Как ввести второй сервер(контроллер) в домен?

Question

[Игорь Кривинцов]

Добрый день
Подскажите решение в такой проблеме
Имеем 2-ве площадки A и B , соединены они ipsec туннелем , в роли шлюзов Mikrotik CHR и RB951.

Между площадками есть связь, ping проходит без потерь https://pastebin.com/TLTQq2ZR
172.19.1.1 - шлюз соседней площадки А,
Serv1-сервер из Площадки А,
172.19.1.10- ip адрес сервера из площадки A.
Сервера Serv1 это сервер из площадки А его сетевая конфигурация тут https://pastebin.com/2NjQ2c8F
Сервер Serv2 это сервер из площадки B его сетевая конфигурация тут https://pastebin.com/CNTKVs8E

Я выполнил команды с сервера Serv2.ms.local "nlslookup ,ping имя сервера, tracert " результаты тут https://pastebin.com/Db1ef9wg
Команда ping serv1 .ms.local у меня не срабатывала, так как при вводе сервера serv1 не создалась A запись в DNS, я добавил ее вручную, тогда команда выполнилась успешно.
Такие же команды я выполнил с сервера Serv1.ms.local результаты тут https://pastebin.com/AndXEeur
Доступность портов тут https://pastebin.com/fVWFDh65
Сайты созданы ,сети созданы


Проблема заключается в том что я ввел сервер Serv1 в домен ms.local, но при повышении его до контроллера домена у меня возникают ошибки такого рода

Права на папку sysvol

В логе dcpromo такие записи https://pastebin.com/VUqWBr8n

Ввод в домен осуществлял с доменной записью Администратор
его права


Пробовал поменять ipsec на L2TP , трассировка выполнялась правильно, без * * * , но проблемы по повышению сервера такие же.

Comments

[Andrey Lutsenko]

Если вы делаете это на тестовой площадке в виртуальной среде - попробуйте отключить фаерволы на микротиках. Или создайте только три разрешающих правила на input, forward и output. Такое ощущение, что у вас на сетевом уровне что-то, не видят серверы друг друга.

Answer 1

[Alexey Dmitriev]

1. Проверьте список портов, необходимых для AD https://isc.sans.edu/diary/Cyber+Security+Awarenes...
- через portqry или powershell командлет test-netconnection - доступны ли они, если на кандидате в DC проверять первый DC.

2. AD Sites то вы создали а ad site links между ними есть?

Comments

[Игорь Кривинцов]

недоступны порты оказались 137,138,1512

[Игорь Кривинцов]

Доступность портов https://pastebin.com/fVWFDh65

[Alexey Dmitriev]

Игорь Кривинцов, судя по ошибке у вас нет доступа к списку доменов. проверяйте, что используете правильную учетную запись. Создайте новую доменную учетку - добавьте ее в группы и пробуйте использовать ее. Не забывайте про обновление TGT тикета после изменения членства в группах.

[Игорь Кривинцов]

Alexey Dmitriev, Почему при добавлении в домен второго сервера не создастся автоматически А запись? Я пробовал локально ввести второй сервер, в той же сети площадки А, все получается, а через VPN не получается, такое ощущение что проблема по сети, но что не так? Вроде пинг есть, порты открыты.

[Alexey Dmitriev]

Игорь Кривинцов, в качестве DNS на втором сервере чей ip?
В настройках TCPIPv4 галка стоит-регистрировать в DNS?
Команду ipconfig /registerdns пробовали? Что в логах после ее подачи?

[Игорь Кривинцов]

Alexey Dmitriev,
Да, галка стоит, позже посмотрю что там в логах ДНС

[Игорь Кривинцов]

Alexey Dmitriev,
Я это делаю на новых операционках, только что установленных. Одна на Hyper-V другая на WmWare Workstation , это я все делаю для собственного обучения. Но сколько не пробовал не получается решить эту проблему.

[Alexey Dmitriev]

Игорь Кривинцов, все-таки создайте в домене новый аккаунт, добавьте его в группы Domain and Enterprise Admins и попробуйте поднять сервер до DC от его имени.

[Игорь Кривинцов]

Alexey Dmitriev, Попробовал, но результат тот же.(

[Alexey Dmitriev]

Игорь Кривинцов, сдаюсь.
Если есть возможность перенести проблемный сервер (мигрировать VM) в одну подсеть с первым DC и попробовать еще раз-чтобы исключить сетевые проблемы на VPN туннеле - стоит сделать.

[Игорь Кривинцов]

Alexey Dmitriev, смотри, если делать в пределах Лок сети , то все работает , все нормально

[Alexey Dmitriev]

Игорь Кривинцов, я имел ввиду - перенести в пределы локальной сети VM с проблемным сервером.
Если хотите дальше траблшутить -
1. Отключен ли IPv6 на обоих сторонах (сервер2 и DC1)?
2. Что в настройках DNS в ipv4 в настройках сети на сервере2?
3. Покажите вывод "nslookup server2.ms.local localhost" и "nslookup server2.ms.local serv1.ms.local" c server2.
4. Покажите вывод командлетов Powershell "Get-ADDomain | fl Name,DomainMode” и "Get-ADForest | fl Name,ForestMode", запущенных на контроллере домена. Вы похоже на уровень леса\домена 2012 хотите контроллер на Server 2008R2 воткнуть.

[Игорь Кривинцов]

1.Отключил, проверил, не помогло
2.В настройках ДНС второго ,ДНС первого

3.Вывод команд со второго https://pastebin.com/DT4j3t8K
Вывод команд с первого DC https://pastebin.com/hxUXTQem
4. Вывод команд не могу показать , так как Powershell пишет ошибки


Первый DC это 2008 r2 сервер, в его домен я ввожу 2012 r2 и на стадии ввода я бы выбрал уровень леса 2008r2. Пробовал сервера 2019 оба версии одинаковые и такие же ошибки.
Если не обращать внимания на ошибку , пару раз нажав кнопку далее, то мастер все таки меня пропускает на след.шаг , где надо выбрать сайт, уровень леса. Но когда выполняется установка, то все зависает на стадии обновление ЛЕСА, и никуда не двигается, зависло. Такая ситуация

[Игорь Кривинцов]

Alexey Dmitriev,
1.Отключил, проверил, не помогло
2.В настройках ДНС второго ,ДНС первого

3.Вывод команд со второго https://pastebin.com/DT4j3t8K
Вывод команд с первого DC https://pastebin.com/hxUXTQem
4. Вывод команд не могу показать , так как Powershell пишет ошибки


Первый DC это 2008 r2 сервер, в его домен я ввожу 2012 r2 и на стадии ввода я бы выбрал уровень леса 2008r2. Пробовал сервера 2019 оба версии одинаковые и такие же ошибки.
Если не обращать внимания на ошибку , пару раз нажав кнопку далее, то мастер все таки меня пропускает на след.шаг , где надо выбрать сайт, уровень леса. Но когда выполняется установка, то все зависает на стадии обновление ЛЕСА, и никуда не двигается, зависло. Такая ситуация

[Alexey Dmitriev]

Игорь Кривинцов, добавьте новый аккаунт, из под которого пробуете promotion в MS\Enterprise Admins и MS\Schema Admins и попробуйте еще раз.

[Игорь Кривинцов]

Alexey Dmitriev, Новый сервер установил уже 2008r2, вместо 2012 . Он мне показывает таие ошибки как на этом форуме https://social.technet.microsoft.com/Forums/virtua... ADSL у меня конечно нет, но чуствую что проблема кроется в микротиках, что то они мудрят с каналом

[Alexey Dmitriev]

Игорь Кривинцов, проложите например OpenVPN туннель от первого сервера до второго - внутри вашего аппаратного VPN и тогда пробуйте поднимать DC.
И\или проверяйте настройки вашего туннеля:
1. Размер MTU
2. Пропускает ли туннель фрагментированные пакеты (можно использовать ping c увеличением размера пакетов)
https://wiki.mikrotik.com/wiki/Manual:Maximum_Tran...

[Константин]

А в настройках DNS первого что? Вы только второго показали.

[Игорь Кривинцов]

Константин, В настройках первого
1 днс это он сам а второй я не указывал днс.