域控制器不能ping(或连接)到彼此

首先,一些背景:我们有两个通过FortiGate IPSEC VPN连接的站点。 它们分别设置在不同的子网上 – 我们的主站点是192.168.2.x ,我们的第二站点是192.168.0.x 我们有一台运行Windows Server 2008 Standard FE的服务器(S01),它被设置为我们的主域控制器,Exchange和DNS服务器; 以及该网站的DHCP。

在我们的第二个站点,我们有一台运行Windows Server 2008的服务器(S02),最初只是一个文件服务器,以及该站点的DHCP。 我想转换S02到一个域控制器作为备份,以防主服务器故障或互联网连接丢失。 所以我运行了dcpromo ,并成功将S02转换为域控制器。

现在,我遇到了一个问题:在初始设置几天之后,我无法再ping S02或从S02连接到S01,反之亦然。 IP地址和名称都无法ping或浏览共享文件夹。 我也无法通过名字ping S02的192.168.2.x子网上的设备,但IP地址工作。 但是,我可以通过名称或IP从S01 ping 192.168.0.x子网上的设备,除了S02本身。 在S02上运行repadmin /showrepl会在初始设置后的大约2天内给出最后的成功同步。

我没有任何问题从不同的设备ping任何IP地址 – 例如,我可以从我们两个站点的计算机ping S01和S02。 我只是不能ping通彼此的服务器。

两台服务器上都禁用了Windows防火墙,并试图禁用防病毒(ESET File Security)而不起作用。

两个域控制器都显示在Active Directory中。 运行nltest /dclist:domainname.local为我提供了两台服务器作为域控制器,其中S01作为主服务器。 我可以使用Active Directory资源pipe理器login到两台服务器。 我的DNS设置是192.168.2.5 (S01)和192.168.0.5 (S02)在两台服务器上。 DHCP服务仍是独立的,因为每个服务器都提供不同子网内的IP地址。

我最初以为DNS端搞砸了,但是这并不能解释为什么我不能通过IP地址ping通。 有没有人有任何想法?

我认为Fortigate阻止了DC的stream量。 检查fortigate上的防火墙configuration。 取消阻止DC之间的所有通信,然后向后并阻止DC之间不需要的所有通信