none
Servidor no ve equipos en intranet RRS feed

  • Pregunta

  • Hola!

    Tengo un servidor que tiene instalado un controlador de dominio y el servidor DNS.

    Me he dado cuenta que el servidor, si hago un ping al nombre o la IP de un equipo cliente, el ping devuelve el mensaje "host de destino inaccesible".

    Tengo dos tarjetas ethernet configuradas así:

    EXTERNA (La que da salida a internet):

    192.168.0.240

    255.255.255.0

    192.168.0.1

    8.8.8.8

    8.8.4.4

    INTERNA (Dominio, DNS, etc).

    192.168.0.243

    255.255.255.0

    Sin puerta de enlace

    127.0.0.1

    Sin DNS alternativo

    En los equipo cliente, si hago un nslookup me aparece el nombre de mi servidor. Si hago ese comando en el servidor, me aparece la DNS de google.

    Tengo configurado en mi servidor DNS tanto la búsqueda directa como la inversa (aparecen todos mis equipos), tambíen tengo configurado los REENVIADORES con las dos direcciones de GOOGLE y dos de la empresa que me proporciona internet.

    En el apartado "Interfaces" del servidor de DNS tengo marcada unicamente la dirección 192.168.0.243 (la tarjeta interna), también aparece la IP de la tarjeta externa, pero está sin marcar.

    ¿Es normal que el servidor no pueda hacer ping a los equipos cliente? ¿Que tengo mal configurado?.

    Gracias.

    miércoles, 3 de octubre de 2018 16:15

Respuestas

  • Hay varias cosas ahí que no están "como deben ser"

    1.- Como seguridad básica nunca es conveniente que un Controlador de Dominio sea el que comparte Internet, tiene lo más valioso de tu red (usuarios y contraseñas) ¿Guardas tus ahorros en la puerta de tu casa? :D

    2.- No tiene sentido tener dos interfaces de red sobre la misma red (192.168.0.0 / 255.255.255.0) Salvo que se configuren como "Team"

    3.- Nunca un Controlador de Dominio tiene que tener dos interfaces de red, es conocido que trae problemas pues el DNS registrará ambas, y responderá alternando el orden de las mismas

    4.- Todas todas las máquinas que forman parte de un Dominio deben tener configurado para usar como DNS únicamente a el o los Controladores de Dominio con DNS. Nunca el Router o uno externo. Para que se resuelvan nombres de Internet, en el servicio DNS se deben configurar Reenviadores, ahora sí, a uno o más DNSs externos

    5.- Un DNS que tenga más de una interfaz de red, siempre registra todas, aunque le marques la opción que no lo haga

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    miércoles, 3 de octubre de 2018 18:12
    Moderador
  • 2.- y 3.- Ambas se solucionan fácil: quitar o deshabilitar una de las placas. Normalmente el que se ocupa de compartir Internet es el "Router/Firewall"

    4.- Repito :)
    4.- Todas todas las máquinas que forman parte de un Dominio deben tener configurado para usar como DNS únicamente a el o los Controladores de Dominio con DNS. Nunca el Router o uno externo. Para que se resuelvan nombres de Internet, en el servicio DNS se deben configurar Reenviadores, ahora sí, a uno o más DNSs externos
    Y como nombré antes, debe quedar con una única interfaz de red

    5.- No, no hay forma, por lo menos que yo sepa, aunque le pongas a una interfaz que no registre en DNS, si tiene el servicio lo hace igual

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    jueves, 4 de octubre de 2018 11:37
    Moderador
  • No tiene sentido que el Controlador de Dominio comparta Internet, ni por los problemas de seguridad ya nombrados, ni porque pueda controlar o restringir el acceso a Internet del resto de las máquinas

    El dispositivo que debe dar conectividad a Internet es el "Router/Firewall" que de acuerdo a sus características y funcionalidades sí, puede controlar y restringir los accesos a Internet

    - Todas las máquinas tienen como único DNS al Controlador de Dominio con DNS

    - En el DNS, configurar Reenviadores a los DNSs de Google, el ISP, o los que quieras de Internet

    - Todas las máquinas deben tener configurado como Puerta de Enlace a la dirección IP interna del "Router/Cortafuegos", ninguna otra

    Algo más a tener en cuenta, que si no estuvo bien configurado el DNS controla que esté creada la zona correspondiente al Dominio AD, y que todas las máquinas estén registradas en la misma. Y si estuvieran registradas las IPs del Controlador de Dominio con la placa que ya no existe hay que eliminarlas

    Si no estuvieran las registraciones, en el servidor, desde un CMD "Ejecutado como administrador" se debe hacer:

    - IPCONFIG /REGISTERDNS

    - NET STOP NETLOGON && NET START NETLOGON

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    jueves, 4 de octubre de 2018 15:51
    Moderador
  • Puedes hacerlo como te parezca bien, yo en las respuestas anteriores mencioné cómo se debe configurar

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    viernes, 5 de octubre de 2018 10:57
    Moderador
  • He configurado las dos tarjetas ethernet en team y les he puesto la configuración IP que he comentado antes.

    Ahora el controlador de dominio no comparte Internet con los equipos cliente.

    En la configuración del servidor DNS, en el apartado interfaces, solo me aparece una IP, que es la que todos los equipos tienen configurada como DNS.

    Anteriormente me ha indicado que controlase en el DNS que estuviese creada la zona para mi AD. En las zonas de búsqueda directa tengo dos zonas, una se llama "_msdcs.oficina.local" y la otra "oficina.local". Ahí aparecen todos los equipos que tengo en la intranet.

    En las zonas de búsqueda inversa tengo una zona llamada "0.168.192.in-addr.arpa", en la cual también aparecen todos mis equipos.

    viernes, 5 de octubre de 2018 16:01
  • Si los clientes ya tienen acceso a Internet entonces el problema está solucionado, por lo menos en esos

    ¿Qué es lo que falta? ¿El Controlador de Dominio no tiene salida a Internet?

    Si esto fuera así, entonces controla que se esté apuntando como DNS sólo a sí mismo, y que tenga la misma Puerta de Enlace que los clientes (192.168.0.2)

    Esta configuración debe estar en el "Team" si es que lo has implementado

    Si con lo anterior no funcionar vuelve a poner los dos comandos anteriores, pero del servidor

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    lunes, 8 de octubre de 2018 13:48
    Moderador

Todas las respuestas

  • Hay varias cosas ahí que no están "como deben ser"

    1.- Como seguridad básica nunca es conveniente que un Controlador de Dominio sea el que comparte Internet, tiene lo más valioso de tu red (usuarios y contraseñas) ¿Guardas tus ahorros en la puerta de tu casa? :D

    2.- No tiene sentido tener dos interfaces de red sobre la misma red (192.168.0.0 / 255.255.255.0) Salvo que se configuren como "Team"

    3.- Nunca un Controlador de Dominio tiene que tener dos interfaces de red, es conocido que trae problemas pues el DNS registrará ambas, y responderá alternando el orden de las mismas

    4.- Todas todas las máquinas que forman parte de un Dominio deben tener configurado para usar como DNS únicamente a el o los Controladores de Dominio con DNS. Nunca el Router o uno externo. Para que se resuelvan nombres de Internet, en el servicio DNS se deben configurar Reenviadores, ahora sí, a uno o más DNSs externos

    5.- Un DNS que tenga más de una interfaz de red, siempre registra todas, aunque le marques la opción que no lo haga

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    miércoles, 3 de octubre de 2018 18:12
    Moderador
  • Hola Guillermo.

    En primer lugar gracias por responderme y por tu valiosa contribución tanto en este tema como en otros que he formulado.

    Respondo según tu numeración en la respuesta:

    1- Cambiaré este aspecto.

    2- Modificaré la intranet para que tenga una dirección IP distinta de la tarjeta que sale a internet. ¿Afecta a la configuración del DNS?

    3- ¿Cómo lo soluciono?

    4- El único equipo que tiene configurado una DNS externa es la tarjeta de red del servidor que "sale" a internet, el resto, tienen configurada la IP del Servidor.

    5- ¿Se pueden quitar o modificar para arreglar esto?.

    Muchas Gracias.

    jueves, 4 de octubre de 2018 10:05
  • 2.- y 3.- Ambas se solucionan fácil: quitar o deshabilitar una de las placas. Normalmente el que se ocupa de compartir Internet es el "Router/Firewall"

    4.- Repito :)
    4.- Todas todas las máquinas que forman parte de un Dominio deben tener configurado para usar como DNS únicamente a el o los Controladores de Dominio con DNS. Nunca el Router o uno externo. Para que se resuelvan nombres de Internet, en el servicio DNS se deben configurar Reenviadores, ahora sí, a uno o más DNSs externos
    Y como nombré antes, debe quedar con una única interfaz de red

    5.- No, no hay forma, por lo menos que yo sepa, aunque le pongas a una interfaz que no registre en DNS, si tiene el servicio lo hace igual

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    jueves, 4 de octubre de 2018 11:37
    Moderador
  • Si deshabilito la tarjeta de red que comparte internet los equipos cliente dejan de tener acceso a internet.

    Sobre este tema, si no afecta al tema de la pregunta, y al del otro tema del GPUPDATE /FORCE, puede quedar así de momento.

    Pero la duda es, si cambio la IP de la INTRANET a 192.168.8.X por ejemplo, ¿en el dns aparecen los equipos con la nueva dirección?.

    jueves, 4 de octubre de 2018 13:16
  • No tiene sentido que el Controlador de Dominio comparta Internet, ni por los problemas de seguridad ya nombrados, ni porque pueda controlar o restringir el acceso a Internet del resto de las máquinas

    El dispositivo que debe dar conectividad a Internet es el "Router/Firewall" que de acuerdo a sus características y funcionalidades sí, puede controlar y restringir los accesos a Internet

    - Todas las máquinas tienen como único DNS al Controlador de Dominio con DNS

    - En el DNS, configurar Reenviadores a los DNSs de Google, el ISP, o los que quieras de Internet

    - Todas las máquinas deben tener configurado como Puerta de Enlace a la dirección IP interna del "Router/Cortafuegos", ninguna otra

    Algo más a tener en cuenta, que si no estuvo bien configurado el DNS controla que esté creada la zona correspondiente al Dominio AD, y que todas las máquinas estén registradas en la misma. Y si estuvieran registradas las IPs del Controlador de Dominio con la placa que ya no existe hay que eliminarlas

    Si no estuvieran las registraciones, en el servidor, desde un CMD "Ejecutado como administrador" se debe hacer:

    - IPCONFIG /REGISTERDNS

    - NET STOP NETLOGON && NET START NETLOGON

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    jueves, 4 de octubre de 2018 15:51
    Moderador
  • Hola Guillermo,

    Le voy a comentar lo que estuve pensado hacer y me gustaría que me diese su opinión:

    Hacer que las dos tarjetas ethernet que tengo en el servidor trabajen conjuntamente para aumentar la velocidad entre el servidor y la intranet y configurar el TCP/IP de las tarjetas de esta forma:

    192.168.0.243

    255.255.255.0

    192.168.0.1 (gateway del router)

    192.168.0.243

    Sin DNS secundaria

    En el servidor DNS dejar los reenviadores como están, es decir, que use los personalizados que yo quiero.

    ¿Que le parece?.

    ¿Cómo uno ambas tarjetas para que trabajen en equipo?.


    • Editado Dfartigle viernes, 5 de octubre de 2018 8:23
    viernes, 5 de octubre de 2018 8:19
  • Puedes hacerlo como te parezca bien, yo en las respuestas anteriores mencioné cómo se debe configurar

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    viernes, 5 de octubre de 2018 10:57
    Moderador
  • He configurado las dos tarjetas ethernet en team y les he puesto la configuración IP que he comentado antes.

    Ahora el controlador de dominio no comparte Internet con los equipos cliente.

    En la configuración del servidor DNS, en el apartado interfaces, solo me aparece una IP, que es la que todos los equipos tienen configurada como DNS.

    Anteriormente me ha indicado que controlase en el DNS que estuviese creada la zona para mi AD. En las zonas de búsqueda directa tengo dos zonas, una se llama "_msdcs.oficina.local" y la otra "oficina.local". Ahí aparecen todos los equipos que tengo en la intranet.

    En las zonas de búsqueda inversa tengo una zona llamada "0.168.192.in-addr.arpa", en la cual también aparecen todos mis equipos.

    viernes, 5 de octubre de 2018 16:01
  • La topología de la red no debe estar para que el Controlador de Dominio comparta internet

    Internet---Router/FW---Switch---Todas las máquinas de la red

    En la consola DNS configurar Reenviadores a DNSs públicos

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    viernes, 5 de octubre de 2018 17:03
    Moderador
  • Sí, está configurado como bien me ha indicado.

    El controlador de dominio ahora solo da servicios de Active Directory y la DNS tiene configurado los reenviadores a las DNS publicas de Google.

    El controlador de dominio ahora NO comparte internet al resto de equipos.

    viernes, 5 de octubre de 2018 19:55
  • En un cliente que no tiene acceso a Internet, desde un CMD ejecuta estos dos comandos, y pega por acá la salida de cada uno de ellos

    - IPCONFIG /ALL

    - NSLOOKUP
      www.google.com

    Si quieres ocultar el nombre real del Dominio no hay problema, pero que se vea si contiene "."

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    viernes, 5 de octubre de 2018 21:24
    Moderador
  • Todos mis clientes tienen acceso a internet, le pongo dos pantallazos de los resultados de CMD:

    lunes, 8 de octubre de 2018 11:23
  • Si los clientes ya tienen acceso a Internet entonces el problema está solucionado, por lo menos en esos

    ¿Qué es lo que falta? ¿El Controlador de Dominio no tiene salida a Internet?

    Si esto fuera así, entonces controla que se esté apuntando como DNS sólo a sí mismo, y que tenga la misma Puerta de Enlace que los clientes (192.168.0.2)

    Esta configuración debe estar en el "Team" si es que lo has implementado

    Si con lo anterior no funcionar vuelve a poner los dos comandos anteriores, pero del servidor

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    lunes, 8 de octubre de 2018 13:48
    Moderador
  • Si los clientes ya tienen acceso a Internet entonces el problema está solucionado, por lo menos en esos

    ¿Qué es lo que falta? ¿El Controlador de Dominio no tiene salida a Internet?

    Si esto fuera así, entonces controla que se esté apuntando como DNS sólo a sí mismo, y que tenga la misma Puerta de Enlace que los clientes (192.168.0.2)

    Esta configuración debe estar en el "Team" si es que lo has implementado

    Si con lo anterior no funcionar vuelve a poner los dos comandos anteriores, pero del servidor

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    El problema está solucionado. Muchas gracias.

    martes, 9 de octubre de 2018 8:33