none
Windows no puede conectarse al dominio porque el controlador de dominio esta bloqueado o no disponible RRS feed

  • Pregunta

  • Buenas a todos,

    estoy teniendo problemas para acceder a un Windows Server 2003 R2 vía escritorio remoto.

    El mensaje que recibo es el sigueinte: "Windows no puede conectarse al dominio porque el controlador de dominio esta bloqueado a no disponible, o porque no se encontró la cuenta de su equipo. Vuelva a intentarlo mas tarde. Si este mensaje sigue apareciendo, pónsage en contacto con el administrador de su sistema".

    De todas formas, he podido acceder al servidor mediante una cuenta local. He consultado y revisado varios puntos, como por ejemplo las DNS (son correctas) y el visor de sucesos, en el cual aparecen los siguiente errores y advertencias:

    Error: NetLogon, ID. de suceso: 3210.

    Advertenvcia: LSASRV, ID. de suceso: 40960.

    El controlador de dominio (servidor A) es un WS2003 R2 Enterprise Edition SP1, y el servidor al cual no puedo acceder (servidor B) tiene exactamente la misma configuración. Mi intención es poder conectarme vía escritorio remoto del servidor A al servidor B.

    Espero consejos e ideas.

    Gracias de antemano.

    Saludos.

    viernes, 28 de mayo de 2010 10:03

Respuestas

  • Sigo insistiendo :-) para mí el problema es casi seguro que está en las reglas del ISA.

    Trata de recordar qué cambios se hicieron en las reglas del ISA.

    Tambien en ISA hay un grupo determinado de equipos que pueden hacer escritorio remoto. No se puede desde cualquiera.
    El problema es que no tengo ahora un ISA a la vista y no recuerdo el nombre, pero es algo asi como "managment computers"

     


    Guillermo Delprato - MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration --- Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos. --- Buenos Aires, Argentina
    viernes, 28 de mayo de 2010 20:38
    Moderador
  • Un equipo con ISA server no debe ser quitado del dominio , un cambio de membresia causaria incovenientes con el servicio de ISA server , por lo cual no queda otra opcion que hacer troubleshooting,

     

    Changing ISA Firewall Domain Membership

     

    http://blogs.isaserver.org/shinder/2006/05/24/changing-isa-firewall-domain-membership/

    Partiendo desde el punto que no es recomendado tener una ISA server instalado en un Domain Controller , por varias razones distintas entre ellas , tu DC esta vulnerable a internet . Debemos agregar la carga de usuarios que el DC va a tener , mas la carga que ISA server representa por si mismo ( La excepcion a toda la regla es SBS  :) )

    Hay un error muy comun cuando se corre un ISA server en un DC y es que cuando tu estas recibiendo la IP publica y DNS de tu ISP esa maquina esta apuntando su direccion DNS haciael ISP quien no conoce tu dominio, lo cualva a causar problemas para ese servidor DC registrar sus registros SRV , para autenticar , y tambien para localizar los otros equipos de la red.

    1 - Asegurate de que tu servidor ISA + DC este apuntando al DNS primario solo en la placa interna , y  a si msimo , o al otro DC en su defecto 

    2 - Solo debe haber un Gateway configurado , las dos placas de red , no podrian tener Gateway configurado al mismo tiempo.

    3 - Si tienes dudas, postea un netdiag \v del isa y tambien un dcdiag \v  , y postealo aqui. ( netdiag y dcdiag  se encuentran en las support tools de Windows 2003 )

     


    Sebastian del Rio - MCP - MCSA +S - MCSE +S - MCITP:Enterprise Administrator Buenos Aires - Argentina Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los riesgos
    sábado, 29 de mayo de 2010 14:53
    Moderador

Todas las respuestas

  • Revisa esto: http://www.eventid.net/display.asp?eventid=40960&eventno=8508&source=LSASRV&phase=1

    Puede que la cuenta de equipo se haya "perdido" y debas quitar el equipo del dominio, borrar la cuenta en el AD, y volver a meter ese equipo en el dominio


    Saludos,

    Marc
    MCSA/MCSE 2003
    MCITP: Enterprise Administrator
    MCITP: Enterprise Messaging Administrator
    viernes, 28 de mayo de 2010 10:36
    Moderador
  • Buenas Marc,

    OK, puedo sacar el servidor del dominio (el servidor realiza la función de Isa Server, habilitado para conexiones VPN, y funciones de firewall y gateway para conexiones externas (las cuales ahora no funcionan) ). Hay algo adicional que se debe de tener en cuenta dadas las características del servidor¿?

    Borrar la cuenta en AD. La cuenta que uso para entrar en el servidor es la cuenta de administrador, por lo que no la puedo borrar. Esta cuenta si que está funcionando para los demás servidores, lo que me da a entender de que se trata de algo mas relacionado con el servidor que con la cuenta que utilizo para acceder. No?

     

    Saludos.

    viernes, 28 de mayo de 2010 11:00
  • Marc, también he restablecido la cuenta del equipo mediante el MMC de DA y el problema persiste.

     

    Saludos.

    viernes, 28 de mayo de 2010 11:23
  • Tacheleu, si haz rstablecido la cuenta del equipo, entonces luego debes sacarlo del dominio a grupo de trabajo y luego volver a unirlo. De otra forma no funcionará nunca.

    ¿En algún momento anterior haz podido conectarte como dices? porque da para pensar que no tienes las reglas correctas en el ISA.

     


    Guillermo Delprato - MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration --- Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos. --- Buenos Aires, Argentina
    viernes, 28 de mayo de 2010 11:35
    Moderador
  • Hola,

    antes de borrar la cuenta de un equipo se pueden intentar varias cosas un poco menos intrusivas ya que al borrar la cuenta y unirlo de nuevo se genera un nuevo SID para ese equipo y se pierden las membresias de ese equipo.

    puedes probar el comando,(sin  las comillas),  "netdom reset Equipo /domain NombreDominio /UserO Usuario /Password0 password"   donde las credenciales suministradas son las del administrador local de la maquina que quieres tratar de recuperar el canal de seguridad con el controlador de dominio.

    El otro comando que puedes intentar hace lo mismo, se ejecuta desde el lado cliente y seria "Nltest /server:NombreServidor /sc_reset:DOMINIO\ControladordeDominio"

    Deberias verificar el porque se ha perdido el canal de seguridad entre el servidor y el controlador de dominio ya que si el problema de comunicacion entre ambos sigue ahi, seguramente nada de lo que hagas lo solucionara, los mecanismos para recrear el canal de seguridad y que la cuenta de equipo renueve el password periodicamente (aproximadamente cada 30 dias) son los mismos y queda claro que lo segundo no te ha funcionado. Si ese equipo es un ISA Server empieza por verificar si las comunicaciones con los DCs no estan fitlradas tambien por alguna regla del ISA...

    Info del comando NETDOM

    http://technet.microsoft.com/en-us/library/cc781853(WS.10).aspx

    /reset
    Specifies resynchronization ofthe secure channel secrets for all enumerated memberships or trusts which are currently broken. The /reset parameter implies the /verify parameter. Unless the user is an enterprise-level administrator, it might not be possible to reset all enumerated trusts or memberships. 

    Info del comando NLtest

    http://technet.microsoft.com/en-us/library/cc786478(WS.10).aspx

    /sc_reset:[ DomainName]
    Removes and then rebuilds the secure channel established by the NetLogon service. Administrative rights are required to perform this command.

     


    MCTS: Windows Server 2008 Active Directory, Configuring
    viernes, 28 de mayo de 2010 12:00
    Moderador
  • Hola Guillermo,

    si, he podido conectarme hasta hace cuestión de dos semanas.

    Saludos.

    viernes, 28 de mayo de 2010 12:04
  • Sigo insistiendo :-) para mí el problema es casi seguro que está en las reglas del ISA.

    Trata de recordar qué cambios se hicieron en las reglas del ISA.

    Tambien en ISA hay un grupo determinado de equipos que pueden hacer escritorio remoto. No se puede desde cualquiera.
    El problema es que no tengo ahora un ISA a la vista y no recuerdo el nombre, pero es algo asi como "managment computers"

     


    Guillermo Delprato - MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration --- Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos. --- Buenos Aires, Argentina
    viernes, 28 de mayo de 2010 20:38
    Moderador
  • Un equipo con ISA server no debe ser quitado del dominio , un cambio de membresia causaria incovenientes con el servicio de ISA server , por lo cual no queda otra opcion que hacer troubleshooting,

     

    Changing ISA Firewall Domain Membership

     

    http://blogs.isaserver.org/shinder/2006/05/24/changing-isa-firewall-domain-membership/

    Partiendo desde el punto que no es recomendado tener una ISA server instalado en un Domain Controller , por varias razones distintas entre ellas , tu DC esta vulnerable a internet . Debemos agregar la carga de usuarios que el DC va a tener , mas la carga que ISA server representa por si mismo ( La excepcion a toda la regla es SBS  :) )

    Hay un error muy comun cuando se corre un ISA server en un DC y es que cuando tu estas recibiendo la IP publica y DNS de tu ISP esa maquina esta apuntando su direccion DNS haciael ISP quien no conoce tu dominio, lo cualva a causar problemas para ese servidor DC registrar sus registros SRV , para autenticar , y tambien para localizar los otros equipos de la red.

    1 - Asegurate de que tu servidor ISA + DC este apuntando al DNS primario solo en la placa interna , y  a si msimo , o al otro DC en su defecto 

    2 - Solo debe haber un Gateway configurado , las dos placas de red , no podrian tener Gateway configurado al mismo tiempo.

    3 - Si tienes dudas, postea un netdiag \v del isa y tambien un dcdiag \v  , y postealo aqui. ( netdiag y dcdiag  se encuentran en las support tools de Windows 2003 )

     


    Sebastian del Rio - MCP - MCSA +S - MCSE +S - MCITP:Enterprise Administrator Buenos Aires - Argentina Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los riesgos
    sábado, 29 de mayo de 2010 14:53
    Moderador
  • Buenas a todos,

     

    Sebastián, quería recalcar que son dos servidores, los dos son WS2003 Enterprise Edition SP1, servidor A que es DC y el servidor B que tiene la funcionalidad de ISA Server. Mi problema es que no puedo acceder del servidor A al B mediente mstsc. El error que obtengo es el siguiente:

    "Windows no puede conectarse al dominio porque el controlador de dominio esta bloqueado a no disponible, o porque no se encontró la cuenta de su equipo. Vuelva a intentarlo mas tarde. Si este mensaje sigue apareciendo, pónsage en contacto con el administrador de su sistema".

    Supongo que esto hará cambiar tu planteamiento para proponer una respuesta.

     

    Saludos.

     

    lunes, 14 de junio de 2010 10:41
  • Tacheleu, en ISA hay un "computer set" predefinido que se llama "Remote Management Computers" (lo tengo en inglés)

    Revisa que la computadora desde la que quieres hacer escritorio remoto esté incluida en ese "computer set"

     


    Guillermo Delprato - MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration --- Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos. --- Buenos Aires, Argentina
    lunes, 14 de junio de 2010 15:21
    Moderador
  • Hola Guillermo,

    acabo de revisar la configuración que me dices, y me aparece lo siguiente en la pestaña "de": esta regla se aplica al tráfico de estos orígenes:

    Equipos de administración remota

    Equipos de administración remota de empresa

    Así es como estaba, yo además he añadido el servidor desde el cual me quiero conectar a ISA SERVER. He aplicado cambios en ISA SERVER, cerrado sesión en los dos servidores, y he probado de acceder y he vuelto a obtener el mismo mensaje: "Windows no puede conectarse al dominio porque el controlador de dominio esta bloqueado a no disponible, o porque no se encontró la cuenta de su equipo. Vuelva a intentarlo mas tarde. Si este mensaje sigue apareciendo, pónsage en contacto con el administrador de su sistema".

    Tengo que insitir en que no se tocó ninguna configuración de ISA SERVER justo antes de que dejase de aceptar mstsc mediante un usuario del dominio.

    La información que aparece en el visor de sucesos:

    El servidor (DA), el que envía el mstsc:

    Error: NetLogon, ID. de suceso: 3210.

    Advertenvcia: LSASRV, ID. de suceso: 40960.

    El servidor (Isa Server) que recibe la petición de conexión a escritorio remoto:

    Error: NT AUTHORITY\SYSTEM, ID. de suceso: 1053.

    Error: ID. de suceso: 21137

    Saludos.

     

    martes, 15 de junio de 2010 11:55
  • Revisa con los EventID y Source en www.eventid.net a ver si encuentras posibles causas.

    Y de formas, revisa que el servidor desde el cual te quieres conectar esté dentro del grupo Equipos de Administración Remota. Y en la System Policy de ISA que esté permitido el acceso remoto.

     


    Guillermo Delprato - MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration --- Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos. --- Buenos Aires, Argentina
    martes, 15 de junio de 2010 14:37
    Moderador