No hay conexión RPC entre dos sites conectados por VPN

23/03/2007 - 14:23 por Anonimo | Informe spam
Hola !

A ver si alguien puede echarme una mano, ya que por mucho que lo intento, no
hay manera.

Tengo que montar una red en 3 oficinas distintas conectadas por ADSL a
Internet. Mi intención es usar unos Firewall de Dlink (DFL-200) que soportan
VPNs para establecer la comunicación entre las distintas oficinas.

Actualmente la configuración la estoy probando en un laboratorio. Tengo 2 de
los firewalls conectados en la parte wan a la misma red (192.168.0.0/24) y
en la parte lan de cada uno, tengo configuradas dos redes, una pensada para
clientes y la otra para los servidores, haciendo subnetting, por ejemplo, en
la oficina1 estará la 192.168.200.0/25 para clientes y la 192.168.200.128/25
para servidores.

Tengo montado un equipo con Server 2003 Estándar con la ip 192.168.200.130
como servidor independiente, y este está corriendo una máquina virtual con
otro Server 2003 en la ip 192.168.200.131 que es el primer controlador de
dominio que he instalado.

En la misma oficina, y usando el mismo firewall, configuré un segundo equipo
esta vez en la red 192.168.201 activando un rutado en el firewall para que
me la viera, e hice lo mismo que con el primero, el equipo como servidor
independiente y una máquina virtual como controlador de dominio que añadí al
dominio creado en el primer servidor.

Hasta aquí todo funciona estupendamente, los servidores independientes y los
controladores de dominio se ven sin nigún problema.

He seguido las instrucciones de configuración del tutorial de "Active
Directory in Branch Office", personalizándolo un poco a mis necesidades, y
dejandolo todo en un solo dominio. He creado los sitios y las subredes para
las dos primeras oficinas, he asignado cada servidor a su sitio y creado los
enlaces entre sitios.

Todo estupendamente... hasta ese momento.

Ahora, paro el servidor de la red 201 y procedo a configurar el segundo
firewall y modificar la configuración del primero. Elimino del primero las
rutas a la red 201 y le creo una vpn por ipsec hacia el segundo firewall
para que se conecte a la red 201/24. En el segundo firewall, configuro red
de clientes (201.0/25) y de servidores (201.128/25) y configuro vpn para que
se conecte a la red 200/24.

Arranco el servidor host y tengo conectividad a nivel ip entre los
servidores host de las red 200 y 201. Puedo hacer pings sin problemas y
consultar el dns entre ambos.

Arranco los servidores virtuales en ambos extremos y tengo conectividad ping
entre ambos, PERO, no hay manera de que se repliquen, y tampoco hay conexión
a nivel de directorios compartidos.

Los servidores host se ven sin problemas, y puedo conectarme a un directorio
compartido de uno desde el otro y pasar ficheros sin problemas, pero no
puedo hacer lo mismo entre los servidores virtuales. También me funciona la
conexión desde el servidor virtual de una red al servidor host de la otra y
viceversa, pero no hay manera de establecer la misma comunicación entre los
dos controladores de dominio.

Si alguien tiene alguna sugerencia que hacer, será bienvenida...

Muchas gracias.

Saludos... :-)
Héctor D.

Preguntas similare

Leer las respuestas

#1 Guillermo Delprato [MVP]
23/03/2007 - 18:06 | Informe spam
No te sigo con todo el escenario, muchos hosts, muchos virtuales, y el
esquema no me queda totalmente claro, pero te paso mi experiencia, cuando
instalas DCs en sitios remotos

Primero que nada, asegurarse que no tengas problemas, ni de IP, ni de
resolución de nombres (FQDNs)
Luego creo la estructura de sitios, redes y enlaces en el Active Directory
Site and Services
En el equipo que será DC en el sitio remoto lo apunto al DNS del principal
(que no tenga por ahora el servicio DNS); recién entonces el DCPROMO
Hay que esperar un buen rato para que replique, a veces 1 hora o más. Si te
apuras da el RPC unavailable
Recién cuando replica, instalo servicio DNS en el remoto, y lo apunto a sí
mismo como preferido y al central como alternativo. También hay que esperar
un rato hasta que todo funcione.
Si te apuras y comienzas a hacer cambios la estropeas ;-)

Guillermo Delprato
MVP - MCT - MCSE
Buenos Aires, Argentina


wrote in message
news:
Hola !

A ver si alguien puede echarme una mano, ya que por mucho que lo intento,
no hay manera.

Tengo que montar una red en 3 oficinas distintas conectadas por ADSL a
Internet. Mi intención es usar unos Firewall de Dlink (DFL-200) que
soportan VPNs para establecer la comunicación entre las distintas
oficinas.

Actualmente la configuración la estoy probando en un laboratorio. Tengo 2
de los firewalls conectados en la parte wan a la misma red
(192.168.0.0/24) y en la parte lan de cada uno, tengo configuradas dos
redes, una pensada para clientes y la otra para los servidores, haciendo
subnetting, por ejemplo, en la oficina1 estará la 192.168.200.0/25 para
clientes y la 192.168.200.128/25 para servidores.

Tengo montado un equipo con Server 2003 Estándar con la ip 192.168.200.130
como servidor independiente, y este está corriendo una máquina virtual con
otro Server 2003 en la ip 192.168.200.131 que es el primer controlador de
dominio que he instalado.

En la misma oficina, y usando el mismo firewall, configuré un segundo
equipo esta vez en la red 192.168.201 activando un rutado en el firewall
para que me la viera, e hice lo mismo que con el primero, el equipo como
servidor independiente y una máquina virtual como controlador de dominio
que añadí al dominio creado en el primer servidor.

Hasta aquí todo funciona estupendamente, los servidores independientes y
los controladores de dominio se ven sin nigún problema.

He seguido las instrucciones de configuración del tutorial de "Active
Directory in Branch Office", personalizándolo un poco a mis necesidades, y
dejandolo todo en un solo dominio. He creado los sitios y las subredes
para las dos primeras oficinas, he asignado cada servidor a su sitio y
creado los enlaces entre sitios.

Todo estupendamente... hasta ese momento.

Ahora, paro el servidor de la red 201 y procedo a configurar el segundo
firewall y modificar la configuración del primero. Elimino del primero las
rutas a la red 201 y le creo una vpn por ipsec hacia el segundo firewall
para que se conecte a la red 201/24. En el segundo firewall, configuro red
de clientes (201.0/25) y de servidores (201.128/25) y configuro vpn para
que se conecte a la red 200/24.

Arranco el servidor host y tengo conectividad a nivel ip entre los
servidores host de las red 200 y 201. Puedo hacer pings sin problemas y
consultar el dns entre ambos.

Arranco los servidores virtuales en ambos extremos y tengo conectividad
ping entre ambos, PERO, no hay manera de que se repliquen, y tampoco hay
conexión a nivel de directorios compartidos.

Los servidores host se ven sin problemas, y puedo conectarme a un
directorio compartido de uno desde el otro y pasar ficheros sin problemas,
pero no puedo hacer lo mismo entre los servidores virtuales. También me
funciona la conexión desde el servidor virtual de una red al servidor host
de la otra y viceversa, pero no hay manera de establecer la misma
comunicación entre los dos controladores de dominio.

Si alguien tiene alguna sugerencia que hacer, será bienvenida...

Muchas gracias.

Saludos... :-)
Héctor D.

Respuesta Responder a este mensaje
#2 Héctor D.
23/03/2007 - 21:59 | Informe spam
Hola !

Intentaré simpificar la situación.

Dos equipos conectados a un firewall/router. DC1 configurado en la red
192.168.200.0 y DC2 en la 201.0

Monto directorio activo y los meto dentro del mismo dominio, se replican y
todo funciona sin problemas correctamente. Ambos son DNS servers y están
apuntando a si mismos como principal y al otro como secundario. También
ambos han sido configurados como catálogos globales.

Una vez configurados en sitios distinto y establecidos los enlaces entre
sitios, sigo comprobando con el repadmin /showrepl que todo funciona
correctamente.

Después de comprobar esto, muevo el DC2 a otro firewall/router idéntico al
primero, y establezco una VPN entre ambos después de suprimir, del primero,
la referencia a la red 201.0 que use mientras montaba el DA.

Compruebo que a nivel ip y dns hay conectividad sin problemas. Puedo hacer
ping de uno a otro y puedo hacer consultas DNS cruzadas.

Uso el repadmin /showrepl y compruebo que hay errores de replicación desde
que los separé.

Creo que así queda más claro. El firewall, por si a alguien le suena, es el
Dlink DFL-200, y las vpn están establecidas directamente por IPSEC
configurada en estos firewalls.

Saludos... :-)
Héctor D.

"Guillermo Delprato [MVP]"
escribió en el mensaje
news:
No te sigo con todo el escenario, muchos hosts, muchos virtuales, y el
esquema no me queda totalmente claro, pero te paso mi experiencia, cuando
instalas DCs en sitios remotos

Primero que nada, asegurarse que no tengas problemas, ni de IP, ni de
resolución de nombres (FQDNs)
Luego creo la estructura de sitios, redes y enlaces en el Active Directory
Site and Services
En el equipo que será DC en el sitio remoto lo apunto al DNS del principal
(que no tenga por ahora el servicio DNS); recién entonces el DCPROMO
Hay que esperar un buen rato para que replique, a veces 1 hora o más. Si
te apuras da el RPC unavailable
Recién cuando replica, instalo servicio DNS en el remoto, y lo apunto a sí
mismo como preferido y al central como alternativo. También hay que
esperar un rato hasta que todo funcione.
Si te apuras y comienzas a hacer cambios la estropeas ;-)

Guillermo Delprato
MVP - MCT - MCSE
Buenos Aires, Argentina


wrote in message
news:
Hola !

A ver si alguien puede echarme una mano, ya que por mucho que lo intento,
no hay manera.

Tengo que montar una red en 3 oficinas distintas conectadas por ADSL a
Internet. Mi intención es usar unos Firewall de Dlink (DFL-200) que
soportan VPNs para establecer la comunicación entre las distintas
oficinas.

Actualmente la configuración la estoy probando en un laboratorio. Tengo 2
de los firewalls conectados en la parte wan a la misma red
(192.168.0.0/24) y en la parte lan de cada uno, tengo configuradas dos
redes, una pensada para clientes y la otra para los servidores, haciendo
subnetting, por ejemplo, en la oficina1 estará la 192.168.200.0/25 para
clientes y la 192.168.200.128/25 para servidores.

Tengo montado un equipo con Server 2003 Estándar con la ip
192.168.200.130 como servidor independiente, y este está corriendo una
máquina virtual con otro Server 2003 en la ip 192.168.200.131 que es el
primer controlador de dominio que he instalado.

En la misma oficina, y usando el mismo firewall, configuré un segundo
equipo esta vez en la red 192.168.201 activando un rutado en el firewall
para que me la viera, e hice lo mismo que con el primero, el equipo como
servidor independiente y una máquina virtual como controlador de dominio
que añadí al dominio creado en el primer servidor.

Hasta aquí todo funciona estupendamente, los servidores independientes y
los controladores de dominio se ven sin nigún problema.

He seguido las instrucciones de configuración del tutorial de "Active
Directory in Branch Office", personalizándolo un poco a mis necesidades,
y dejandolo todo en un solo dominio. He creado los sitios y las subredes
para las dos primeras oficinas, he asignado cada servidor a su sitio y
creado los enlaces entre sitios.

Todo estupendamente... hasta ese momento.

Ahora, paro el servidor de la red 201 y procedo a configurar el segundo
firewall y modificar la configuración del primero. Elimino del primero
las rutas a la red 201 y le creo una vpn por ipsec hacia el segundo
firewall para que se conecte a la red 201/24. En el segundo firewall,
configuro red de clientes (201.0/25) y de servidores (201.128/25) y
configuro vpn para que se conecte a la red 200/24.

Arranco el servidor host y tengo conectividad a nivel ip entre los
servidores host de las red 200 y 201. Puedo hacer pings sin problemas y
consultar el dns entre ambos.

Arranco los servidores virtuales en ambos extremos y tengo conectividad
ping entre ambos, PERO, no hay manera de que se repliquen, y tampoco hay
conexión a nivel de directorios compartidos.

Los servidores host se ven sin problemas, y puedo conectarme a un
directorio compartido de uno desde el otro y pasar ficheros sin
problemas, pero no puedo hacer lo mismo entre los servidores virtuales.
También me funciona la conexión desde el servidor virtual de una red al
servidor host de la otra y viceversa, pero no hay manera de establecer la
misma comunicación entre los dos controladores de dominio.

Si alguien tiene alguna sugerencia que hacer, será bienvenida...

Muchas gracias.

Saludos... :-)
Héctor D.




Respuesta Responder a este mensaje
#3 Guillermo Delprato [MVP]
23/03/2007 - 23:43 | Informe spam
¿Si tratas de forzar replicación desde el AD Site and Services funciona?
Supongo que los haz dejado por lo menos una hora ¿si?
También sería interesante hacerle un reinicio a cada uno para asegurarse que
quede ningún tipo de info "cacheada"

Guillermo Delprato
MVP - MCT - MCSE
Buenos Aires, Argentina


"Héctor D." wrote in message
news:
Hola !

Intentaré simpificar la situación.

Dos equipos conectados a un firewall/router. DC1 configurado en la red
192.168.200.0 y DC2 en la 201.0

Monto directorio activo y los meto dentro del mismo dominio, se replican y
todo funciona sin problemas correctamente. Ambos son DNS servers y están
apuntando a si mismos como principal y al otro como secundario. También
ambos han sido configurados como catálogos globales.

Una vez configurados en sitios distinto y establecidos los enlaces entre
sitios, sigo comprobando con el repadmin /showrepl que todo funciona
correctamente.

Después de comprobar esto, muevo el DC2 a otro firewall/router idéntico al
primero, y establezco una VPN entre ambos después de suprimir, del
primero, la referencia a la red 201.0 que use mientras montaba el DA.

Compruebo que a nivel ip y dns hay conectividad sin problemas. Puedo hacer
ping de uno a otro y puedo hacer consultas DNS cruzadas.

Uso el repadmin /showrepl y compruebo que hay errores de replicación desde
que los separé.

Creo que así queda más claro. El firewall, por si a alguien le suena, es
el Dlink DFL-200, y las vpn están establecidas directamente por IPSEC
configurada en estos firewalls.

Saludos... :-)
Héctor D.

"Guillermo Delprato [MVP]"
escribió en el mensaje
news:
No te sigo con todo el escenario, muchos hosts, muchos virtuales, y el
esquema no me queda totalmente claro, pero te paso mi experiencia, cuando
instalas DCs en sitios remotos

Primero que nada, asegurarse que no tengas problemas, ni de IP, ni de
resolución de nombres (FQDNs)
Luego creo la estructura de sitios, redes y enlaces en el Active
Directory Site and Services
En el equipo que será DC en el sitio remoto lo apunto al DNS del
principal (que no tenga por ahora el servicio DNS); recién entonces el
DCPROMO
Hay que esperar un buen rato para que replique, a veces 1 hora o más. Si
te apuras da el RPC unavailable
Recién cuando replica, instalo servicio DNS en el remoto, y lo apunto a
sí mismo como preferido y al central como alternativo. También hay que
esperar un rato hasta que todo funcione.
Si te apuras y comienzas a hacer cambios la estropeas ;-)

Guillermo Delprato
MVP - MCT - MCSE
Buenos Aires, Argentina


wrote in message
news:
Hola !

A ver si alguien puede echarme una mano, ya que por mucho que lo
intento, no hay manera.

Tengo que montar una red en 3 oficinas distintas conectadas por ADSL a
Internet. Mi intención es usar unos Firewall de Dlink (DFL-200) que
soportan VPNs para establecer la comunicación entre las distintas
oficinas.

Actualmente la configuración la estoy probando en un laboratorio. Tengo
2 de los firewalls conectados en la parte wan a la misma red
(192.168.0.0/24) y en la parte lan de cada uno, tengo configuradas dos
redes, una pensada para clientes y la otra para los servidores, haciendo
subnetting, por ejemplo, en la oficina1 estará la 192.168.200.0/25 para
clientes y la 192.168.200.128/25 para servidores.

Tengo montado un equipo con Server 2003 Estándar con la ip
192.168.200.130 como servidor independiente, y este está corriendo una
máquina virtual con otro Server 2003 en la ip 192.168.200.131 que es el
primer controlador de dominio que he instalado.

En la misma oficina, y usando el mismo firewall, configuré un segundo
equipo esta vez en la red 192.168.201 activando un rutado en el firewall
para que me la viera, e hice lo mismo que con el primero, el equipo como
servidor independiente y una máquina virtual como controlador de dominio
que añadí al dominio creado en el primer servidor.

Hasta aquí todo funciona estupendamente, los servidores independientes y
los controladores de dominio se ven sin nigún problema.

He seguido las instrucciones de configuración del tutorial de "Active
Directory in Branch Office", personalizándolo un poco a mis necesidades,
y dejandolo todo en un solo dominio. He creado los sitios y las subredes
para las dos primeras oficinas, he asignado cada servidor a su sitio y
creado los enlaces entre sitios.

Todo estupendamente... hasta ese momento.

Ahora, paro el servidor de la red 201 y procedo a configurar el segundo
firewall y modificar la configuración del primero. Elimino del primero
las rutas a la red 201 y le creo una vpn por ipsec hacia el segundo
firewall para que se conecte a la red 201/24. En el segundo firewall,
configuro red de clientes (201.0/25) y de servidores (201.128/25) y
configuro vpn para que se conecte a la red 200/24.

Arranco el servidor host y tengo conectividad a nivel ip entre los
servidores host de las red 200 y 201. Puedo hacer pings sin problemas y
consultar el dns entre ambos.

Arranco los servidores virtuales en ambos extremos y tengo conectividad
ping entre ambos, PERO, no hay manera de que se repliquen, y tampoco hay
conexión a nivel de directorios compartidos.

Los servidores host se ven sin problemas, y puedo conectarme a un
directorio compartido de uno desde el otro y pasar ficheros sin
problemas, pero no puedo hacer lo mismo entre los servidores virtuales.
También me funciona la conexión desde el servidor virtual de una red al
servidor host de la otra y viceversa, pero no hay manera de establecer
la misma comunicación entre los dos controladores de dominio.

Si alguien tiene alguna sugerencia que hacer, será bienvenida...

Muchas gracias.

Saludos... :-)
Héctor D.








Respuesta Responder a este mensaje
#4 Héctor D.
29/03/2007 - 21:26 | Informe spam
Hola !

He intentado el forzar la replicación y el problema ha sido el mismo.

Han estado varias horas encendidos y han sido reiniciados.

Ahora he descubierto algo que puede esclarecer el problema. Al parecer,
tengo conectividad del DC1 al DC2, pero no a la inversa. Me explico.

Desde el DC1 al hacer el repadmin /showrepl me dice que la replicación ha
ido correcta. Si intento hacer un net view \\dc2 también funciona
correctamente.

Desde el DC2, el repadmin /show repl me dice
"Site1\DC1 via RPC
Las attempt @ ... failed, result 1727 (0x6bf):
Error en la llamada a procedimiento remoto y no se ha ejecutado
n consecutive failure(S)."

Y en la parte de los dns...
" Las attempt @ ... failed, result 1256 (0x4e8):
El sistema remoto no está disponible..."

Si desde el DC2 intento hacer un net view \\dc1 tarda un rato en responder y
me dice:

"Error de sistema 121.

Ha terminado el intervalo de espera del semáforo."

Curiosamente, si hago un netstat en DC2, observo que hay conexiones
"Established" al DC1 en los puertos epmap, 1025, 1040, 1757-9. Sin embargo,
haciendo el netstat desde el DC1, observo que hay muchos mas puertos
abiertos hacia el DC2 que al contrario. También es cierto que el DC1 es el
que tiene todos los roles principales, así que supongo que será normal.

He revisado la configuración de los firewall que establecen la VPN, y en los
dos es idéntica, solo cambian las direcciones. De hecho, los he reiniciado y
vuelto a configurar desde 0 para asegurarme de que no hubiera alguna
configuración extraña que se me escape.

En el log del firewall donde está conectado el DC2 de vez en cuando me
aparece el mensaje:
" [2007-03-29 20:15:26] <5>EFW: DROP: rule=LogOpenFails
reason=no_new_conn_for_this_packet recvif=LAN srcip2.168.201.131
destip2.168.200.131 ipproto=TCP ipdatalen20 srcport46 destport40
ack=1 psh=1"

Siendo el DC1 el 192.168.200.131 y el DC2 192.168.201.131.

He intentado hacer un netdiag en DC1 y después de varios minutos parece
haberse quedado colgado, solo mostrando una fila de puntos...

Mientras que una vez ejecutado en el DC2, i me ha dado respuestas en general
estando todos los test 'passed'.

Ya me estoy quedando sin ideas... Solo se me ocurre intentar establecer la
replicación por SMTP, a ver si así logro que se comuniquen sin problemas...

Alguna idea ?

Saludos... :-)
Héctor D.

"Guillermo Delprato [MVP]"
escribió en el mensaje news:
¿Si tratas de forzar replicación desde el AD Site and Services funciona?
Supongo que los haz dejado por lo menos una hora ¿si?
También sería interesante hacerle un reinicio a cada uno para asegurarse
que quede ningún tipo de info "cacheada"

Guillermo Delprato
MVP - MCT - MCSE
Buenos Aires, Argentina


"Héctor D." wrote in message
news:
Hola !

Intentaré simpificar la situación.

Dos equipos conectados a un firewall/router. DC1 configurado en la red
192.168.200.0 y DC2 en la 201.0

Monto directorio activo y los meto dentro del mismo dominio, se replican
y todo funciona sin problemas correctamente. Ambos son DNS servers y
están apuntando a si mismos como principal y al otro como secundario.
También ambos han sido configurados como catálogos globales.

Una vez configurados en sitios distinto y establecidos los enlaces entre
sitios, sigo comprobando con el repadmin /showrepl que todo funciona
correctamente.

Después de comprobar esto, muevo el DC2 a otro firewall/router idéntico
al primero, y establezco una VPN entre ambos después de suprimir, del
primero, la referencia a la red 201.0 que use mientras montaba el DA.

Compruebo que a nivel ip y dns hay conectividad sin problemas. Puedo
hacer ping de uno a otro y puedo hacer consultas DNS cruzadas.

Uso el repadmin /showrepl y compruebo que hay errores de replicación
desde que los separé.

Creo que así queda más claro. El firewall, por si a alguien le suena, es
el Dlink DFL-200, y las vpn están establecidas directamente por IPSEC
configurada en estos firewalls.

Saludos... :-)
Héctor D.

"Guillermo Delprato [MVP]"
escribió en el mensaje
news:
No te sigo con todo el escenario, muchos hosts, muchos virtuales, y el
esquema no me queda totalmente claro, pero te paso mi experiencia,
cuando instalas DCs en sitios remotos

Primero que nada, asegurarse que no tengas problemas, ni de IP, ni de
resolución de nombres (FQDNs)
Luego creo la estructura de sitios, redes y enlaces en el Active
Directory Site and Services
En el equipo que será DC en el sitio remoto lo apunto al DNS del
principal (que no tenga por ahora el servicio DNS); recién entonces el
DCPROMO
Hay que esperar un buen rato para que replique, a veces 1 hora o más. Si
te apuras da el RPC unavailable
Recién cuando replica, instalo servicio DNS en el remoto, y lo apunto a
sí mismo como preferido y al central como alternativo. También hay que
esperar un rato hasta que todo funcione.
Si te apuras y comienzas a hacer cambios la estropeas ;-)

Guillermo Delprato
MVP - MCT - MCSE
Buenos Aires, Argentina


wrote in message
news:
Hola !

A ver si alguien puede echarme una mano, ya que por mucho que lo
intento, no hay manera.

Tengo que montar una red en 3 oficinas distintas conectadas por ADSL a
Internet. Mi intención es usar unos Firewall de Dlink (DFL-200) que
soportan VPNs para establecer la comunicación entre las distintas
oficinas.

Actualmente la configuración la estoy probando en un laboratorio. Tengo
2 de los firewalls conectados en la parte wan a la misma red
(192.168.0.0/24) y en la parte lan de cada uno, tengo configuradas dos
redes, una pensada para clientes y la otra para los servidores,
haciendo subnetting, por ejemplo, en la oficina1 estará la
192.168.200.0/25 para clientes y la 192.168.200.128/25 para servidores.

Tengo montado un equipo con Server 2003 Estándar con la ip
192.168.200.130 como servidor independiente, y este está corriendo una
máquina virtual con otro Server 2003 en la ip 192.168.200.131 que es el
primer controlador de dominio que he instalado.

En la misma oficina, y usando el mismo firewall, configuré un segundo
equipo esta vez en la red 192.168.201 activando un rutado en el
firewall para que me la viera, e hice lo mismo que con el primero, el
equipo como servidor independiente y una máquina virtual como
controlador de dominio que añadí al dominio creado en el primer
servidor.

Hasta aquí todo funciona estupendamente, los servidores independientes
y los controladores de dominio se ven sin nigún problema.

He seguido las instrucciones de configuración del tutorial de "Active
Directory in Branch Office", personalizándolo un poco a mis
necesidades, y dejandolo todo en un solo dominio. He creado los sitios
y las subredes para las dos primeras oficinas, he asignado cada
servidor a su sitio y creado los enlaces entre sitios.

Todo estupendamente... hasta ese momento.

Ahora, paro el servidor de la red 201 y procedo a configurar el segundo
firewall y modificar la configuración del primero. Elimino del primero
las rutas a la red 201 y le creo una vpn por ipsec hacia el segundo
firewall para que se conecte a la red 201/24. En el segundo firewall,
configuro red de clientes (201.0/25) y de servidores (201.128/25) y
configuro vpn para que se conecte a la red 200/24.

Arranco el servidor host y tengo conectividad a nivel ip entre los
servidores host de las red 200 y 201. Puedo hacer pings sin problemas y
consultar el dns entre ambos.

Arranco los servidores virtuales en ambos extremos y tengo conectividad
ping entre ambos, PERO, no hay manera de que se repliquen, y tampoco
hay conexión a nivel de directorios compartidos.

Los servidores host se ven sin problemas, y puedo conectarme a un
directorio compartido de uno desde el otro y pasar ficheros sin
problemas, pero no puedo hacer lo mismo entre los servidores virtuales.
También me funciona la conexión desde el servidor virtual de una red al
servidor host de la otra y viceversa, pero no hay manera de establecer
la misma comunicación entre los dos controladores de dominio.

Si alguien tiene alguna sugerencia que hacer, será bienvenida...

Muchas gracias.

Saludos... :-)
Héctor D.











Respuesta Responder a este mensaje
#5 Héctor D.
30/03/2007 - 20:18 | Informe spam
Hola !

No hay nada como la insistencia y el empezar de 0...

Volví a resintalar y a resetear los firewalls a su estado de fábrica y
volver a configurarlos.

Ahora parece que ya funciona correctamente y tengo visibilidad en ambos
sentidos, así mismo el repadmin tampoco da ningún error.

No hay nada como contarle a alguien sus problemas, enumerándo todo lo que se
ha hecho, y lo que falla, para reflexionar sobre ello para poder dar con la
solución.

El hecho de que me diera cuenta de que solo había conectividad en un
sentido, me abrió los ojos...

Gracias.

Saludos... :-)
Héctor D.

"Héctor D." escribió en el mensaje
news:
Hola !

He intentado el forzar la replicación y el problema ha sido el mismo.

Han estado varias horas encendidos y han sido reiniciados.

Ahora he descubierto algo que puede esclarecer el problema. Al parecer,
tengo conectividad del DC1 al DC2, pero no a la inversa. Me explico.

Desde el DC1 al hacer el repadmin /showrepl me dice que la replicación ha
ido correcta. Si intento hacer un net view \\dc2 también funciona
correctamente.

Desde el DC2, el repadmin /show repl me dice
"Site1\DC1 via RPC
Las attempt @ ... failed, result 1727 (0x6bf):
Error en la llamada a procedimiento remoto y no se ha ejecutado
n consecutive failure(S)."

Y en la parte de los dns...
" Las attempt @ ... failed, result 1256 (0x4e8):
El sistema remoto no está disponible..."

Si desde el DC2 intento hacer un net view \\dc1 tarda un rato en responder
y me dice:

"Error de sistema 121.

Ha terminado el intervalo de espera del semáforo."

Curiosamente, si hago un netstat en DC2, observo que hay conexiones
"Established" al DC1 en los puertos epmap, 1025, 1040, 1757-9. Sin
embargo, haciendo el netstat desde el DC1, observo que hay muchos mas
puertos abiertos hacia el DC2 que al contrario. También es cierto que el
DC1 es el que tiene todos los roles principales, así que supongo que será
normal.

He revisado la configuración de los firewall que establecen la VPN, y en
los dos es idéntica, solo cambian las direcciones. De hecho, los he
reiniciado y vuelto a configurar desde 0 para asegurarme de que no hubiera
alguna configuración extraña que se me escape.

En el log del firewall donde está conectado el DC2 de vez en cuando me
aparece el mensaje:
" [2007-03-29 20:15:26] <5>EFW: DROP: rule=LogOpenFails
reason=no_new_conn_for_this_packet recvif=LAN srcip2.168.201.131
destip2.168.200.131 ipproto=TCP ipdatalen20 srcport46
destport40 ack=1 psh=1"

Siendo el DC1 el 192.168.200.131 y el DC2 192.168.201.131.

He intentado hacer un netdiag en DC1 y después de varios minutos parece
haberse quedado colgado, solo mostrando una fila de puntos...

Mientras que una vez ejecutado en el DC2, i me ha dado respuestas en
general estando todos los test 'passed'.

Ya me estoy quedando sin ideas... Solo se me ocurre intentar establecer la
replicación por SMTP, a ver si así logro que se comuniquen sin
problemas...

Alguna idea ?

Saludos... :-)
Héctor D.

"Guillermo Delprato [MVP]"
escribió en el mensaje news:
¿Si tratas de forzar replicación desde el AD Site and Services funciona?
Supongo que los haz dejado por lo menos una hora ¿si?
También sería interesante hacerle un reinicio a cada uno para asegurarse
que quede ningún tipo de info "cacheada"

Guillermo Delprato
MVP - MCT - MCSE
Buenos Aires, Argentina


"Héctor D." wrote in message
news:
Hola !

Intentaré simpificar la situación.

Dos equipos conectados a un firewall/router. DC1 configurado en la red
192.168.200.0 y DC2 en la 201.0

Monto directorio activo y los meto dentro del mismo dominio, se replican
y todo funciona sin problemas correctamente. Ambos son DNS servers y
están apuntando a si mismos como principal y al otro como secundario.
También ambos han sido configurados como catálogos globales.

Una vez configurados en sitios distinto y establecidos los enlaces entre
sitios, sigo comprobando con el repadmin /showrepl que todo funciona
correctamente.

Después de comprobar esto, muevo el DC2 a otro firewall/router idéntico
al primero, y establezco una VPN entre ambos después de suprimir, del
primero, la referencia a la red 201.0 que use mientras montaba el DA.

Compruebo que a nivel ip y dns hay conectividad sin problemas. Puedo
hacer ping de uno a otro y puedo hacer consultas DNS cruzadas.

Uso el repadmin /showrepl y compruebo que hay errores de replicación
desde que los separé.

Creo que así queda más claro. El firewall, por si a alguien le suena, es
el Dlink DFL-200, y las vpn están establecidas directamente por IPSEC
configurada en estos firewalls.

Saludos... :-)
Héctor D.

"Guillermo Delprato [MVP]"
escribió en el mensaje
news:
No te sigo con todo el escenario, muchos hosts, muchos virtuales, y el
esquema no me queda totalmente claro, pero te paso mi experiencia,
cuando instalas DCs en sitios remotos

Primero que nada, asegurarse que no tengas problemas, ni de IP, ni de
resolución de nombres (FQDNs)
Luego creo la estructura de sitios, redes y enlaces en el Active
Directory Site and Services
En el equipo que será DC en el sitio remoto lo apunto al DNS del
principal (que no tenga por ahora el servicio DNS); recién entonces el
DCPROMO
Hay que esperar un buen rato para que replique, a veces 1 hora o más.
Si te apuras da el RPC unavailable
Recién cuando replica, instalo servicio DNS en el remoto, y lo apunto a
sí mismo como preferido y al central como alternativo. También hay que
esperar un rato hasta que todo funcione.
Si te apuras y comienzas a hacer cambios la estropeas ;-)

Guillermo Delprato
MVP - MCT - MCSE
Buenos Aires, Argentina


wrote in message
news:
Hola !

A ver si alguien puede echarme una mano, ya que por mucho que lo
intento, no hay manera.

Tengo que montar una red en 3 oficinas distintas conectadas por ADSL a
Internet. Mi intención es usar unos Firewall de Dlink (DFL-200) que
soportan VPNs para establecer la comunicación entre las distintas
oficinas.

Actualmente la configuración la estoy probando en un laboratorio.
Tengo 2 de los firewalls conectados en la parte wan a la misma red
(192.168.0.0/24) y en la parte lan de cada uno, tengo configuradas dos
redes, una pensada para clientes y la otra para los servidores,
haciendo subnetting, por ejemplo, en la oficina1 estará la
192.168.200.0/25 para clientes y la 192.168.200.128/25 para
servidores.

Tengo montado un equipo con Server 2003 Estándar con la ip
192.168.200.130 como servidor independiente, y este está corriendo una
máquina virtual con otro Server 2003 en la ip 192.168.200.131 que es
el primer controlador de dominio que he instalado.

En la misma oficina, y usando el mismo firewall, configuré un segundo
equipo esta vez en la red 192.168.201 activando un rutado en el
firewall para que me la viera, e hice lo mismo que con el primero, el
equipo como servidor independiente y una máquina virtual como
controlador de dominio que añadí al dominio creado en el primer
servidor.

Hasta aquí todo funciona estupendamente, los servidores independientes
y los controladores de dominio se ven sin nigún problema.

He seguido las instrucciones de configuración del tutorial de "Active
Directory in Branch Office", personalizándolo un poco a mis
necesidades, y dejandolo todo en un solo dominio. He creado los sitios
y las subredes para las dos primeras oficinas, he asignado cada
servidor a su sitio y creado los enlaces entre sitios.

Todo estupendamente... hasta ese momento.

Ahora, paro el servidor de la red 201 y procedo a configurar el
segundo firewall y modificar la configuración del primero. Elimino del
primero las rutas a la red 201 y le creo una vpn por ipsec hacia el
segundo firewall para que se conecte a la red 201/24. En el segundo
firewall, configuro red de clientes (201.0/25) y de servidores
(201.128/25) y configuro vpn para que se conecte a la red 200/24.

Arranco el servidor host y tengo conectividad a nivel ip entre los
servidores host de las red 200 y 201. Puedo hacer pings sin problemas
y consultar el dns entre ambos.

Arranco los servidores virtuales en ambos extremos y tengo
conectividad ping entre ambos, PERO, no hay manera de que se
repliquen, y tampoco hay conexión a nivel de directorios compartidos.

Los servidores host se ven sin problemas, y puedo conectarme a un
directorio compartido de uno desde el otro y pasar ficheros sin
problemas, pero no puedo hacer lo mismo entre los servidores
virtuales. También me funciona la conexión desde el servidor virtual
de una red al servidor host de la otra y viceversa, pero no hay manera
de establecer la misma comunicación entre los dos controladores de
dominio.

Si alguien tiene alguna sugerencia que hacer, será bienvenida...

Muchas gracias.

Saludos... :-)
Héctor D.















Respuesta Responder a este mensaje
Ads by Google
Help Hacer una preguntaSiguiente Respuesta Tengo una respuesta
Search Busqueda sugerida