Контроллеры домена не могут пинговать (или подключаться) друг к другу
Во-первых, немного предыстории: у нас есть два сайта, подключенных через FortiGate IPSEC VPN. Каждая из них настроена в разных подсетях - наш главный сайт - 192.168.2.x , а наш второй сайт - 192.168.0.x . У нас есть сервер (S01) под управлением Windows Server 2008 Standard FE, который настроен в качестве основного контроллера домена, Exchange и DNS-сервера; а также DHCP для этого сайта.
На нашем втором сайте у нас есть сервер (S02) под управлением Windows Server 2008, который изначально был просто файловым сервером, а также DHCP для этого сайта. Я хотел преобразовать S02 в контроллер домена, чтобы он работал в качестве резервного на случай, если основной сервер выйдет из строя или будет потеряно подключение к Интернету. Итак, я запустил dcpromo и успешно преобразовал S02 в контроллер домена.
Теперь у меня возникла проблема: через несколько дней после первоначальной настройки я не могу проверить связь или подключиться к S01 с S02. больше, и наоборот. И IP-адрес, и имя не подходят для проверки связи или просмотра общих папок. Я также не могу пинговать устройства на 192.168.2. x подсеть из S02 по имени, но IP-адреса работают. Однако я могу пинговать устройства в подсети 192.168.0.x с S01 по имени или IP, за исключением самого S02. Выполнение repadmin / showrepl на S02 дает последнюю успешную синхронизацию примерно через 2 дня после начальной настройки.
У меня нет проблем с проверкой связи любых IP-адресов с разных устройств - например, я могу проверить связь с S01 и S02 с компьютеры на обоих наших сайтах. Я просто не могу пинговать серверы друг от друга.
Брандмауэр Windows отключен на обоих серверах, и я попытался отключить антивирус (ESET File Security), но безрезультатно.
Оба контроллера домена отображаются в Active Directory . Запуск nltest /dclist:domainname.local дает мне два моих сервера в качестве контроллеров домена с S01 в качестве основного. Я могу войти на оба сервера с помощью Active Directory Explorer. Мои настройки DNS: 192.168.2.5 (S01) и 192.168.0.5 (S02) на обоих серверах. Службы DHCP по-прежнему разделены, поскольку каждый сервер предоставляет IP-адреса в разных подсетях.
Сначала я подумал, что на стороне DNS что-то не так, но это не объясняло, почему я не могу пинговать через IP-адрес. У кого-нибудь есть идеи?
Я предполагаю, что Fortigate блокирует трафик от DC. Проверьте настройки брандмауэра на fortigate. Разблокируйте весь трафик между контроллерами домена, а затем сделайте в обратном направлении и заблокируйте весь трафик, который не требуется между контроллерами домена