DC找不到RPC伺服器造成複寫無法啟動
 

大家好，最近在架DNS Server出問題了
架了兩台在網域下的DNS Server，在區域網路內可以正常互相覆寫
可是搬到internet上(兩台皆有固定IP)卻無法在同步了
在"AD站台與服務"中的覆寫物件中執行立即覆寫後
會發生錯誤視窗=>嘗試同步處理網域控制站時發生下列錯誤：無法取得RPC伺服器。
利用微軟的Portqry工具去查135 Port發現第二台DNS去連其他台DNS都會Filtered(錯誤碼0x00000002)，其他台DNS去連第2台也是一樣的Filtered狀況，而其他台DNS互相查詢都是Listen的正常狀態。
而用repadmin /bind去查自身server也都是正常的狀況。
對了，其實DNS Server之前已經架過一組(美國固定IP跟Hinet固定IP)，也是區網內架好在移到Internet上，結果是正常的。但是現在這組DNS(Hinet固定IP跟台灣電訊固定IP)如法砲製去做，卻失敗了。RPC伺服器無法連接。
現在能想到的
1.好像是第二台的RPC服務真的有問題，可是我服務確定是開著的。
2.不清楚ISP是否會擋RPC的服務，因為同樣的架設方法，一組可以另一組卻不行。

不知是否有大大遇過類似問題的，這問題困擾很久了 :cry:

RPC服務是動態port 1024-65535
所以通常是防火牆把他擋下來

DNS是固定port 53
防火牆可以輕易幫你轉

謝謝u8526425大大釋疑
但我兩台server都沒掛防火牆，所以應該是沒有在擋port

哇~
你也太帥了吧
伺服器敢直接丟到網際網路上

擋port的問題
ISP是有一點點的可能
要看一下當地ISP的規章是否允許架站
架站要申請且價格上會不一樣
不過我不確定現在還有沒有這麼龜毛的ISP

我試過將第二台DNS由台灣電訊的固定ip改為Hinet固定ip來嘗試AD複寫，結果很快就成功了，所以應該是ISP的問題
可是我又打去台灣電訊問，他們是表示沒有鎖port，如果有鎖的話他們會事先通知我。
但是跟我所測試出來的結果不相同。

另外問，兩個不同isp的固定ip連線，有需要考慮到子網路遮罩的網段問題嗎?子網路遮罩應該用來區分區域網路來用的吧?

不用管
反正都是從default gateway自己路由出去找路

應該不是ISP之間的問題

DC 覆寫應該是要存在於 LAN , 貓比較懷疑是 time out.... 造成的

你這兩台應該都是放在同一個機房,只是跑不同 ADLS 或專線吧

至於你提到的 sub netmask . 你不用動了,亂設的結果是給自己找麻煩
就照 ISP 給你的值去跑.

另外, 如果是 2003 AD , DC 與 DNS 的連動性非常的強
操作時請多加留意

老實說沒人把 AD 的 DC 直接丟在網路上,即使　DNS 也是會放在 DMZ 內
如果樓主堅持不改架構,貓建議你另外各裝一裝網卡來跑 LAN, 或是直接對串

只要外部不查詢這兩台機子的 IP , 你就可以把兩台的名字與內部IP對應在 DNS record.

ISP是有可能檔的
不過為了安全起見
除非在一個機櫃中
不同網段 用第二張網卡串IntraNet
不然還是放防火牆後面
打通VPN比較安全

問題大致解決了，謝謝u8526425.小豹貓.lompt大大的幫忙
方式跟大家所說的方式相同，將兩台DNS都再加上一塊網卡，再利用區域網路來做AD覆寫，對外網路就只做DNS的服務就正常了。
(ISP的解決方式太慢了，所以先這樣弄)

由於之前公司的DNS都是這樣架的，沒聽各位說還不知道原來我的架法太危險了，呵呵.....

現在又遇到一個奇怪的問題
在我兩台DNS都再加上一塊網卡利用內部網路做複寫後。DNS就自動將兩台名稱伺服器的IP登錄為兩組，一組是對外的，一組是內部網路的。可是複寫也就正常了
但最近有某些電腦在ping我的DNS時(例如ping dns2.xxx.net)，所取得的IP是那台DNS另外一張內部網路在用的IP。而不是取得那台在interner登錄的IP。
但是我若是在 DNS中把登錄的內部IP對應在 DNS record砍掉就不能同步複寫了。
不知道是否還有哪個功能可以讓我的DNS再被查詢的時候，不會將內部網路的 DNS ip record匯出。