服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 尝试升级域控制器时,RPC服务器不可用。 打开防火墙
Intereting Posts
在Solaris 10中修改svc启动选项的正确方法:/ network / finger:default? 通过连接APT系统来维护一个很好的信息文档? 寻找一个免费的客户端IIS日志分析器 Cache-Control:max-age如何受到中间caching的影响? VMware infinibandconfiguration Windows 8的GPTencryption CentOS 7 ifup脚本实际上不会改变接口名称 哪些顺序是自定义iptables链评估的规则? visualsvn服务器可以绑定到多个端口吗? 基于ZFS的DIY存储系统的硬件build议 如何在没有tc的情况下限制OpenVZ容器内的带宽? Couchdb v1.1.0`Object.keys不是一个函数` nagios NRPE:无法读取输出 使用RFC 1918地址的BIND 客户端和服务器之间有时间和/或date差异

尝试升级域控制器时,RPC服务器不可用。 打开防火墙

所以我现在几天来一直在解决这个问题。

这是我们基础架构的一个快速架构:

  1. 我们的主域控制器正在我们的数据中心的虚拟机pipe理程序中运行。 在运行到我们的MPLSnetworking之前,有两堆防火墙(Fortigate FG200D和pfSense)。
  2. 新的域控制器运行在我们的一个站点的裸机安装中,连接到MPLS,后面还有两层防火墙(Fortigate FG100D和pfSense)。

这两台服务器都运行Windows 2012 R2,它们都是最新的。 现有的域控制器将被称为DC-AD ,新的将是RNS

我也禁用了Windows防火墙,并在两个DC(至less是DC(DC-AD)和I-like-to-DC(RNS))之间的防火墙中制定了允许所有规则。

这是nmap扫描的结果:

  • 从RNS到DC-AD:

在这里输入图像说明

  • 从DC-A到RNS:

在这里输入图像说明

我已经尝试了所有我能想到的或任何可以在互联网上find的东西,但大多数问题都来自防火墙中的阻塞端口。

这些不是所有必需的AD端口。

  • TCP和UDP 389
  • TCP 636
  • TCP 3268
  • TCP 3269
  • TCP和UDP 88
  • TCP和UDP 53
  • TCP和UDP 445
  • TCP 25
  • TCP 135
  • TCPdynamic
  • TCP 5722
  • UDP 123
  • TCP和UDP 464
  • UDPdynamic
  • UDP 138
  • TCP 9389

我在这里得到了这个清单。 有一张表格解释了AD使用每个端口的情况。

我发现的另一篇文章build议这些端口只适用于dcpromo:

  • TCP 3269
  • TCP 3268
  • TCP 389
  • UDP 389
  • TCP 636
  • UDP 636
  • UDP 500
  • UDP 4500
  • TCP 135
  • 随机TCP 1024 – 65535,49152 – 65535²

所以运行PortQueryUI后,我发现有几个端口需要过滤,尽pipe我已经允许这两个主机之间的所有规则。

我继续和tcpdump-d的一切,发现一个防火墙有一个畸形的规则,导致一些端口被过滤。

解决这个规则后,dcpromo进行得很顺利。

感谢所有帮助过我的人!