Невозможно запросить сервер LDAP через порт 389 на контроллере домена Windows 2000 из другой подсети

У меня довольно загадочная проблема с доступом LDAP к Active Directory в домене Windows. Конфигурация следующая:

Есть две основные сети: 192.168.0.0/24 и 192.168.100.0/24.
Эти сети связаны с помощью канала OpenVPN (сеть передачи 192.168.201.0/30).
Контроллер домена под управлением Windows 2000 SP3 Server и Exchange 2000 в сети 192.168.0.0/24
Соответствующая маршрутизация
Обе подсети, зарегистрированные на сайте в оснастке Sites and Services.

Почти все работает: пользователи с компьютеров в обеих сетях могут войти в систему, получить доступ к общим ресурсам SMB на файловых серверах в сети 192.168.0.0/24, использовать Outlook со своей учетной записью Exchange и так далее. Кроме того, все запросы DNS, включая SRV-записи, относящиеся к AD (например, _ldap._tcp.dc._msdcs. $ DOMAINNAME), указывают на правильные места.

На ссылке OpenVPN нет брандмауэра.

Теперь проблема: я не могу запросить LDAP-сервер DC (NTDS, порт 389) с любого компьютера в сети 192.168.100.0/24. Интересно, что запросы LDAP к глобальному каталогу (порт 3268 на том же сервере) работают отлично. Я даже получаю соединение с портом 389, но сервер сразу же сбрасывает его.

В журнале событий службы каталогов (интерфейс LDAP) нет подозрительных записей даже при максимально возможном уровне журнала.

Вот пример вывода инструмента LDP, пытающегося подключиться к DC по адресу 192.168.0.1:

0x0 = ldap_unbind(ld);
ld = ldap_open("192.168.0.1", 389);
Established connection to 192.168.0.1.
Retrieving base DSA information...
Server error: <empty>
Error<94>: ldap_parse_result failed: No result present in message
Getting 0 entries:

Все, что я нашел в Интернете, говорит об одном и том же, в основном: «проверьте DNS» и «проверьте брандмауэр». Я дважды и трижды проверил как DNS, так и IP-маршрутизацию / фильтрацию, и, похоже, все в порядке.

У вас есть идеи, где искать и что проверять? Буду признателен за любой ответ. Если вам нужны дополнительные диагностические данные, я буду рад их предоставить.

Обновить

Благодаря ответу Адамо я смог еще больше сузить проблему. Проблема в том, что весь трафик в сеть 192.168.0.0/24 на порт 389 каким-то образом искажается машиной, на которой работает OpenVPN. Это происходит независимо от того, к какой целевой машине я пытаюсь подключиться через порт 389 / tcp, и даже независимо от того, действительно ли целевая машина прослушивает порт 389. Любой другой порт (например, 390) работает нормально, и я получаю либо соединение или сообщение «соединение отклонено», если ни один процесс не прослушивает этот порт.

Порт 389 / udp тоже работает нормально.

Что может заставить сервер Windows 2000 управлять трафиком таким избирательным образом?

Обновление 2

Чтобы свести к минимуму взаимодействие между службами DC / NTDS и OpenVPN, я переместил сервер OpenVPN на другой компьютер (и соответственно изменил IP-маршрутизацию). Теперь я могу подключиться к любой машине, кроме DC на порту 389 / tcp. Тем не менее, если я попытаюсь подключиться к серверу LDAP на DC через порт 389 / tcp из сети 192.168.100.0/24, сервер LDAP немедленно закроет соединение, так что в основном я вернусь к исходной точке.

Есть идеи, как убедить NTDS взаимодействовать с другой сетью? Или, может быть, какое-то обходное решение?

У ms ldap есть проблема, которая приводит к немедленному сбросу новых подключений на tcp 389

http://support.microsoft.com/kb/2000061

3 вопроса:

Можете ли вы запросить порт 389 / tcp с компьютера в той же локальной сети, что и сервер LDAP?
Является ли сервер OpenVPN «межсетевым экраном» между этими лентами или существует третий шлюз? Какие операционные системы у этих устройств?
В локальной сети, где находится сервер LDAP, можете ли вы настроить компьютер и запустить прослушиватель netcat на порту 389 / tcp? Если да, сбрасывается ли соединение сразу или нет?