DCPROMO на новом удаленном контроллере домена не работает, потому что «сервер RPC недоступен»

Я помогаю (DevOps) клиент переносит свой технологический стек (VMware, Windows AD, Ubuntu Linux) со своего старого объекта совместного размещения в новую среду. Вместо того, чтобы сразу перемещать оборудование и системы, я создал параллельную среду в новом центре обработки данных ...

Одна вещь, которую мне нужно установить на новом сайте, - это Active Directory. На их старом сайте (2008 R2) уже есть AD, состоящая из одного контроллера домена. В то время как на новом объекте есть межсетевой экран Cisco ASA, на старом объекте его нет. Их текущие системы открыты для доступа в Интернет без брандмауэра; включая контроллер домена! VPN-туннель типа "сеть-сеть" не подходит.

Я бы хотел построить еще один контроллер домена на новом сайте; в основном присоединение к домену по Интернету. Это необходимо для VMware Virtual Center, DNS и некоторых других вещей, которые мне нужны для работы в новой среде. Я построил новый сервер Windows 2008 R2 и сделал следующие шаги:

• Успешно присоединил его к домену (через Интернет, ограничивая новый сайт исходными адресами старого сайта).
• Добавлен новый сайт AD для старой и новой подсетей (они разные).
• Проверил все, что мог, о DNS.
• Установлены бинарные файлы AD.
• Ран dcpromo под учетной записью администратора домена.

В dcpromo step не проходит через несколько минут в процессе:

Операция завершилась неудачно, потому что:

Доменным службам Active Directory не удалось создать объект NTDS Settings для этого контроллера домена Active Directory CN = NTDS Settings, CN = DC2, CN = Servers, CN = ServerCentral, CN = Sites, CN = Configuration, DC = serve-a-sysadmin, DC = com на удаленном AD DC PEDC.hire-a-sysadmin.com. Убедитесь, что предоставленные сетевые учетные данные имеют достаточные разрешения.

«Сервер RPC недоступен».

Я заметил, что старый контроллер домена, с которого я пытаюсь выполнить репликацию, является многосетевым. Поскольку у клиента нет брандмауэра на их старом сайте совместного размещения, все их серверы, похоже, имеют общедоступные IP-адреса и шлюзы по умолчанию, которые указывают на Интернет, а также второй интерфейс, предназначенный для внутренней связи в подсети 10.10.10.0/24. Я видел, что это проблема, потому что кажется как плохая практика.

Как я могу заполнить dcpromo процесс на этом новом контроллере домена?

Изменить - я побежал Запрос порта, как рекомендовано ниже. Единственным портом с ненулевым статусом был порт 42 - TCP port 42 (nameserver service): NOT LISTENING. Я считаю, что это только для разрешения WINS.