Здравствуйте, есть два контроллера домена на Windows server 2003. На обоих серверах хочу включить Брандмауэр, скажите, какие порты должны быть открыть для работы Контроллера домена?. В данный момент открыты: TCP: 3268, 3269, 88, 636, 389, 135, 464; UDP: 88, 636, 389, 135, 464. Ну и сообтветственно DNS и DHCP порты. Если файерволы на обоих контроллерах включены, то пользователь при входе в Windows зависает минут на 5 на "приминение личных параметров". Если отключить файерволл, то влетает моментально, если оставить хотя бы на одном контроллере домена включенным, то так же долго заходит. Когда включены файерволлы наблюдается ошибка:
-------------------------------------------
Тип события: Предупреждение
Источник события: NTDS KCC
Категория события: Проверка согласованности знаний
Код события: 1308
Дата: 10.08.2009
Время: 11:50:47
Пользователь: NT AUTHORITY\АНОНИМНЫЙ ВХОД
Компьютер: FILE-SERVER
Описание:
В ходе проверки согласованности знаний обнаружено, что все дальнейшие попытки репликации со следующим контроллером домена завершились неудачно.

Попыток:
2
Контроллер домена:
CN=NTDS Settings,CN=FIN-SERVER,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=ak-holding,DC=sss
Интервал (мин):
125

Объект подключения для этого контроллера домена будет проигнорирован, а для гарантии продолжения репликации будет установлено новое временное подключение. Как только репликация с этим контроллером домена возобновится, временное подключение будет удалено.

Дополнительные данные
Значение ошибки:
1256 Удаленная система недоступна. За информацией о разрешении проблем в сети, обратитесь к справочной системе Windows.

Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".
----------------------------------------

Прочитал вот здесь http://support.microsoft.com/kb/555381, что для репликации нужно назначить порт, для этого надо подкорректировать реестр...стремаюсь, так ли это?

Как правильно настроить брандмауэр (Firewall) на контроллере домена Windows Server 2003 (http://www.all-for-you.com.ua/index.php?ukey=news&blog_id=78)

а вот ещё вопрос: эти серверы настроены как два DNS сервера, 1-ый настроен как основной, второй как дополнительный. Так вот когда отключается основной контроллер, то второй роль контроллера домена заменяет, а вот с DNS проблемы...рабочие станции получают адреса с помощью DHCP сервера, на 2-ом контроллере домена и соответственно альтернативным ДНС сервером у них является этот 2-ой контроллер, а предпочтительным - 1-ый контроллер домена. Так вот когда выключен 1-ый контроллер домена, то для того, чтобы получить доступ в интернет необходимо вручную на каждой станции поставить на место основного ДНС сервера, альтернативный. Почему...ведь они оба прописаны в настройках? Или неправильно настроен 2-ой ДНС сервер?

monkkey,
спасибо за ответ

KpaH4iTo,
А пересылка на втором настроена на DNS провайдера?

нет, не настроена, но если у клиента вручную вбить адрес второго сервера на место основного ДНС сервера, то всё работает

мы переезжали 2 раза и даже в на первом ДНС сервере пересылка стоит на старые ДНС сервера провайдера. ДНС нашего провайдера настроены на маршрутизаторе

ipconfig /all клиент и сервер
Если клиенты получают адрес с DHCP, то, в качестве временной меры, можно в нем DNS менять.

Так ведь DHCP выдал адрес клиенту и тот уже сам по себе не станет его заново получать?

Client
--------------------------------------------------------------
Настройка протокола IP для Windows
Имя компьютера . . . . . . . . . : lar
Основной DNS-суффикс . . . . . . : ak-holding.sss
Тип узла. . . . . . . . . . . . . : неизвестный
IP-маршрутизация включена . . . . : нет
WINS-прокси включен . . . . . . . : нет
Порядок просмотра суффиксов DNS . : ak-holding.sss

Подключение по локальной сети - Ethernet адаптер:
DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Intel(R) 82566DM-2 Gigabit Network Connection
Физический адрес. . . . . . . . . : 00-22-64-A5-F5-88
Dhcp включен. . . . . . . . . . . : да
Автонастройка включена . . . . . : да
IP-адрес . . . . . . . . . . . . : 192.168.202.55
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . : 192.168.202.1
DHCP-сервер . . . . . . . . . . . : 192.168.202.25
DNS-серверы . . . . . . . . . . . : 192.168.202.20
Аренда получена . . . . . . . . . : 11 августа 2009 г. 9:00:21
Аренда истекает . . . . . . . . . : 20 октября 2011 г. 9:00:21

Server
--------------------------------------------------------------
Настройка протокола IP для Windows
Имя компьютера . . . . . . . . . : FILE-SERVER
Основной DNS-суффикс . . . . . . : ak-holding.sss
Тип узла. . . . . . . . . . . . . : неизвестный
IP-маршрутизация включена . . . . : нет
WINS-прокси включен . . . . . . . : нет
Порядок просмотра суффиксов DNS . : ak-holding.sss

Подключение по локальной сети - Ethernet адаптер:
DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Intel(R) PRO/1000 MT Network Connection
Физический адрес. . . . . . . . . : 00-15-17-44-3E-D1
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.202.20
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . : 192.168.202.1
DNS-серверы . . . . . . . . . . . : 192.168.202.20
192.168.202.25

У клиента указан один DNS-сервер, если я не ошибаюсь ))

гыг :o