     Path is on a fixed disk drive.
    11/25 13:18:38 [INFO] Validating path C:\WINDOWS\NTDS.
    11/25 13:18:38 [INFO]     Path is a directory
    11/25 13:18:38 [INFO]     Path is on a fixed disk drive.
    11/25 13:18:38 [INFO] Validating path C:\WINDOWS\SYSVOL.
    11/25 13:18:38 [INFO]     Path is on a fixed disk drive.
    11/25 13:18:38 [INFO]     Path is on an NTFS volume
    11/25 13:18:38 [INFO] Child domain creation -- check the new domain name is child of parent domain name.
    11/25 13:18:38 [INFO] Domain Creation -- check that the flat name is unique.
    11/25 13:18:43 [INFO] Start the worker task
    11/25 13:18:43 [INFO] Request for promotion returning 0
    11/25 13:18:43 [INFO] No source DC or no site name specified. Searching for dc in domain mgpu.ru: ( DS_REQUIRED | WRITABLE )
    11/25 13:18:43 [INFO] Поиск контроллера для домена mgpu.ru

    11/25 13:18:43 [INFO] Найден контроллер mgpu.ru для домена (null)

    11/25 13:18:43 [INFO] No user specified source DC
    11/25 13:18:43 [INFO] No user specified site
    11/25 13:18:43 [INFO] This machine is not in a configured site ... using source DC's site.
    11/25 13:18:43 [INFO] Используется сайт Main для сервера mgpu.ru

    11/25 13:18:43 [INFO] Принудительная синхронизация времени с \\mgpu-base.mgpu.ru

    11/25 13:18:43 [ERROR] Failed to get the current time on \\mgpu-base.mgpu.ru: 5
    11/25 13:18:43 [ERROR] NON-FATAL error forcing a time sync (5).  Ignoring
    11/25 13:18:43 [INFO] Чтение политики домена с контроллера домена \\mgpu-base.mgpu.ru

    11/25 13:18:43 [INFO] Остановка службы NETLOGON

    11/25 13:18:43 [INFO] Остановка службы NETLOGON

    11/25 13:18:43 [INFO] Configuring service NETLOGON to 1 returned 0
    11/25 13:18:43 [INFO] Stopped NETLOGON
    11/25 13:18:43 [INFO] Создание системного тома C:\WINDOWS\SYSVOL

    11/25 13:18:43 [INFO] Deleting current sysvol path C:\WINDOWS\SYSVOL
    11/25 13:18:45 [INFO] Подготовка к репликации системного тома с использованием корня C:\WINDOWS\SYSVOL

    11/25 13:18:45 [INFO] Created the system volume
    11/25 13:18:45 [INFO] Копирование файла исходной базы данных службы каталогов C:\WINDOWS\system32\ntds.dit на C:\WINDOWS\NTDS\ntds.dit

    11/25 13:18:45 [INFO] Установка службы каталогов

    11/25 13:18:45 [INFO] Calling NtdsInstall for design.mgpu.ru
    11/25 13:18:45 [INFO] Запуск установки Active Directory
    11/25 13:18:45 [INFO] Проверка предоставленных пользователем параметров
    11/25 13:18:45 [INFO] Определение сайта для установки
    11/25 13:18:45 [INFO] Исследование существующего леса службы каталогов Active Directory
    11/25 13:18:45 [INFO] Настройка локального контроллера домена для несения службы каталогов Active Directory
    11/25 13:18:47 [INFO] Репликация схемы разделов
    11/25 13:18:49 [INFO] Репликация CN=Schema,CN=Configuration,DC=mgpu,DC=ru: получено 1000 из приблизительно 2786 объектов.
    11/25 13:18:52 [INFO] Репликация CN=Schema,CN=Configuration,DC=mgpu,DC=ru: получено 1999 из приблизительно 2786 объектов.
    11/25 13:18:53 [INFO] Репликация CN=Schema,CN=Configuration,DC=mgpu,DC=ru: получено 2453 из приблизительно 2786 объектов.
    11/25 13:18:53 [INFO] Реплицирован контейнер схемы.
    11/25 13:18:54 [INFO] Кэш схемы обновлен службой Active Directory.
    11/25 13:18:54 [INFO] Репликация конфигурации схемы разделов
    11/25 13:18:58 [INFO] Репликация CN=Configuration,DC=mgpu,DC=ru: получено 1000 из приблизительно 4005 объектов.
    11/25 13:18:59 [INFO] Репликация CN=Configuration,DC=mgpu,DC=ru: получено 1469 из приблизительно 4005 объектов.
    11/25 13:18:59 [INFO] Реплицирован контейнер конфигурации.
    11/25 13:20:00 [INFO] Error - Службе каталогов не удалось создать объект CN=DESIGN,CN=Partitions,CN=Configuration,DC=mgpu,DC=ru. Проверьте журнал событий на наличие возможных системных ошибок. (1908)
    11/25 13:20:00 [INFO] NtdsInstall for design.mgpu.ru returned 1908
    11/25 13:20:00 [INFO] DsRolepInstallDs returned 1908
    11/25 13:20:00 [ERROR] Failed to install the directory service (1908)
    11/25 13:20:01 [INFO] Предпринятая контроллером домена операция завершена

    11/25 13:20:01 [INFO] DsRolepSetOperationDone returned 0
    ==================
    Время синхронизировал отдельно.

    dcpromoui.log, выдержка из конца (весь целиком - длинный)
    ===========
    cpromoui C7C.CE0 0338       Enter ProgressDialog::UpdateButton
    dcpromoui C7C.CE0 0339       Progress loop complete.
    dcpromoui C7C.CE0 033A       Calling DsRoleGetDcOperationResults
    dcpromoui C7C.CE0 033B       Error 0x0 (!0 => error)
    dcpromoui C7C.CE0 033C       Operation results:
    dcpromoui C7C.CE0 033D       OperationStatus      : 0x774 !0 => error
    dcpromoui C7C.CE0 033E       DisplayString        : Службе каталогов не удалось создать объект CN=DESIGN,CN=Partitions,CN=Configuration,DC=mgpu,DC=ru. Проверьте журнал событий на наличие возможных системных ошибок.
    dcpromoui C7C.CE0 033F       ServerInstalledSite  : (null)
    dcpromoui C7C.CE0 0340       OperationResultsFlags: 0x0
    dcpromoui C7C.CE0 0341       Enter ProgressDialog::UpdateText Службе каталогов не удалось создать объект CN=DESIGN,CN=Partitions,CN=Configuration,DC=mgpu,DC=ru. Проверьте журнал событий на наличие возможных системных ошибок.
    dcpromoui C7C.CE0 0342       Enter State:Tongue TiedetOperationResultsMessage Службе каталогов не удалось создать объект CN=DESIGN,CN=Partitions,CN=Configuration,DC=mgpu,DC=ru. Проверьте журнал событий на наличие возможных системных ошибок.
    dcpromoui C7C.CE0 0343       Enter State:Tongue TiedetOperationResultsFlags 0x0
    dcpromoui C7C.CE0 0344   Exception caught
    dcpromoui C7C.CE0 0345   catch completed
    dcpromoui C7C.CE0 0346   handling exception
    dcpromoui C7C.CE0 0347   Enter State::ClearHiddenWhileUnattended
    dcpromoui C7C.CE0 0348   Enter State::GetRunContext NT5_STANDALONE_SERVER
    dcpromoui C7C.CE0 0349   Enter State::GetRunContext NT5_STANDALONE_SERVER
    dcpromoui C7C.CE0 034A   Enter EnableConsoleLocking
    dcpromoui C7C.CE0 034B     Enter RegistryKey::Create SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
    dcpromoui C7C.CE0 034C     Enter RegistryKey:Tongue TiedetValue-DWORD DisableLockWorkstation
    dcpromoui C7C.CE0 034D   Enter State:Tongue TiedetOperationResults result FAILURE
    dcpromoui C7C.CE0 034E   Enter ProgressDialog::UpdateText
    dcpromoui C7C.CE0 034F   Enter State::IsOperationRetryAllowed
    dcpromoui C7C.CE0 0350     true
    dcpromoui C7C.CE0 0351   Enter ComposeFailureMessage
    dcpromoui C7C.CE0 0352     Enter GetErrorMessage 80070774
    dcpromoui C7C.CE0 0353     Enter State::GetOperationResultsMessage Службе каталогов не удалось создать объект CN=DESIGN,CN=Partitions,CN=Configuration,DC=mgpu,DC=ru. Проверьте журнал событий на наличие возможных системных ошибок.
    dcpromoui C7C.CE0 0354     Enter State::GetOperationResultsFlags 0x0
    dcpromoui C7C.CE0 0355     Enter State:Tongue TiedetFailureMessage Операция не выполнена по следующей причине:

    Службе каталогов не удалось создать объект CN=DESIGN,CN=Partitions,CN=Configuration,DC=mgpu,DC=ru. Проверьте журнал событий на наличие возможных системных ошибок.

    "Не удается найти контроллер этого домена."
    dcpromoui C7C.CE0 0356   Enter State::GetFailureMessage Операция не выполнена по следующей причине:

    Службе каталогов не удалось создать объект CN=DESIGN,CN=Partitions,CN=Configuration,DC=mgpu,DC=ru. Проверьте журнал событий на наличие возможных системных ошибок.

    "Не удается найти контроллер этого домена."
    dcpromoui C7C.CE0 0357   MessageBox: Мастер установки Active Directory : Операция не выполнена по следующей причине:

    Службе каталогов не удалось создать объект CN=DESIGN,CN=Partitions,CN=Configuration,DC=mgpu,DC=ru. Проверьте журнал событий на наличие возможных системных ошибок.

    "Не удается найти контроллер этого домена."
    dcpromoui C7C.CE0 0358   posting message to progress window
    dcpromoui C7C.C80 0359             Enter ProgressDialog::UpdateText Операция остановлена
    dcpromoui C7C.C80 035A             Enter ProgressDialog:SurprisenDestroy
    dcpromoui C7C.C80 035B           OPERATION FAILED
    dcpromoui C7C.C80 035C         Enter State::GetNeedsReboot false
    dcpromoui C7C.C80 035D         Enter State::IsOperationRetryAllowed
    dcpromoui C7C.C80 035E           true
    dcpromoui C7C.C80 035F         Enter Wizard:Tongue TiedetNextPageID id = 156
    dcpromoui C7C.C80 0360           push 142
    dcpromoui C7C.C80 0361       Enter FailurePage:SurprisenInit
    dcpromoui C7C.C80 0362         Enter MultiLineEditBoxThatForwardsEnterKey::Init
    dcpromoui C7C.C80 0363           Enter ControlSubclasser::Init
    dcpromoui C7C.C80 0364       Enter FailurePage:SurprisenSetActive
    dcpromoui C7C.C80 0365         Enter State::GetOperationResultsCode FAILURE
    dcpromoui C7C.C80 0366         Enter State::GetFailureMessage Операция не выполнена по следующей причине:

    Службе каталогов не удалось создать объект CN=DESIGN,CN=Partitions,CN=Configuration,DC=mgpu,DC=ru. Проверьте журнал событий на наличие возможных системных ошибок.

    "Не удается найти контроллер этого домена."
    dcpromoui C7C.C80 0367       Enter DCPromoWizardPage:SurprisenWizNext
    dcpromoui C7C.C80 0368         Enter FailurePage::Validate
    dcpromoui C7C.C80 0369         Enter Wizard:Tongue TiedetNextPageID id = 154
    dcpromoui C7C.C80 036A           push 156
    dcpromoui C7C.C80 036B       Enter FinishPage:SurprisenInit
    dcpromoui C7C.C80 036C         Enter MultiLineEditBoxThatForwardsEnterKey::Init
    dcpromoui C7C.C80 036D           Enter ControlSubclasser::Init
    dcpromoui C7C.C80 036E       Enter FinishPage:SurprisenSetActive
    dcpromoui C7C.C80 036F         Enter getCompletionMessage
    dcpromoui C7C.C80 0370           Enter State::GetOperation CHILD
    dcpromoui C7C.C80 0371           Enter State::GetOperationResultsCode FAILURE
    dcpromoui C7C.C80 0372           Enter State::GetFinishMessages
    dcpromoui C7C.C80 0373       Enter FinishPage:SurprisenWizFinish
    dcpromoui C7C.C80 0374       Enter ControlSubclasser::UnhookWindowProc
    dcpromoui C7C.C80 0375       Enter ControlSubclasser::UnhookWindowProc
    dcpromoui C7C.C80 0376       Enter ControlSubclasser::UnhookWindowProc
    dcpromoui C7C.C80 0377       Enter ControlSubclasser::UnhookWindowProc
    dcpromoui C7C.C80 0378     Enter ControlSubclasser::UnhookWindowProc
    dcpromoui C7C.C80 0379     Enter ControlSubclasser::UnhookWindowProc
    dcpromoui C7C.C80 037A     Enter ControlSubclasser::UnhookWindowProc
    dcpromoui C7C.C80 037B     Enter ControlSubclasser::UnhookWindowProc
    dcpromoui C7C.C80 037C     Enter ControlSubclasser::UnhookWindowProc
    dcpromoui C7C.C80 037D     Enter ControlSubclasser::UnhookWindowProc
    dcpromoui C7C.C80 037E     Enter ControlSubclasser::UnhookWindowProc
    dcpromoui C7C.C80 037F     Enter ControlSubclasser::UnhookWindowProc
    dcpromoui C7C.C80 0380   exitCode = 0
    dcpromoui C7C.C80 0381 closing log

    ==========

    Конец netsetup.log
    ===========
    11/25 12:57:49 -----------------------------------------------------------------
    11/25 12:57:49 NetpValidateName: checking to see if 'MGPU' is valid as type 2 name
    11/25 12:57:52 NetpCheckNetBiosNameNotInUse for 'MGPU' [ Workgroup as MACHINE]  returned 0x0
    11/25 12:57:52 NetpValidateName: name 'MGPU' is valid for type 2
    11/25 12:57:52 -----------------------------------------------------------------
    11/25 12:57:52 NetpDoDomainJoin
    11/25 12:57:52 NetpMachineValidToJoin: 'ISO-SERVER'
    11/25 12:57:52 NetpGetLsaPrimaryDomain: status: 0x0
    11/25 12:57:52 NetpMachineValidToJoin: status: 0x0
    11/25 12:57:52 NetpJoinWorkgroup: joining computer 'ISO-SERVER' to workgroup 'MGPU'
    11/25 12:57:52 NetpValidateName: checking to see if 'MGPU' is valid as type 2 name
    11/25 12:57:55 NetpCheckNetBiosNameNotInUse for 'MGPU' [ Workgroup as MACHINE]  returned 0x0
    11/25 12:57:55 NetpValidateName: name 'MGPU' is valid for type 2
    11/25 12:57:55 NetpSetLsaPrimaryDomain: for 'MGPU' status: 0x0
    11/25 12:57:55 NetpJoinWorkgroup: status:  0x0
    11/25 12:57:55 NetpDoDomainJoin: status: 0x0
    11/25 13:17:58 -----------------------------------------------------------------
    11/25 13:17:58 NetpValidateName: checking to see if 'design.mgpu.ru' is valid as type 4 name
    11/25 13:18:01 NetpCheckNetBiosNameNotInUse for 'DESIGN.MGPU.RU' [MACHINE] returned 0x0
    11/25 13:18:03 NetpCheckDomainNameIsValid [ NON-Existant ]for 'DESIGN.MGPU.RU' returned 0x0
    11/25 13:18:03 NetpValidateName: name 'DESIGN.MGPU.RU' is valid for type 4


    25 ноября 2008 г. 11:02
  • Посмотрите здесь

     

    http://support.microsoft.com/Default.aspx?id=244474

    25 ноября 2008 г. 11:22
    Отвечающий
  • Задал указанный параметр на проблемной машине, перезагрузил.
    Эффекта нет, ошибка та же.

    Если бы дело было в аутентификации - он не смог бы получить схему и конфигурацию разделов AD.
    25 ноября 2008 г. 11:53
  • domain naming master оттуда доступен?

    25 ноября 2008 г. 12:06
    Отвечающий
  • Доступ есть к обоим контроллерам домена в центральном корпусе (ping, NetBios).
    nslookup на оба проходит и по CNAME записям.
    К хозяину именования тоже (не вижу ни одного ограничения - может, какой-то еще тест есть?..).
    25 ноября 2008 г. 12:13
  • Видел подобное на одном из объектов. Проблема может быть в MTU. Понизьте его на серверах внутри сайтов (на DC например). У Windows Server 2003 SP1 был баг, когда он неверно отзывался (вернее игнорировал) ICMP сообщения и том, что нужно понизить MTU. Для этого был выпущен фикс, но я его что-то с ходу не нашел. Раньше я видел описание этой проблемы (кроме собственно сайта майкрософт) на isaserver.org

     

    25 ноября 2008 г. 13:19
    Отвечающий
  • Это вот эта статья: http://support.microsoft.com/kb/900926/en-us ?

    Вообще-то, сообщений о понижении MTU в логах соединений (через бранмауэры) нет.
    Обрывов связи тоже не наблюдал - а работал через терминальный доступ.
    Скорость ответа по ping - 4ms, зачем снижать mtu?..
    25 ноября 2008 г. 13:37
  • Не совсем. Но в ней есть ссылка на нужную статью.

    Обрывов или проблем с RDP может и не быть. Проверьте все по статье http://support.microsoft.com/kb/898060/ - это как раз она.

     

    Единственное, рекомендуемый в статьях размер в 576, на мой взгляд, избыточно мал. Нам для избавления от проблемы хватило 1400.

     

    25 ноября 2008 г. 14:13
    Отвечающий
  • На всех контроллерах домена стоит Windows Server 2003 Service Pack 2 (на задействованных - вообще R2).
    Судя по написанному в статье, к ним обновление не применимо.
    Да и обновления безопасности уже установлены.
    25 ноября 2008 г. 14:29
  • Попробовал с MTU 1152 - никакого эффекта, кроме резкого замедления работы.
    Ошибка та же.
    25 ноября 2008 г. 15:09
  • Ну отлично. Значит устанавливать ничего не придется - только понизить MTU. Что у вас дает, например,  ping -l 1500 -f адрес_удаленного_контроллера?

    R2 не является набором исправлений. Он просто добавляет функционал.

    В любом случае - что делать дальше, решать только вам. Мы можем только советовать.

     

    25 ноября 2008 г. 15:13
    Отвечающий
  • 1152 с обоих сторон?

    25 ноября 2008 г. 15:14
    Отвечающий
  • Да, с обоих сторон 1152.

    Попробовал с 1100  - фрагментация-то запрещена. Время - 4-5ms.

    Я понимаю, что делать мне, а не вам Smile Просто интересуюсь ходом мысли - может, что-то упускаю.
    25 ноября 2008 г. 15:24
  • Посмотрите с сервера, который вы хотите сделать контроллером, dcdiag /s:Существующий_контроллер_с_которого_вы_берете_реплику

     

    Ошибки есть?

     

    25 ноября 2008 г. 15:38
    Отвечающий
  • Ошибки есть:
    NetLogon
             [MGPU-BASE] An net use or LsaPolicy operation failed with error 1203, Ни одна из служб доступа к сети не смогла обработать заданный сетевой путь..

    FSMO-check:
            Warning: DcGetDcName(GC_SERVER_REQUIRED) call failed, error 1722
            A Global Catalog Server could not be located - All GC's are down.
    У всех ролей такая диагностика.

    Имя пользователя и пароль передавал.
    Подключить \\server_name\ipc$ удается без проблем.
    ping на глобальный каталог и мастер инфраструктуры проходят нормально.

    К сожалению, не знаю как должен пройти этот тест с машины, не входящей в домен.
    25 ноября 2008 г. 19:54
  • А ввести в домен нельзя?

    Вообще 1722 это проблема с RPC.

    http://support.microsoft.com/default.aspx/kb/310099

    Проверьте RPC-порты...

    26 ноября 2008 г. 4:00
    Отвечающий
  • Ввел в домен - все тесты dcdiag (за исключением KCC event- который в данном случае некритичен, это я проверял) пройдены успешно.
    Включая тесты netlogon и rpc.

    Но поднять домен и в этом случае нельзя - dcpromo предварительно выводит компьютер из домена.
    26 ноября 2008 г. 7:54
  • Контроллеры домена design.mpgu.ru также доступны и проходят dcdiag?

    26 ноября 2008 г. 18:31
    Отвечающий
  • Домен design - новый, он как раз и создается как дочерний. Это первый контроллер в нем.

    mgpu.ru - базовый, он есть и работает. Там dcdiag проходит нормально (за исключением того же теста), и домен создается (проверил в качестве теста, когда выявилась проблема - потом убрал) - но он должен работать через VPN из другого корпуса.
    26 ноября 2008 г. 18:39
  • Покажите плиз dcdiag /v /test:fsmocheck с naming master и любого другого DC в сайте, где мастер....

    27 ноября 2008 г. 7:02
    Отвечающий
  • С хозяина именования:
    ===============
         Starting test: FsmoCheck
            GC Name: \\mgpu-base.mgpu.ru
            Locator Flags: 0xe00001fc
            PDC Name: \\mgpu-exchange.mgpu.ru
            Locator Flags: 0xe00003f9
            Time Server Name: \\mgpu-base.mgpu.ru
            Locator Flags: 0xe00001fc
            Preferred Time Server Name: \\mgpu-exchange.mgpu.ru
            Locator Flags: 0xe00003f9
            KDC Name: \\mgpu-base.mgpu.ru
            Locator Flags: 0xe00001fc
            ......................... mgpu.ru passed test FsmoCheck
    =================

    Со второго контроллера:
    ===============
    Starting test: FsmoCheck
       GC Name: \\mgpu-base.mgpu.ru
       Locator Flags: 0xe00001fc
       PDC Name: \\mgpu-exchange.mgpu.ru
       Locator Flags: 0xe00003f9
       Time Server Name: \\mgpu-exchange.mgpu.ru
       Locator Flags: 0xe00003f9
       Preferred Time Server Name: \\mgpu-exchange.mgpu.ru
       Locator Flags: 0xe00003f9
       KDC Name: \\mgpu-exchange.mgpu.ru
       Locator Flags: 0xe00003f9
       ......................... mgpu.ru passed test FsmoCheck
    ================
    27 ноября 2008 г. 8:35
  • В логах ISA обоих во время, когда работает (а потм обрывается) dcpromo - что пишется?

     

    27 ноября 2008 г. 9:51
    Отвечающий
  • Установка соединений и передача данных - DNS, LDAP, Kerberos, RPC.
    Отказов в соединении со стороны ISA (т.е. по его правилам) нет.
    Полный протокол длинный, вот выдержка (до и после облома) со стороны ISA в основном домене:
    =============

    Log Time Destination IP Destination Port Protocol Action Rule Client IP
    27.11.2008 13:00 172.16.27.1 88 Kerberos-Sec (UDP) Closed Connection С факультетов по VPN 172.16.179.1
    27.11.2008 13:00 172.16.27.1 389 LDAP (UDP) Initiated Connection С факультетов по VPN 172.16.179.1
    27.11.2008 13:00 172.16.27.7 389 LDAP (UDP) Closed Connection С факультетов по VPN 172.16.179.1
    27.11.2008 13:00 172.16.27.7 389 LDAP (UDP) Initiated Connection С факультетов по VPN 172.16.179.1
    27.11.2008 13:00 172.16.27.1 139 NetBios Session Closed Connection С факультетов по VPN 172.16.179.1
    27.11.2008 13:00 172.16.27.1 139 NetBios Session Closed Connection С факультетов по VPN 172.16.179.1
    27.11.2008 13:00 172.16.27.1 0 Ping Closed Connection С факультетов по VPN 172.16.179.1
    27.11.2008 13:01 172.16.27.1 1026 Unidentified IP Traffic (TCP:1026) Closed Connection С факультетов по VPN 172.16.179.1
    27.11.2008 13:01 172.16.27.1 1026 Unidentified IP Traffic (TCP:1026) Closed Connection С факультетов по VPN 172.16.179.1
    27.11.2008 13:01 172.16.27.1 445 Microsoft CIFS (TCP) Closed Connection С факультетов по VPN 172.16.179.1
    27.11.2008 13:01 172.16.27.1 389 LDAP (UDP) Closed Connection С факультетов по VPN 172.16.179.1
    27.11.2008 13:01 172.16.27.1 88 Kerberos-Sec (UDP) Closed Connection С факультетов по VPN 172.16.179.1
    27.11.2008 13:01 172.16.27.1 88 Kerberos-Sec (UDP) Closed Connection С факультетов по VPN 172.16.179.1
    27.11.2008 13:01 172.16.27.1 88 Kerberos-Sec (UDP) Closed Connection С факультетов по VPN 172.16.179.1
    27.11.2008 13:01 172.16.27.1 88 Kerberos-Sec (UDP) Closed Connection С факультетов по VPN 172.16.179.1
    27.11.2008 13:01 172.16.27.1 88 Kerberos-Sec (UDP) Closed Connection С факультетов по VPN 172.16.179.1
    27.11.2008 13:01 172.16.27.1 88 Kerberos-Sec (UDP) Closed Connection С факультетов по VPN 172.16.179.1
    27.11.2008 13:01 172.16.27.1 88 Kerberos-Sec (UDP) Closed Connection С факультетов по VPN 172.16.179.1
    27.11.2008 13:01 172.16.27.1 88 Kerberos-Sec (UDP) Closed Connection С факультетов по VPN 172.16.179.1
    27.11.2008 13:01 172.16.27.1 88 Kerberos-Sec (UDP) Closed Connection С факультетов по VPN 172.16.179.1
    27.11.2008 13:01 172.16.27.1 135 RPC (all interfaces) Closed Connection С факультетов по VPN 172.16.179.1
    27.11.2008 13:01 172.16.27.1 88 Kerberos-Sec (UDP) Closed Connection С факультетов по VPN 172.16.179.1
    27.11.2008 13:01 172.16.27.1 88 Kerberos-Sec (UDP) Closed Connection С факультетов по VPN 172.16.179.1
    27.11.2008 13:01 172.16.27.1 389 LDAP (UDP) Closed Connection С факультетов по VPN 172.16.179.1

    27 ноября 2008 г. 10:09
  • 13:01 172.16.27.1 1026 Unidentified IP Traffic (TCP:1026) Closed Connection

    Вот это похоже на динамическое распределение портов в RPC. Вы пробовали открыть трафик на ISA обоих "все с контроллера naming master -> новый DC" и обратно?
    27 ноября 2008 г. 16:37
    Отвечающий
  • По идее, есть правила "все между сетями" (разрешено все из первой во вторую и из второй в первую) - с обоих сторон.
    Попробую сделать отдельное правило
    27 ноября 2008 г. 17:35
  • Создал, попробовал - никаких изменений.
    Там участвует и другой контроллер домена - на нем "висит" часть ролей, на него отдельное правило не делал.
    27 ноября 2008 г. 17:56
  • Попробуйте снять сессию с помощью NetMon3.2

    28 ноября 2008 г. 4:08
    Отвечающий
  •  

    Может проблема не сетевая. Создать подсеть и прибить ее к основному сайту.
    28 ноября 2008 г. 11:54
  • Пробовал и с заранее созданным сайтом, и с сетью в основном.
    Сейчас - именно так. Тольку нет.

    Попробую снять и проанализировать сессии....
    28 ноября 2008 г. 14:53
  • > Пробовал менять конфигурацию DNS - использовать тот же DNS, что и в

     

    А можно поподробнее про Ваш DNS расписать?

    На сервере, который делаете контроллером дочернего домена, DNS уже стоит или автоматически создаете в ходе DCPROMO?

    Кому зону дочернего домена делегировали на сервере DNS основного домена?

    А не пробовали поднять контроллер дочернего домена в основном корпусе? а то может дело и не в VPN вовсе?

    И ещё: учётка, под которой поднимаете контроллер, входит в Enterprise admins?

    28 ноября 2008 г. 20:23
  • В-общем, я это уже писал, но повторюсь.

    1. DNS пробовался во всех вариантах:
      а) установлен сервер с пустой зоной для домена, создана пересылка на DNS основного домена, в основном домене - ссылочная зона на DNS филиала. Проверено разрешение имен с обеих сторон (по записям). Зону предложено настроить DCPROMO, динамические обновления проверены.
     б) Используется сервер DNS главного корпуса как сервер по умолчанию (т.е. вообще все можно.)

    Разницы - никакой, ping по имени и CNAME на контрллеры доменов ходит в обоих случаях.

    Домен в главном корпусе поднять пробовал - поднимается без всяких проблем.

    Учетка - входит. И в основном домене с ней поднимал.
    28 ноября 2008 г. 21:23