4 votos

¿Cuáles son las posibles causas del mensaje de error "Un controlador de dominio de Active Directory (AD DC) para el dominio..."?

Anteriormente estaba teniendo problemas para conectar una de mis estaciones de trabajo (cliente) a mi dominio, y pensé que era porque el dominio aún no estaba en mi poder (referencia: esta pregunta ). Pero, debido a la respuesta me hace pensar que hay algo más. He buscado en internet y no consigo averiguar por qué Sigo teniendo problemas, así que he pensado en preguntar para ver cuáles pueden ser las posibles causas de este mensaje de error. Aquí está mi configuración:

Server (DC)
==============================
IP:              192.168.0.2
Subnet Mask:     255.255.255.0
Default Gateway: 192.168.0.1
Preferred DNS:   192.168.0.2

Workstation
==============================
IP:              DHCP
Subnet Mask:     
Default Gateway: 
Preferred DNS:   192.168.0.2

Además, tengo una zona de búsqueda directa para mi dominio local (internal.domain.com). Aquí hay un volcado de los nslookups del cliente y del servidor:

> nslookup internal.domain.com
Server:  cdns02.comcast.net
Address: 2001:558:feed::2

Non-authoritative answer:
Name:    internal.domain.com
Address: 50.19.***.*** (definitely not my IP address)

> nslookup -type=SRV _Kerberos._tcp.dc._msds.internal.domain.com
Server:  cdns02.comcast.net
Address: 2001:558:feed::2

         primary name server = ns.buydomains.com
         responsible mail addr = hostmaster.buydomains.com
         serial  = ...
         refresh = ...
         retry   = ...
         expire  = ...
         default TTL = ...

Esto aparece igual en el servidor y en el cliente, lo que me hace pensar que ambos son no utilizando mi servidor como la búsqueda de DNS, que es por lo que estoy teniendo problemas? Realmente no estoy seguro de lo que está pasando aquí. Sólo estoy buscando lo que podría ser un problema, y traté de responder a la mayoría de las preguntas de seguimiento en la respuesta a mi pregunta anterior.

Actualización:

Utilicé esta pregunta para generar una dirección IPv6 pseudo-única, que estaba en el formato de xxxx:xxxx:xxxx:xxxx::/64. Esta es la configuración que utilicé en mi servidor:

Server (DC) IPv6
=============================================================
IPv6 Address:         xxxx:xxxx:xxxx:xxxx::1
Subnet Prefix Length: 64 
Default Gateway:      xxxx:xxxx:xxxx:xxxx:ffff:ffff:ffff:ffff

Entré en mi router y cambié la configuración de IPv6 también. Había indicado " Obtain a DNS server address automatically or enter a specific DNS server address. ", en cuyo caso seleccioné para especificar la dirección del servidor DNS a la dirección estática de mi servidor. También configuré el servidor DNS público de Google como secundario.

Finalmente, mi máquina cliente fue capaz de unirse a la red al instante. Además, por si acaso, configuré los DNS IPv6 de las máquinas cliente para que apuntaran a mi servidor (de nuevo, por si acaso).

Si alguien más se encuentra con un problema de IPv6, esta parece ser la solución. Lo bueno es que ahora puedo usar el RSAT para gestionar mi servidor desde mi cliente principal (puedo quitar mi monitor, teclado y ratón del servidor).

7voto

Evan Anderson Puntos 118832

Supongo que no estás encontrando muchos artículos que describan lo que estás viendo, porque la gran mayoría de las implementaciones de Active Directory no están usando IPv6. Las direcciones que aparecen en tu nslookup me muestra que definitivamente estás usando IPv6 (lo que también tiene sentido dado que Comcast es tu ISP).

Sus clientes obtienen el DNS IPv6 de su ISP (un servidor DNS fuera de su control) y, por lo tanto, no se consulta la zona de búsqueda autorizada de su servidor DNS. En general, se recomienda que sus clientes sólo tengan especificados servidores DNS que sean controladores de dominio (DC) de Active Directory.

Configure la opción de servidor DNS en su ámbito DHCPv6 (opción "0023 DNS Recursive Name Server IPv6 Addresses") para especificar su DC como servidor DNS y sus clientes dejarán de buscar DHCP fuera de su LAN.

Editar:

Asumiendo que no recuerdas haber configurado un ámbito IPv6 en tu ordenador Windows Server es probable que tengas un router que esté actuando como servidor DHCPv6. Sin saber cuál es el router (si es el servidor DHCP para IPv6) no puedo darte pautas paso a paso sobre cómo cambiarlo.

Echa un vistazo a la interfaz de administración del router para ver si puedes configurar las opciones IPv6 del servidor DHCP. Suponiendo que puedas, puedes configurar tu máquina Windows Server con una dirección IPv6 estática y especificar que es el servidor DNS para los PCs.

Si el router no le permite modificar las opciones DHCP para las opciones IPv6, entonces tendrá que desactivar el DHCP IPv6 en el router y configurar un ámbito DHCP para IPv6 en el equipo Windows Server. Tendrá que crear un Dirección local única para su red IPv6, asigne una dirección IPv6 estática a la máquina Windows Server y configúrela como servidor DNS en las opciones del ámbito IPv6. Hay un artículo aquí que describe la configuración de IPv6 DHCP en Windows Server 2008 y debería ser al menos razonablemente preciso para Windows Server 2012.

Como alternativa a todo esto puedes optar por configurar Windows para que prefiera IPv4 sobre IPv6 o deshabilitar directamente IPv6 en sus ordenadores servidor y cliente. No es algo que Microsoft recomiende, pero es algo que podrías hacer. Hay un buen artículo de la wiki de Technet que incluye Plantillas Administrativas para Políticas de Grupo para deshabilitar IPv6, pero te encuentras en un escenario de gallina y huevo en el que tus clientes no van a ser capaces de procesar la Política de Grupo hasta que hayas solucionado este problema.

Por último, me preocupa la elección del nombre de dominio de Active Directory. Ha habido guerras de religión en el pasado sobre esto, pero mejores prácticas recomendadas para el nombramiento de dominios de Active Directory dicen que podrías elegir un nombre que no es (y nunca será) un nombre válido de Internet. Estás utilizando algo que los servidores DNS de Comcast pueden resolver y esto podría presentar problemas con los clientes móviles, en el futuro, porque la capacidad de resolver el nombre del dominio es parte del protocolo que un cliente utiliza durante el boot para determinar si debe intentar contactar con los DCs y procesar la Política de Grupo. Se pueden tener tiempos de arranque excesivamente largos en los clientes cuando están conectados a Internet, no pueden llegar a sus DCs, pero obtienen respuestas DNS falsas para el nombre del dominio de Active Directory. (He maldecido a varios consultores a lo largo de los años que han configurado redes que luego he "heredado" de esta manera... ¡Gracias, chicos! Ya va a haber un cambio de nombre de dominio...)

1voto

fboaventura Puntos 979

Este error suele estar relacionado con el DNS. Su estación de trabajo necesita usar su servidor DNS interno y tiene que tener los registros relacionados con AD (creados).

Si su nslookup está resolviendo direcciones desde fuera de su red, significa que sus consultas están siendo reenviadas a un servidor externo y que está utilizando un nombre válido para su dominio interno.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: