我正在帮助(开发运维) 客户将其技术堆栈 (VMware、Windows AD、Ubuntu Linux) 从旧的共置设施迁移到新环境。我没有直接迁移硬件和系统,而是在新数据中心构建了一个并行环境……
我需要在新站点中建立的一件事是 Active Directory。他们的旧站点 (2008 R2) 上有一个由单个域控制器组成的现有 AD。虽然新设施有 Cisco ASA 防火墙,但他们的旧站点没有。他们当前的系统暴露在网络上,没有防火墙;包括域控制器!站点到站点的 VPN 隧道似乎不是一个选择。
我想在新站点构建另一个域控制器;基本上就是加入一个域通过互联网。这对于 VMware Virtual Center、DNS 以及我继续使用新环境所需的其他一些功能是必需的。我构建了一个新的 Windows 2008 R2 服务器并执行了以下步骤:
- 成功地将其加入到域名(通过互联网,将新站点限制为旧站点的源地址)。
- 为新旧子网(它们不同)添加了新的 AD 站点。
- 验证了我能验证的 DNS。
- 安装了 AD 二进制文件。
dcpromo
在域管理员帐户下运行。
该dcpromo
步骤在流程进行几分钟后失败,并显示:
操作失败,因为:
Active Directory 域服务无法在远程 AD DC PEDC.hire-a-sysadmin.com 上为此 Active Directory 域控制器 CN=NTDS Settings、CN=DC2、CN=Servers、CN=ServerCentral、CN=Sites、CN=Configuration、DC=hire-a-sysadmin、DC=com 创建 NTDS 设置对象。请确保提供的网络凭据具有足够的权限。
“RPC 服务器不可用。”
我确实注意到我尝试复制的旧域控制器是多宿主的。由于客户在旧的共置站点没有防火墙,他们的服务器似乎都有指向网络的公共 IP 和默认网关,以及用于 10.10.10.0/24 子网上的内部通信的第二个接口。我可以看到这是一个问题,因为它只是似乎就像一种不好的做法。
我如何dcpromo
在此新的域控制器上完成该过程?
编辑-我跑了端口查询,如下所示。唯一具有非零状态的端口是端口 42 - TCP port 42 (nameserver service): NOT LISTENING
。我相信这仅用于 WINS 解析。
答案1
尽管这很不靠谱,但我最终还是从旧 DC 到新数据中心的 ASA 防火墙建立了 Cisco 客户端 VPN。这样就可以dcpromo
完成复制和操作。