No hay conexión RPC entre dos sites conectados por VPN

Hola !

No hay nada como la insistencia y el empezar de 0...

Volví a resintalar y a resetear los firewalls a su estado de fábrica y
volver a configurarlos.

Ahora parece que ya funciona correctamente y tengo visibilidad en ambos
sentidos, así mismo el repadmin tampoco da ningún error.

No hay nada como contarle a alguien sus problemas, enumerándo todo lo que
se ha hecho, y lo que falla, para reflexionar sobre ello para poder dar
con la solución.

El hecho de que me diera cuenta de que solo había conectividad en un
sentido, me abrió los ojos...

Gracias.

Saludos... :-)
Héctor D.

"Héctor D." escribió en el mensaje
news:

Hola !

He intentado el forzar la replicación y el problema ha sido el mismo.

Han estado varias horas encendidos y han sido reiniciados.

Ahora he descubierto algo que puede esclarecer el problema. Al parecer,
tengo conectividad del DC1 al DC2, pero no a la inversa. Me explico.

Desde el DC1 al hacer el repadmin /showrepl me dice que la replicación ha
ido correcta. Si intento hacer un net view \\dc2 también funciona
correctamente.

Desde el DC2, el repadmin /show repl me dice
"Site1\DC1 via RPC
Las attempt @ ... failed, result 1727 (0x6bf):
Error en la llamada a procedimiento remoto y no se ha ejecutado
n consecutive failure(S)."

Y en la parte de los dns...
" Las attempt @ ... failed, result 1256 (0x4e8):
El sistema remoto no está disponible..."

Si desde el DC2 intento hacer un net view \\dc1 tarda un rato en
responder y me dice:

"Error de sistema 121.

Ha terminado el intervalo de espera del semáforo."

Curiosamente, si hago un netstat en DC2, observo que hay conexiones
"Established" al DC1 en los puertos epmap, 1025, 1040, 1757-9. Sin
embargo, haciendo el netstat desde el DC1, observo que hay muchos mas
puertos abiertos hacia el DC2 que al contrario. También es cierto que el
DC1 es el que tiene todos los roles principales, así que supongo que será
normal.

He revisado la configuración de los firewall que establecen la VPN, y en
los dos es idéntica, solo cambian las direcciones. De hecho, los he
reiniciado y vuelto a configurar desde 0 para asegurarme de que no
hubiera alguna configuración extraña que se me escape.

En el log del firewall donde está conectado el DC2 de vez en cuando me
aparece el mensaje:
" [2007-03-29 20:15:26] <5>EFW: DROP: rule=LogOpenFails
reason=no_new_conn_for_this_packet recvif=LAN srcip2.168.201.131
destip2.168.200.131 ipproto=TCP ipdatalen20 srcport46
destport40 ack=1 psh=1"

Siendo el DC1 el 192.168.200.131 y el DC2 192.168.201.131.

He intentado hacer un netdiag en DC1 y después de varios minutos parece
haberse quedado colgado, solo mostrando una fila de puntos...

Mientras que una vez ejecutado en el DC2, i me ha dado respuestas en
general estando todos los test 'passed'.

Ya me estoy quedando sin ideas... Solo se me ocurre intentar establecer
la replicación por SMTP, a ver si así logro que se comuniquen sin
problemas...

Alguna idea ?

Saludos... :-)
Héctor D.

"Guillermo Delprato [MVP]"
escribió en el mensaje news:

¿Si tratas de forzar replicación desde el AD Site and Services funciona?
Supongo que los haz dejado por lo menos una hora ¿si?
También sería interesante hacerle un reinicio a cada uno para asegurarse
que quede ningún tipo de info "cacheada"

Guillermo Delprato
MVP - MCT - MCSE
Buenos Aires, Argentina


"Héctor D." wrote in message
news:

Hola !

Intentaré simpificar la situación.

Dos equipos conectados a un firewall/router. DC1 configurado en la red
192.168.200.0 y DC2 en la 201.0

Monto directorio activo y los meto dentro del mismo dominio, se
replican y todo funciona sin problemas correctamente. Ambos son DNS
servers y están apuntando a si mismos como principal y al otro como
secundario. También ambos han sido configurados como catálogos
globales.

Una vez configurados en sitios distinto y establecidos los enlaces
entre sitios, sigo comprobando con el repadmin /showrepl que todo
funciona correctamente.

Después de comprobar esto, muevo el DC2 a otro firewall/router idéntico
al primero, y establezco una VPN entre ambos después de suprimir, del
primero, la referencia a la red 201.0 que use mientras montaba el DA.

Compruebo que a nivel ip y dns hay conectividad sin problemas. Puedo
hacer ping de uno a otro y puedo hacer consultas DNS cruzadas.

Uso el repadmin /showrepl y compruebo que hay errores de replicación
desde que los separé.

Creo que así queda más claro. El firewall, por si a alguien le suena,
es el Dlink DFL-200, y las vpn están establecidas directamente por
IPSEC configurada en estos firewalls.

Saludos... :-)
Héctor D.

"Guillermo Delprato [MVP]"
escribió en el mensaje
news:

No te sigo con todo el escenario, muchos hosts, muchos virtuales, y el
esquema no me queda totalmente claro, pero te paso mi experiencia,
cuando instalas DCs en sitios remotos

Primero que nada, asegurarse que no tengas problemas, ni de IP, ni de
resolución de nombres (FQDNs)
Luego creo la estructura de sitios, redes y enlaces en el Active
Directory Site and Services
En el equipo que será DC en el sitio remoto lo apunto al DNS del
principal (que no tenga por ahora el servicio DNS); recién entonces el
DCPROMO
Hay que esperar un buen rato para que replique, a veces 1 hora o más.
Si te apuras da el RPC unavailable
Recién cuando replica, instalo servicio DNS en el remoto, y lo apunto
a sí mismo como preferido y al central como alternativo. También hay
que esperar un rato hasta que todo funcione.
Si te apuras y comienzas a hacer cambios la estropeas ;-)

Guillermo Delprato
MVP - MCT - MCSE
Buenos Aires, Argentina


wrote in message
news:

Hola !

A ver si alguien puede echarme una mano, ya que por mucho que lo
intento, no hay manera.

Tengo que montar una red en 3 oficinas distintas conectadas por ADSL
a Internet. Mi intención es usar unos Firewall de Dlink (DFL-200) que
soportan VPNs para establecer la comunicación entre las distintas
oficinas.

Actualmente la configuración la estoy probando en un laboratorio.
Tengo 2 de los firewalls conectados en la parte wan a la misma red
(192.168.0.0/24) y en la parte lan de cada uno, tengo configuradas
dos redes, una pensada para clientes y la otra para los servidores,
haciendo subnetting, por ejemplo, en la oficina1 estará la
192.168.200.0/25 para clientes y la 192.168.200.128/25 para
servidores.

Tengo montado un equipo con Server 2003 Estándar con la ip
192.168.200.130 como servidor independiente, y este está corriendo
una máquina virtual con otro Server 2003 en la ip 192.168.200.131 que
es el primer controlador de dominio que he instalado.

En la misma oficina, y usando el mismo firewall, configuré un segundo
equipo esta vez en la red 192.168.201 activando un rutado en el
firewall para que me la viera, e hice lo mismo que con el primero, el
equipo como servidor independiente y una máquina virtual como
controlador de dominio que añadí al dominio creado en el primer
servidor.

Hasta aquí todo funciona estupendamente, los servidores
independientes y los controladores de dominio se ven sin nigún
problema.

He seguido las instrucciones de configuración del tutorial de "Active
Directory in Branch Office", personalizándolo un poco a mis
necesidades, y dejandolo todo en un solo dominio. He creado los
sitios y las subredes para las dos primeras oficinas, he asignado
cada servidor a su sitio y creado los enlaces entre sitios.

Todo estupendamente... hasta ese momento.

Ahora, paro el servidor de la red 201 y procedo a configurar el
segundo firewall y modificar la configuración del primero. Elimino
del primero las rutas a la red 201 y le creo una vpn por ipsec hacia
el segundo firewall para que se conecte a la red 201/24. En el
segundo firewall, configuro red de clientes (201.0/25) y de
servidores (201.128/25) y configuro vpn para que se conecte a la red
200/24.

Arranco el servidor host y tengo conectividad a nivel ip entre los
servidores host de las red 200 y 201. Puedo hacer pings sin problemas
y consultar el dns entre ambos.

Arranco los servidores virtuales en ambos extremos y tengo
conectividad ping entre ambos, PERO, no hay manera de que se
repliquen, y tampoco hay conexión a nivel de directorios compartidos.

Los servidores host se ven sin problemas, y puedo conectarme a un
directorio compartido de uno desde el otro y pasar ficheros sin
problemas, pero no puedo hacer lo mismo entre los servidores
virtuales. También me funciona la conexión desde el servidor virtual
de una red al servidor host de la otra y viceversa, pero no hay
manera de establecer la misma comunicación entre los dos
controladores de dominio.

Si alguien tiene alguna sugerencia que hacer, será bienvenida...

Muchas gracias.

Saludos... :-)
Héctor D.

He estado de vacaciones la semana pasada así que recién hoy estoy viendo
tu respuesta.

Me alegro que se solucionara

El método que nombras "explicarle el problema a otro" funciona muy bien
:-)
Yo lo utilizo y da muy buen resultado, porque nos obliga a *poner en
orden* lo que hemos hecho.
Y por si sirve más, si se lo tienes que explicar a alguien "que no sabe
del tema" mucho mejor, pues te hará preguntas que los que estamos en tema
no nos hemos planteado :-) Y a veces la solución es mucho más creativa

Guillermo Delprato
MVP - MCT - MCSE
Buenos Aires, Argentina


"Héctor D." wrote in message
news:

Hola !

No hay nada como la insistencia y el empezar de 0...

Volví a resintalar y a resetear los firewalls a su estado de fábrica y
volver a configurarlos.

Ahora parece que ya funciona correctamente y tengo visibilidad en ambos
sentidos, así mismo el repadmin tampoco da ningún error.

No hay nada como contarle a alguien sus problemas, enumerándo todo lo que
se ha hecho, y lo que falla, para reflexionar sobre ello para poder dar
con la solución.

El hecho de que me diera cuenta de que solo había conectividad en un
sentido, me abrió los ojos...

Gracias.

Saludos... :-)
Héctor D.

"Héctor D." escribió en el mensaje
news:

Hola !

He intentado el forzar la replicación y el problema ha sido el mismo.

Han estado varias horas encendidos y han sido reiniciados.

Ahora he descubierto algo que puede esclarecer el problema. Al parecer,
tengo conectividad del DC1 al DC2, pero no a la inversa. Me explico.

Desde el DC1 al hacer el repadmin /showrepl me dice que la replicación
ha ido correcta. Si intento hacer un net view \\dc2 también funciona
correctamente.

Desde el DC2, el repadmin /show repl me dice
"Site1\DC1 via RPC
Las attempt @ ... failed, result 1727 (0x6bf):
Error en la llamada a procedimiento remoto y no se ha ejecutado
n consecutive failure(S)."

Y en la parte de los dns...
" Las attempt @ ... failed, result 1256 (0x4e8):
El sistema remoto no está disponible..."

Si desde el DC2 intento hacer un net view \\dc1 tarda un rato en
responder y me dice:

"Error de sistema 121.

Ha terminado el intervalo de espera del semáforo."

Curiosamente, si hago un netstat en DC2, observo que hay conexiones
"Established" al DC1 en los puertos epmap, 1025, 1040, 1757-9. Sin
embargo, haciendo el netstat desde el DC1, observo que hay muchos mas
puertos abiertos hacia el DC2 que al contrario. También es cierto que el
DC1 es el que tiene todos los roles principales, así que supongo que
será normal.

He revisado la configuración de los firewall que establecen la VPN, y en
los dos es idéntica, solo cambian las direcciones. De hecho, los he
reiniciado y vuelto a configurar desde 0 para asegurarme de que no
hubiera alguna configuración extraña que se me escape.

En el log del firewall donde está conectado el DC2 de vez en cuando me
aparece el mensaje:
" [2007-03-29 20:15:26] <5>EFW: DROP: rule=LogOpenFails
reason=no_new_conn_for_this_packet recvif=LAN srcip2.168.201.131
destip2.168.200.131 ipproto=TCP ipdatalen20 srcport46
destport40 ack=1 psh=1"

Siendo el DC1 el 192.168.200.131 y el DC2 192.168.201.131.

He intentado hacer un netdiag en DC1 y después de varios minutos parece
haberse quedado colgado, solo mostrando una fila de puntos...

Mientras que una vez ejecutado en el DC2, i me ha dado respuestas en
general estando todos los test 'passed'.

Ya me estoy quedando sin ideas... Solo se me ocurre intentar establecer
la replicación por SMTP, a ver si así logro que se comuniquen sin
problemas...

Alguna idea ?

Saludos... :-)
Héctor D.

"Guillermo Delprato [MVP]"
escribió en el mensaje news:

¿Si tratas de forzar replicación desde el AD Site and Services
funciona?
Supongo que los haz dejado por lo menos una hora ¿si?
También sería interesante hacerle un reinicio a cada uno para
asegurarse que quede ningún tipo de info "cacheada"

Guillermo Delprato
MVP - MCT - MCSE
Buenos Aires, Argentina


"Héctor D." wrote in message
news:

Hola !

Intentaré simpificar la situación.

Dos equipos conectados a un firewall/router. DC1 configurado en la red
192.168.200.0 y DC2 en la 201.0

Monto directorio activo y los meto dentro del mismo dominio, se
replican y todo funciona sin problemas correctamente. Ambos son DNS
servers y están apuntando a si mismos como principal y al otro como
secundario. También ambos han sido configurados como catálogos
globales.

Una vez configurados en sitios distinto y establecidos los enlaces
entre sitios, sigo comprobando con el repadmin /showrepl que todo
funciona correctamente.

Después de comprobar esto, muevo el DC2 a otro firewall/router
idéntico al primero, y establezco una VPN entre ambos después de
suprimir, del primero, la referencia a la red 201.0 que use mientras
montaba el DA.

Compruebo que a nivel ip y dns hay conectividad sin problemas. Puedo
hacer ping de uno a otro y puedo hacer consultas DNS cruzadas.

Uso el repadmin /showrepl y compruebo que hay errores de replicación
desde que los separé.

Creo que así queda más claro. El firewall, por si a alguien le suena,
es el Dlink DFL-200, y las vpn están establecidas directamente por
IPSEC configurada en estos firewalls.

Saludos... :-)
Héctor D.

"Guillermo Delprato [MVP]"
escribió en el mensaje
news:

No te sigo con todo el escenario, muchos hosts, muchos virtuales, y
el esquema no me queda totalmente claro, pero te paso mi experiencia,
cuando instalas DCs en sitios remotos

Primero que nada, asegurarse que no tengas problemas, ni de IP, ni de
resolución de nombres (FQDNs)
Luego creo la estructura de sitios, redes y enlaces en el Active
Directory Site and Services
En el equipo que será DC en el sitio remoto lo apunto al DNS del
principal (que no tenga por ahora el servicio DNS); recién entonces
el DCPROMO
Hay que esperar un buen rato para que replique, a veces 1 hora o más.
Si te apuras da el RPC unavailable
Recién cuando replica, instalo servicio DNS en el remoto, y lo apunto
a sí mismo como preferido y al central como alternativo. También hay
que esperar un rato hasta que todo funcione.
Si te apuras y comienzas a hacer cambios la estropeas ;-)

Guillermo Delprato
MVP - MCT - MCSE
Buenos Aires, Argentina


wrote in message
news:

Hola !

A ver si alguien puede echarme una mano, ya que por mucho que lo
intento, no hay manera.

Tengo que montar una red en 3 oficinas distintas conectadas por ADSL
a Internet. Mi intención es usar unos Firewall de Dlink (DFL-200)
que soportan VPNs para establecer la comunicación entre las
distintas oficinas.

Actualmente la configuración la estoy probando en un laboratorio.
Tengo 2 de los firewalls conectados en la parte wan a la misma red
(192.168.0.0/24) y en la parte lan de cada uno, tengo configuradas
dos redes, una pensada para clientes y la otra para los servidores,
haciendo subnetting, por ejemplo, en la oficina1 estará la
192.168.200.0/25 para clientes y la 192.168.200.128/25 para
servidores.

Tengo montado un equipo con Server 2003 Estándar con la ip
192.168.200.130 como servidor independiente, y este está corriendo
una máquina virtual con otro Server 2003 en la ip 192.168.200.131
que es el primer controlador de dominio que he instalado.

En la misma oficina, y usando el mismo firewall, configuré un
segundo equipo esta vez en la red 192.168.201 activando un rutado en
el firewall para que me la viera, e hice lo mismo que con el
primero, el equipo como servidor independiente y una máquina virtual
como controlador de dominio que añadí al dominio creado en el primer
servidor.

Hasta aquí todo funciona estupendamente, los servidores
independientes y los controladores de dominio se ven sin nigún
problema.

He seguido las instrucciones de configuración del tutorial de
"Active Directory in Branch Office", personalizándolo un poco a mis
necesidades, y dejandolo todo en un solo dominio. He creado los
sitios y las subredes para las dos primeras oficinas, he asignado
cada servidor a su sitio y creado los enlaces entre sitios.

Todo estupendamente... hasta ese momento.

Ahora, paro el servidor de la red 201 y procedo a configurar el
segundo firewall y modificar la configuración del primero. Elimino
del primero las rutas a la red 201 y le creo una vpn por ipsec hacia
el segundo firewall para que se conecte a la red 201/24. En el
segundo firewall, configuro red de clientes (201.0/25) y de
servidores (201.128/25) y configuro vpn para que se conecte a la red
200/24.

Arranco el servidor host y tengo conectividad a nivel ip entre los
servidores host de las red 200 y 201. Puedo hacer pings sin
problemas y consultar el dns entre ambos.

Arranco los servidores virtuales en ambos extremos y tengo
conectividad ping entre ambos, PERO, no hay manera de que se
repliquen, y tampoco hay conexión a nivel de directorios
compartidos.

Los servidores host se ven sin problemas, y puedo conectarme a un
directorio compartido de uno desde el otro y pasar ficheros sin
problemas, pero no puedo hacer lo mismo entre los servidores
virtuales. También me funciona la conexión desde el servidor virtual
de una red al servidor host de la otra y viceversa, pero no hay
manera de establecer la misma comunicación entre los dos
controladores de dominio.

Si alguien tiene alguna sugerencia que hacer, será bienvenida...

Muchas gracias.

Saludos... :-)
Héctor D.

Hola !

Ahora incluso he detectado cual era el problema.

Por si le sirve a alguien en el futuro, una de las configuraciónes que
tiene el router/firewall Dlink DFL-200, y que he visto en otros, es el
tema de 'Drop all fragmented packets', y si esta opción está activa, no
hay manera de hacer funcionar la conexión a nivel de directorio activo, y
tampoco a nivel de smb, ya que esta fue la pista que condujo a solucionar
el problema, que no funcionaba un 'net view' de un extremo al otro.

Una vez deshabilitada esta opción, ya tengo uena conectividad y
replicación entre los dos DCs a través de la VPN.

Ahora me queda saber como hacer que este router me pueda unir dos VPNs
distintas, ya que debido al tipo de configuración que tengo montada,
dispongo de tres de estos routers, uno en otro site R2, y dos (R1 y R3) en
el laboratorio donde hago las pruebas, pero solo tengo una salida a
Internet en este laboratorio, por lo que solo uno de los routers (R1)
puede establecer una vpn hacia el externo (R2) y éste R1 a su vez tiene
otra VPN a R3, pero no me es posible establecer una VPN entre R3 y R2.

Teoricamente, debería de poderse definir una ruta para que R3 se comunique
con R2 a través de R1, ya que detras de cada router tengo un DC. Pero la
manera de configurar las rutas en estos equipos es un poco peculiar...

Pero bueno, eso es harina de otro costal.

Muchas gracias de todas maneras por la ayuda.

Saludos... :-)
Héctor D.
"Guillermo Delprato [MVP]"
escribió en el mensaje
news:

He estado de vacaciones la semana pasada así que recién hoy estoy viendo
tu respuesta.

Me alegro que se solucionara

El método que nombras "explicarle el problema a otro" funciona muy bien
:-)
Yo lo utilizo y da muy buen resultado, porque nos obliga a *poner en
orden* lo que hemos hecho.
Y por si sirve más, si se lo tienes que explicar a alguien "que no sabe
del tema" mucho mejor, pues te hará preguntas que los que estamos en tema
no nos hemos planteado :-) Y a veces la solución es mucho más creativa

Guillermo Delprato
MVP - MCT - MCSE
Buenos Aires, Argentina


"Héctor D." wrote in message
news:

Hola !

No hay nada como la insistencia y el empezar de 0...

Volví a resintalar y a resetear los firewalls a su estado de fábrica y
volver a configurarlos.

Ahora parece que ya funciona correctamente y tengo visibilidad en ambos
sentidos, así mismo el repadmin tampoco da ningún error.

No hay nada como contarle a alguien sus problemas, enumerándo todo lo
que se ha hecho, y lo que falla, para reflexionar sobre ello para poder
dar con la solución.

El hecho de que me diera cuenta de que solo había conectividad en un
sentido, me abrió los ojos...

Gracias.

Saludos... :-)
Héctor D.

"Héctor D." escribió en el mensaje
news:

Hola !

He intentado el forzar la replicación y el problema ha sido el mismo.

Han estado varias horas encendidos y han sido reiniciados.

Ahora he descubierto algo que puede esclarecer el problema. Al parecer,
tengo conectividad del DC1 al DC2, pero no a la inversa. Me explico.

Desde el DC1 al hacer el repadmin /showrepl me dice que la replicación
ha ido correcta. Si intento hacer un net view \\dc2 también funciona
correctamente.

Desde el DC2, el repadmin /show repl me dice
"Site1\DC1 via RPC
Las attempt @ ... failed, result 1727 (0x6bf):
Error en la llamada a procedimiento remoto y no se ha ejecutado
n consecutive failure(S)."

Y en la parte de los dns...
" Las attempt @ ... failed, result 1256 (0x4e8):
El sistema remoto no está disponible..."

Si desde el DC2 intento hacer un net view \\dc1 tarda un rato en
responder y me dice:

"Error de sistema 121.

Ha terminado el intervalo de espera del semáforo."

Curiosamente, si hago un netstat en DC2, observo que hay conexiones
"Established" al DC1 en los puertos epmap, 1025, 1040, 1757-9. Sin
embargo, haciendo el netstat desde el DC1, observo que hay muchos mas
puertos abiertos hacia el DC2 que al contrario. También es cierto que
el DC1 es el que tiene todos los roles principales, así que supongo que
será normal.

He revisado la configuración de los firewall que establecen la VPN, y
en los dos es idéntica, solo cambian las direcciones. De hecho, los he
reiniciado y vuelto a configurar desde 0 para asegurarme de que no
hubiera alguna configuración extraña que se me escape.

En el log del firewall donde está conectado el DC2 de vez en cuando me
aparece el mensaje:
" [2007-03-29 20:15:26] <5>EFW: DROP: rule=LogOpenFails
reason=no_new_conn_for_this_packet recvif=LAN srcip2.168.201.131
destip2.168.200.131 ipproto=TCP ipdatalen20 srcport46
destport40 ack=1 psh=1"

Siendo el DC1 el 192.168.200.131 y el DC2 192.168.201.131.

He intentado hacer un netdiag en DC1 y después de varios minutos parece
haberse quedado colgado, solo mostrando una fila de puntos...

Mientras que una vez ejecutado en el DC2, i me ha dado respuestas en
general estando todos los test 'passed'.

Ya me estoy quedando sin ideas... Solo se me ocurre intentar establecer
la replicación por SMTP, a ver si así logro que se comuniquen sin
problemas...

Alguna idea ?

Saludos... :-)
Héctor D.

"Guillermo Delprato [MVP]"
escribió en el mensaje
news:

¿Si tratas de forzar replicación desde el AD Site and Services
funciona?
Supongo que los haz dejado por lo menos una hora ¿si?
También sería interesante hacerle un reinicio a cada uno para
asegurarse que quede ningún tipo de info "cacheada"

Guillermo Delprato
MVP - MCT - MCSE
Buenos Aires, Argentina


"Héctor D." wrote in message
news:

Hola !

Intentaré simpificar la situación.

Dos equipos conectados a un firewall/router. DC1 configurado en la
red 192.168.200.0 y DC2 en la 201.0

Monto directorio activo y los meto dentro del mismo dominio, se
replican y todo funciona sin problemas correctamente. Ambos son DNS
servers y están apuntando a si mismos como principal y al otro como
secundario. También ambos han sido configurados como catálogos
globales.

Una vez configurados en sitios distinto y establecidos los enlaces
entre sitios, sigo comprobando con el repadmin /showrepl que todo
funciona correctamente.

Después de comprobar esto, muevo el DC2 a otro firewall/router
idéntico al primero, y establezco una VPN entre ambos después de
suprimir, del primero, la referencia a la red 201.0 que use mientras
montaba el DA.

Compruebo que a nivel ip y dns hay conectividad sin problemas. Puedo
hacer ping de uno a otro y puedo hacer consultas DNS cruzadas.

Uso el repadmin /showrepl y compruebo que hay errores de replicación
desde que los separé.

Creo que así queda más claro. El firewall, por si a alguien le suena,
es el Dlink DFL-200, y las vpn están establecidas directamente por
IPSEC configurada en estos firewalls.

Saludos... :-)
Héctor D.

"Guillermo Delprato [MVP]"
escribió en el mensaje
news:

No te sigo con todo el escenario, muchos hosts, muchos virtuales, y
el esquema no me queda totalmente claro, pero te paso mi
experiencia, cuando instalas DCs en sitios remotos

Primero que nada, asegurarse que no tengas problemas, ni de IP, ni
de resolución de nombres (FQDNs)
Luego creo la estructura de sitios, redes y enlaces en el Active
Directory Site and Services
En el equipo que será DC en el sitio remoto lo apunto al DNS del
principal (que no tenga por ahora el servicio DNS); recién entonces
el DCPROMO
Hay que esperar un buen rato para que replique, a veces 1 hora o
más. Si te apuras da el RPC unavailable
Recién cuando replica, instalo servicio DNS en el remoto, y lo
apunto a sí mismo como preferido y al central como alternativo.
También hay que esperar un rato hasta que todo funcione.
Si te apuras y comienzas a hacer cambios la estropeas ;-)

Guillermo Delprato
MVP - MCT - MCSE
Buenos Aires, Argentina


wrote in message
news:

Hola !

A ver si alguien puede echarme una mano, ya que por mucho que lo
intento, no hay manera.

Tengo que montar una red en 3 oficinas distintas conectadas por
ADSL a Internet. Mi intención es usar unos Firewall de Dlink
(DFL-200) que soportan VPNs para establecer la comunicación entre
las distintas oficinas.

Actualmente la configuración la estoy probando en un laboratorio.
Tengo 2 de los firewalls conectados en la parte wan a la misma red
(192.168.0.0/24) y en la parte lan de cada uno, tengo configuradas
dos redes, una pensada para clientes y la otra para los servidores,
haciendo subnetting, por ejemplo, en la oficina1 estará la
192.168.200.0/25 para clientes y la 192.168.200.128/25 para
servidores.

Tengo montado un equipo con Server 2003 Estándar con la ip
192.168.200.130 como servidor independiente, y este está corriendo
una máquina virtual con otro Server 2003 en la ip 192.168.200.131
que es el primer controlador de dominio que he instalado.

En la misma oficina, y usando el mismo firewall, configuré un
segundo equipo esta vez en la red 192.168.201 activando un rutado
en el firewall para que me la viera, e hice lo mismo que con el
primero, el equipo como servidor independiente y una máquina
virtual como controlador de dominio que añadí al dominio creado en
el primer servidor.

Hasta aquí todo funciona estupendamente, los servidores
independientes y los controladores de dominio se ven sin nigún
problema.

He seguido las instrucciones de configuración del tutorial de
"Active Directory in Branch Office", personalizándolo un poco a mis
necesidades, y dejandolo todo en un solo dominio. He creado los
sitios y las subredes para las dos primeras oficinas, he asignado
cada servidor a su sitio y creado los enlaces entre sitios.

Todo estupendamente... hasta ese momento.

Ahora, paro el servidor de la red 201 y procedo a configurar el
segundo firewall y modificar la configuración del primero. Elimino
del primero las rutas a la red 201 y le creo una vpn por ipsec
hacia el segundo firewall para que se conecte a la red 201/24. En
el segundo firewall, configuro red de clientes (201.0/25) y de
servidores (201.128/25) y configuro vpn para que se conecte a la
red 200/24.

Arranco el servidor host y tengo conectividad a nivel ip entre los
servidores host de las red 200 y 201. Puedo hacer pings sin
problemas y consultar el dns entre ambos.

Arranco los servidores virtuales en ambos extremos y tengo
conectividad ping entre ambos, PERO, no hay manera de que se
repliquen, y tampoco hay conexión a nivel de directorios
compartidos.

Los servidores host se ven sin problemas, y puedo conectarme a un
directorio compartido de uno desde el otro y pasar ficheros sin
problemas, pero no puedo hacer lo mismo entre los servidores
virtuales. También me funciona la conexión desde el servidor
virtual de una red al servidor host de la otra y viceversa, pero no
hay manera de establecer la misma comunicación entre los dos
controladores de dominio.

Si alguien tiene alguna sugerencia que hacer, será bienvenida...

Muchas gracias.

Saludos... :-)
Héctor D.