首先介绍一下背景:我们有两个站点通过 FortiGate IPSEC VPN 连接。它们分别设置在不同的子网上 - 我们的主要站点是192.168.2.x,而我们的第二个站点是192.168.0.x。我们有一台运行 Windows Server 2008 Standard FE 的服务器 (S01),它设置为我们的主域控制器、Exchange 和 DNS 服务器;以及该站点的 DHCP。
在我们的第二个站点,我们有一台运行 Windows Server 2008 的服务器 (S02),它最初只是一台文件服务器,以及该站点的 DHCP。我想将 S02 转换为域控制器,以在主服务器发生故障或互联网连接丢失时充当备份。所以我运行了dcpromo,并成功将 S02 转换为域控制器。
现在,我遇到了一个问题:初始设置几天后,我无法再从 S02 ping 或连接到 S01,反之亦然。IP 地址和名称都无法 ping 或浏览共享文件夹。我也无法通过192.168.2.x名称从 S02 ping 子网上的设备,但 IP 地址可以。但是,我可以192.168.0.x通过名称或 IP 从 S01 ping 子网上的设备,但 S02 本身除外。repadmin /showrepl在 S02 上运行会在初始设置后约 2 天出现最后一次成功同步。
我从不同设备 ping 任何 IP 地址都没有问题 - 例如,我可以从我们两个站点的计算机 ping S01 和 S02。我只是无法从彼此 ping 服务器。
两台服务器上的 Windows 防火墙均被禁用,我尝试禁用防病毒软件(ESET File Security),但没有效果。
两个域控制器都显示在 Active Directory 中。运行后,nltest /dclist:domainname.local我的两个服务器将作为域控制器,其中 S01 为主域控制器。我可以使用 Active Directory Explorer 登录到这两个服务器。我在这两个服务器上的 DNS 设置均为192.168.2.5(S01) 和192.168.0.5(S02)。DHCP 服务仍然是独立的,因为每个服务器都在不同的子网内提供 IP 地址。
我最初以为 DNS 方面出了问题,但这无法解释为什么我无法通过 IP 地址 ping 通。有人知道吗?
答案1
我假设 Fortigate 阻止了来自 DC 的流量。检查 fortigate 上的防火墙配置。解除 DC 之间所有流量的阻止,然后反向操作并阻止 DC 之间所有不需要的流量