none
No puedo acceder a "\\DC" desde fuera del dominio RRS feed

  • Pregunta

  • Hola a todos,

    Me informan los usuarios que desde esta mañana, los escáneres de red que guardan documentos en el DC (mediante SMB a \\DC\recurso con un usuario y contraseña que existe en el dominio) no pueden guardar los documentos (error de red).

    Me doy cuenta de que no puedo acceder a \\DC desde fuera del dominio (por ejemplo, desde el mismo HOST de las VM's o desde algún otro equipo virtualizado que tengo que está en la misma red aunque sin unir al dominio). Con lo que supongo que el problema de la impresora es el mismo que tengo ahora con estos equipos que no pertencen al dominio.

    Sin embargo, desde el DC si puedo acceder al host \\host\c$ y poniendo las credenciales funciona correctamente. No parece problema de DNS, ya que pasa igual por IP o con nombre DNS. El DC responde bien al ping y puedo conectar por terminal server también.

    De ayer a hoy, estuve trasteando con el firewall de Windows (que siempre estuvo desactivado) implementando una regla para restringir intentos de sesiones excesivas por terminal server, pero al ver los problemas he desactivado el firewall y el error persiste.

    ¿alguna idea?

    Detallo el escenario: DC en Server 2012 r2 virtualizado sobre un host también Server 2012r2, firewall desactivado (en ambos). El DC es también DHCP y DNS. DCdiag da todo correcto. El DC tiene recursos compartidos y los equipos unidos al dominio funcionan y acceden de manera correcta.

    martes, 17 de abril de 2018 11:00

Respuestas

Todas las respuestas

  • La autenticación en ambiente de Dominio usa el protocolo Kerberos, en cambio si la máquina no pertenece al Dominio usa NTLM, además actualmente por omisión se han deshabilitado algunas versiones de los protocolos SMB

    Revisa estos enlaces a ver si encuentras el problema

    How to detect, enable and disable SMBv1, SMBv2, and SMBv3 in Windows and Windows Server
    https://support.microsoft.com/en-us/help/2696547/how-to-detect-enable-and-disable-smbv1-smbv2-and-smbv3-in-windows-and

    SMBv1 is not installed by default in Windows 10 version 1709 and Windows Server version 1709
    https://support.microsoft.com/en-us/help/4034314/smbv1-is-not-installed-windows-10-and-windows-server-version-1709

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Marcado como respuesta ASNetworking martes, 17 de abril de 2018 11:52
    martes, 17 de abril de 2018 11:07
    Moderador
  • Efectivamente Guillermo, has dado con la clave.

    Ayer intentando proteger el servidor de ataques de diccionario mediante un script, activé la política del DC de "restringir NTLM entrante: denegar todo".

    Ahora me pasa una cosa curiosa. Si cambio la política a "permitir todo" ya puedo acceder a los recursos del DC desde fuera del dominio, pero si la dejo en "no configurada" o si "desvinculo la GPO" (y fuerzo la actualización con gpupdate" no puedo entrar.

    La propia GPO dice que "permitir todo" y "no configurada" son lo mismo

    ¿a que se debe este comportamiento?


    Un saludo, Aarón Sánchez

    martes, 17 de abril de 2018 11:56
  • No siempre es lo mismo "permitir todo" que "no configurada"

    La opción "No configurada" es dejar todo como está, no cambiar nada del estado actual, aunque en algún caso he visto que en lugar de esto lo que hace es tomar el valor por omisión

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    martes, 17 de abril de 2018 14:16
    Moderador