none
Agregar DC secundario RRS feed

  • Pregunta

  • Hola, me orientan acerca de los pasos para agregar un segundo DC en otra subred.

    Topologia:

    Red 10.X.X.X con un server W2k8 SP1 - ADDS DNS DHCP y ADCS, tiene los 5 roles FSMO. FQDN: testlab.com.ar

    Red 172.x.X.X vía VPN.

    Quiero agregar un DC adicional en el dominio testlab.com.ar en la red 172 que sea secundario y provea redundancia de todos los servicios

    que posee el primario.

    Intente realizarlo pero falló. Aca pego un NetSetupLog con el registro del intento de join al dominio.

    Gracias por su tiempo.

    12/15/2011 18:36:10:250 -----------------------------------------------------------------
    12/15/2011 18:36:10:250 NetpDoDomainJoin
    12/15/2011 18:36:10:250 NetpMachineValidToJoin: 'DCNUEVOSECUNDARIO'
    12/15/2011 18:36:10:250  OS Version: 6.1
    12/15/2011 18:36:10:250  Build number: 7601 (7601.win7sp1_gdr.110622-1506)
    12/15/2011 18:36:10:250  ServicePack: Service Pack 1
    12/15/2011 18:36:10:250  SKU: Windows Server 2008 R2 Standard
    12/15/2011 18:36:10:250 NetpDomainJoinLicensingCheck: ulLicenseValue=1, Status: 0x0
    12/15/2011 18:36:10:250 NetpGetLsaPrimaryDomain: status: 0x0
    12/15/2011 18:36:10:250 NetpMachineValidToJoin: status: 0x0
    12/15/2011 18:36:10:250 NetpJoinDomain
    12/15/2011 18:36:10:250  Machine: DCNUEVOSECUNDARIO
    12/15/2011 18:36:10:250  Domain: testlab.com.ar
    12/15/2011 18:36:10:250  MachineAccountOU: (NULL)
    12/15/2011 18:36:10:265  Account: admin@testlab.com.ar
    12/15/2011 18:36:10:265  Options: 0x25
    12/15/2011 18:36:10:265 NetpLoadParameters: loading registry parameters...
    12/15/2011 18:36:10:265 NetpLoadParameters: DNSNameResolutionRequired not found, defaulting to '1' 0x2
    12/15/2011 18:36:10:265 NetpLoadParameters: DomainCompatibilityMode not found, defaulting to '0' 0x2
    12/15/2011 18:36:10:265 NetpLoadParameters: status: 0x2
    12/15/2011 18:36:10:265 NetpValidateName: checking to see if 'testlab.com.ar' is valid as type 3 name
    12/15/2011 18:36:10:796 NetpCheckDomainNameIsValid [ Exists ] for 'testlab.com.ar' returned 0x0
    12/15/2011 18:36:10:796 NetpValidateName: name 'testlab.com.ar' is valid for type 3
    12/15/2011 18:36:10:796 NetpDsGetDcName: trying to find DC in domain 'testlab.com.ar', flags: 0x40001010
    12/15/2011 18:36:10:905 NetpLoadParameters: loading registry parameters...
    12/15/2011 18:36:10:905 NetpLoadParameters: DNSNameResolutionRequired not found, defaulting to '1' 0x2
    12/15/2011 18:36:10:905 NetpLoadParameters: DomainCompatibilityMode not found, defaulting to '0' 0x2
    12/15/2011 18:36:10:905 NetpLoadParameters: status: 0x2
    12/15/2011 18:36:10:905 NetpDsGetDcName: status of verifying DNS A record name resolution for 'DCPRIMARIO.testlab.com.ar': 0x0
    12/15/2011 18:36:10:905 NetpDsGetDcName: found DC '\\DCPRIMARIO.testlab.com.ar' in the specified domain
    12/15/2011 18:36:10:905 NetpJoinDomainOnDs: NetpDsGetDcName returned: 0x0
    12/15/2011 18:36:11:232 NetpJoinDomain: status of connecting to dc '\\DCPRIMARIO.testlab.com.ar': 0x0
    12/15/2011 18:36:11:232 NetpProvisionComputerAccount:
    12/15/2011 18:36:11:232  lpDomain: testlab.com.ar
    12/15/2011 18:36:11:232  lpMachineName: DCNUEVOSECUNDARIO
    12/15/2011 18:36:11:232  lpMachineAccountOU: (NULL)
    12/15/2011 18:36:11:232  lpDcName: DCPRIMARIO.testlab.com.ar
    12/15/2011 18:36:11:232  lpDnsHostName: (NULL)
    12/15/2011 18:36:11:232  lpMachinePassword: (null)
    12/15/2011 18:36:11:232  lpAccount: admin@testlab.com.ar
    12/15/2011 18:36:11:232  lpPassword: (non-null)
    12/15/2011 18:36:11:232  dwJoinOptions: 0x25
    12/15/2011 18:36:11:232  dwOptions: 0x40000003
    12/15/2011 18:36:11:388 NetpLdapBind: Verified minimum encryption strength on DCPRIMARIO.testlab.com.ar: 0x0
    12/15/2011 18:36:11:388 NetpLdapGetLsaPrimaryDomain: reading domain data
    12/15/2011 18:36:11:388 NetpGetNCData: Reading NC data
    12/15/2011 18:36:11:404 NetpGetDomainData: Lookup domain data for: DC=testlab,DC=com,DC=ar
    12/15/2011 18:36:11:404 NetpGetDomainData: Lookup crossref data for: CN=Partitions,CN=Configuration,DC=testlab,DC=com,DC=ar
    12/15/2011 18:36:11:420 NetpLdapGetLsaPrimaryDomain: result of retrieving domain data: 0x0
    12/15/2011 18:36:32:448 NetpGetComputerObjectDn: Unable to bind to DS on '\\DCPRIMARIO.testlab.com.ar': 0x6ba
    12/15/2011 18:36:32:448 NetpCreateComputerObjectInDs: NetpGetComputerObjectDn failed: 0x6ba
    12/15/2011 18:36:32:448 NetpProvisionComputerAccount: LDAP creation failed: 0x6ba
    12/15/2011 18:36:32:448 ldap_unbind status: 0x0
    12/15/2011 18:36:32:448 NetpJoinDomainOnDs: Function exits with status of: 0x6ba
    12/15/2011 18:36:32:448 NetpJoinDomainOnDs: status of disconnecting from '\\DCPRIMARIO.testlab.com.ar': 0x0
    12/15/2011 18:36:32:448 NetpDoDomainJoin: status: 0x6ba
    12/15/2011 18:36:32:480 -----------------------------------------------------------------
    12/15/2011 18:36:32:480 NetpDoDomainJoin
    12/15/2011 18:36:32:480 NetpMachineValidToJoin: 'DCNUEVOSECUNDARIO'
    12/15/2011 18:36:32:480  OS Version: 6.1
    12/15/2011 18:36:32:480  Build number: 7601 (7601.win7sp1_gdr.110622-1506)
    12/15/2011 18:36:32:480  ServicePack: Service Pack 1
    12/15/2011 18:36:32:480  SKU: Windows Server 2008 R2 Standard
    12/15/2011 18:36:32:480 NetpDomainJoinLicensingCheck: ulLicenseValue=1, Status: 0x0
    12/15/2011 18:36:32:480 NetpGetLsaPrimaryDomain: status: 0x0
    12/15/2011 18:36:32:480 NetpMachineValidToJoin: status: 0x0
    12/15/2011 18:36:32:480 NetpJoinDomain
    12/15/2011 18:36:32:480  Machine: DCNUEVOSECUNDARIO
    12/15/2011 18:36:32:480  Domain: testlab.com.ar
    12/15/2011 18:36:32:480  MachineAccountOU: (NULL)
    12/15/2011 18:36:32:480  Account: admin@testlab.com.ar
    12/15/2011 18:36:32:480  Options: 0x27
    12/15/2011 18:36:32:480 NetpLoadParameters: loading registry parameters...
    12/15/2011 18:36:32:480 NetpLoadParameters: DNSNameResolutionRequired not found, defaulting to '1' 0x2
    12/15/2011 18:36:32:480 NetpLoadParameters: DomainCompatibilityMode not found, defaulting to '0' 0x2
    12/15/2011 18:36:32:480 NetpLoadParameters: status: 0x2
    12/15/2011 18:36:32:480 NetpValidateName: checking to see if 'testlab.com.ar' is valid as type 3 name
    12/15/2011 18:36:33:010 NetpCheckDomainNameIsValid [ Exists ] for 'testlab.com.ar' returned 0x0
    12/15/2011 18:36:33:010 NetpValidateName: name 'testlab.com.ar' is valid for type 3
    12/15/2011 18:36:33:010 NetpDsGetDcName: trying to find DC in domain 'testlab.com.ar', flags: 0x40001010
    12/15/2011 18:36:33:119 NetpLoadParameters: loading registry parameters...
    12/15/2011 18:36:33:119 NetpLoadParameters: DNSNameResolutionRequired not found, defaulting to '1' 0x2
    12/15/2011 18:36:33:119 NetpLoadParameters: DomainCompatibilityMode not found, defaulting to '0' 0x2
    12/15/2011 18:36:33:119 NetpLoadParameters: status: 0x2
    12/15/2011 18:36:33:119 NetpDsGetDcName: status of verifying DNS A record name resolution for 'DCPRIMARIO.testlab.com.ar': 0x0
    12/15/2011 18:36:33:119 NetpDsGetDcName: found DC '\\DCPRIMARIO.testlab.com.ar' in the specified domain
    12/15/2011 18:36:33:119 NetpJoinDomainOnDs: NetpDsGetDcName returned: 0x0
    12/15/2011 18:36:33:119 NetpJoinDomain: status of connecting to dc '\\DCPRIMARIO.testlab.com.ar': 0x0
    12/15/2011 18:36:33:119 NetpProvisionComputerAccount:
    12/15/2011 18:36:33:119  lpDomain: testlab.com.ar
    12/15/2011 18:36:33:119  lpMachineName: DCNUEVOSECUNDARIO
    12/15/2011 18:36:33:119  lpMachineAccountOU: (NULL)
    12/15/2011 18:36:33:119  lpDcName: DCPRIMARIO.testlab.com.ar
    12/15/2011 18:36:33:119  lpDnsHostName: (NULL)
    12/15/2011 18:36:33:119  lpMachinePassword: (null)
    12/15/2011 18:36:33:119  lpAccount: admin@testlab.com.ar
    12/15/2011 18:36:33:119  lpPassword: (non-null)
    12/15/2011 18:36:33:119  dwJoinOptions: 0x27
    12/15/2011 18:36:33:119  dwOptions: 0x40000003
    12/15/2011 18:36:33:228 NetpLdapBind: Verified minimum encryption strength on DCPRIMARIO.testlab.com.ar: 0x0
    12/15/2011 18:36:33:228 NetpLdapGetLsaPrimaryDomain: reading domain data
    12/15/2011 18:36:33:228 NetpGetNCData: Reading NC data
    12/15/2011 18:36:33:244 NetpGetDomainData: Lookup domain data for: DC=testlab,DC=com,DC=ar
    12/15/2011 18:36:33:244 NetpGetDomainData: Lookup crossref data for: CN=Partitions,CN=Configuration,DC=testlab,DC=com,DC=ar
    12/15/2011 18:36:33:260 NetpLdapGetLsaPrimaryDomain: result of retrieving domain data: 0x0
    12/15/2011 18:36:54:273 NetpGetComputerObjectDn: Unable to bind to DS on '\\DCPRIMARIO.testlab.com.ar': 0x6ba
    12/15/2011 18:36:54:273 NetpCreateComputerObjectInDs: NetpGetComputerObjectDn failed: 0x6ba
    12/15/2011 18:36:54:273 NetpProvisionComputerAccount: LDAP creation failed: 0x6ba
    12/15/2011 18:36:54:273 NetpProvisionComputerAccount: Retrying downlevel per options
    12/15/2011 18:36:54:351 NetpManageMachineAccountWithSid: NetUserAdd on 'DCPRIMARIO.testlab.com.ar' for 'DCNUEVOSECUNDARIO$' failed: 0x8b0
    12/15/2011 18:36:54:585 NetpManageMachineAccountWithSid: status of attempting to set password on 'DCPRIMARIO.testlab.com.ar' for 'DCNUEVOSECUNDARIO$': 0x0
    12/15/2011 18:36:54:585 NetpProvisionComputerAccount: retry status of creating account: 0x0
    12/15/2011 18:36:54:585 NetpEncodeProvisioningBlob: Encoding provisioning data
    12/15/2011 18:36:54:585 NetpInitBlobWin7: Constructing blob...
    12/15/2011 18:36:54:585 Blob version: 1
    12/15/2011 18:36:54:585  lpDomain: testlab.com.ar
    12/15/2011 18:36:54:585  lpMachineName: DCNUEVOSECUNDARIO
    12/15/2011 18:36:54:585  lpMachinePassword: <omitted from log>
    12/15/2011 18:36:54:585    DomainDnsPolicy:
    12/15/2011 18:36:54:585     Name: testlab
    12/15/2011 18:36:54:585     DnsDomainName: testlab.com.ar
    12/15/2011 18:36:54:585     DnsForestName: testlab.com.ar
    12/15/2011 18:36:54:585     DomainGuid: 3qoihvnl-19e4-49cf-94a4-829efe55c9ab
    12/15/2011 18:36:54:585     Sid: S-1-2-21-330144575-3677697555-3858345719
    12/15/2011 18:36:54:585    DcInfo:
    12/15/2011 18:36:54:585     DomainControllerName: \\DCPRIMARIO.testlab.com.ar
    12/15/2011 18:36:54:585     DomainControllerAddress: \\10.X.X.X
    12/15/2011 18:36:54:585     DomainControllerAddressType: 1
    12/15/2011 18:36:54:585     DomainGuid: 3qoihvnl-19e4-49cf-94a4-829efe55c9ab
    12/15/2011 18:36:54:585     DomainName: testlab.com.ar
    12/15/2011 18:36:54:585     DnsForestName: testlab.com.ar
    12/15/2011 18:36:54:585     Flags: 0xe00033fd
    12/15/2011 18:36:54:585     DcSiteName: Default-First-Site-Name
    12/15/2011 18:36:54:585     ClientSiteName: Default-First-Site-Name
    12/15/2011 18:36:54:585  Options: 0x40000003
    12/15/2011 18:36:54:585 NetpInitBlobWin7: Blob pickling result: 0
    12/15/2011 18:36:54:585 NetpEncodeProvisioningBlob: result: 0x0
    12/15/2011 18:36:54:585 ldap_unbind status: 0x0
    12/15/2011 18:36:54:585 NetpRequestOfflineDomainJoin:
    12/15/2011 18:36:54:585  dwProvisionBinDataSize: 912
    12/15/2011 18:36:54:585  JoinOptions: 0x27
    12/15/2011 18:36:54:585  Options: 0x40000003
    12/15/2011 18:36:54:585  lpWindowsPath: C:\Windows
    12/15/2011 18:36:54:585 NetpDecodeProvisioningBlob: Unpickling provisioning blob with size 912 bytes
    12/15/2011 18:36:54:585 NetpDecodeProvisioningBlob: Searching 1 blobs for supported ODJ blob, highest supported version: 1
    12/15/2011 18:36:54:585 NetpDecodeProvisioningBlob: Found ODJ blob version: 1
    12/15/2011 18:36:54:585 NetpDecodeProvisioningBlob: Selected ODJ blob version: 1
    12/15/2011 18:36:54:585 Blob version: 1
    12/15/2011 18:36:54:585  lpDomain: testlab.com.ar
    12/15/2011 18:36:54:585  lpMachineName: DCNUEVOSECUNDARIO
    12/15/2011 18:36:54:585  lpMachinePassword: <omitted from log>
    12/15/2011 18:36:54:585    DomainDnsPolicy:
    12/15/2011 18:36:54:585     Name: testlab
    12/15/2011 18:36:54:585     DnsDomainName: testlab.com.ar
    12/15/2011 18:36:54:585     DnsForestName: testlab.com.ar
    12/15/2011 18:36:54:585     DomainGuid: 3qoihvnl-19e4-49cf-94a4-829efe55c9ab
    12/15/2011 18:36:54:585     Sid: S-1-2-21-330144575-3677697555-3858345719
    12/15/2011 18:36:54:585    DcInfo:
    12/15/2011 18:36:54:585     DomainControllerName: \\DCPRIMARIO.testlab.com.ar
    12/15/2011 18:36:54:585     DomainControllerAddress: \\10.X.X.X
    12/15/2011 18:36:54:585     DomainControllerAddressType: 1
    12/15/2011 18:36:54:585     DomainGuid: 3qoihvnl-19e4-49cf-94a4-829efe55c9ab
    12/15/2011 18:36:54:585     DomainName: testlab.com.ar
    12/15/2011 18:36:54:585     DnsForestName: testlab.com.ar
    12/15/2011 18:36:54:585     Flags: 0xe00033fd
    12/15/2011 18:36:54:585     DcSiteName: Default-First-Site-Name
    12/15/2011 18:36:54:585     ClientSiteName: Default-First-Site-Name
    12/15/2011 18:36:54:585  Options: 0x40000003
    12/15/2011 18:36:54:585 NetpDoInitiateOfflineDomainJoin
    12/15/2011 18:36:54:585 NetpDoInitiateOfflineDomainJoin: Setting backup/restore privileges
    12/15/2011 18:36:54:600 NetpInitiateOfflineJoin
    12/15/2011 18:36:54:600  lpLocalRegistryPath: C:\Windows\system32\config\SYSTEM
    12/15/2011 18:36:54:600  dwOptions: 0x40000003
    12/15/2011 18:36:54:600 NetpConvertBlobToJoinState: Translating provisioning data to internal format
    12/15/2011 18:36:54:600 NetpConvertBlobToJoinState: Selecting version 1
    12/15/2011 18:36:54:600 NetpConvertBlobToJoinState: exiting: 0x0
    12/15/2011 18:36:54:600 NetpValidateFullJoinState: Validating provisioning data...
    12/15/2011 18:36:54:600 NetpValidateFullJoinState: exiting: 0x0
    12/15/2011 18:36:54:600 NetpClearFullJoinState:  Removing cached state from the registry...
    12/15/2011 18:36:54:600 NetpClearFullJoinState: Status of deleting join state key 0x2
    12/15/2011 18:36:54:600 NetpSaveFullJoinStateInternal: Injecting provisioning data into image...
    12/15/2011 18:36:54:600 NetpSaveFullJoinStateInternal: exiting: 0x0
    12/15/2011 18:36:54:600 NetpSetComputerNamesOffline: Checking for pending name changes...
    12/15/2011 18:36:54:600  SetHostName: TRUE
    12/15/2011 18:36:54:600  SetDnsDomain: TRUE
    12/15/2011 18:36:54:600  SetNetBiosName: TRUE
    12/15/2011 18:36:54:600  SetCurrentValues: TRUE
    12/15/2011 18:36:54:600 NetpSetComputerNamesOffline: Setting Hostname to DCNUEVOSECUNDARIO
    12/15/2011 18:36:54:600 NetpSetComputerNamesOffline: Setting Domain name to testlab.com.ar
    12/15/2011 18:36:54:600 NetpSetComputerNamesOffline: Setting NetBios computer name to DCNUEVOSECUNDARIO
    12/15/2011 18:36:54:600 NetpDoInitiateOfflineDomainJoin: status: 0x0
    12/15/2011 18:36:54:600 NetRequestOfflineDomainJoin: Successfully initiated the offline domain join
    12/15/2011 18:36:54:600 NetpJoinDomainOnDs: Setting netlogon cache.
    12/15/2011 18:36:54:647 NetpJoinDomainOnDs: status of setting netlogon cache: 0x0
    12/15/2011 18:36:54:647 NetpJoinDomainOnDs: Function exits with status of: 0x0
    12/15/2011 18:36:54:647 NetpJoinDomainOnDs: status of disconnecting from '\\DCPRIMARIO.testlab.com.ar': 0x0
    12/15/2011 18:36:54:647 NetpCompleteOfflineDomainJoin
    12/15/2011 18:36:54:647  fBootTimeCaller: FALSE
    12/15/2011 18:36:54:647  fSetLocalGroups: TRUE
    12/15/2011 18:36:54:647 NetpLsaOpenSecret: status: 0xc0000034
    12/15/2011 18:36:54:647 NetpGetLsaPrimaryDomain: status: 0x0
    12/15/2011 18:36:54:647 NetpJoinDomainLocal: NetpHandleJoinedStateInfo returned: 0x0
    12/15/2011 18:36:54:647 NetpLsaOpenSecret: status: 0xc0000034
    12/15/2011 18:36:55:193 NetpJoinDomainLocal: NetpManageMachineSecret returned: 0x0.
    12/15/2011 18:36:55:193 Calling NetpQueryService to get Netlogon service state.
    12/15/2011 18:36:55:193 NetpJoinDomainLocal: NetpQueryService returned: 0x0.
    12/15/2011 18:36:55:396 NetpSetLsaPrimaryDomain: for 'testlab' status: 0x0
    12/15/2011 18:36:55:396 NetpJoinDomainLocal: status of setting LSA pri. domain: 0x0
    12/15/2011 18:36:55:396 NetpManageLocalGroupsForJoin: Adding groups for new domain, removing groups from old domain, if any.
    12/15/2011 18:36:55:396 NetpManageLocalGroups: Populating list of account SIDs.
    12/15/2011 18:36:55:770 NetpManageLocalGroupsForJoin: status of modifying groups related to domain 'testlab' to local groups: 0x0
    12/15/2011 18:36:55:770 NetpManageLocalGroupsForJoin: INFO: No old domain groups to process.
    12/15/2011 18:36:55:770 NetpJoinDomainLocal: Status of managing local groups: 0x0
    12/15/2011 18:36:56:956 NetpJoinDomainLocal: status of setting ComputerNamePhysicalDnsDomain to 'testlab.com.ar': 0x0
    12/15/2011 18:36:56:956 NetpJoinDomainLocal: Controlling services and setting service start type.
    12/15/2011 18:36:56:956 NetpJoinDomainLocal: Updating W32TimeConfig
    12/15/2011 18:36:56:987 NetpUpdateW32timeConfig: 0x0
    12/15/2011 18:36:56:987 NetpClearFullJoinState:  Removing cached state from the registry...
    12/15/2011 18:36:56:987 NetpClearFullJoinState: Status of deleting join state key 0x0
    12/15/2011 18:36:56:987 NetpCompleteOfflineDomainJoin: status: 0x0
    12/15/2011 18:36:56:987 NetpJoinDomain: NetpCompleteOfflineDomainJoin SUCCESS: Requested a reboot :0x0
    12/15/2011 18:36:56:987 NetpDoDomainJoin: status: 0x0
    12/15/2011 18:37:00:482 -----------------------------------------------------------------
    12/15/2011 18:37:00:482 NetpChangeMachineName: from 'DCNUEVOSECUNDARIO' to 'DCNUEVOSECUNDARIO' using 'admin@testlab.com.ar' [0x1000]
    12/15/2011 18:37:00:482 NetpDsGetDcName: trying to find DC in domain 'testlab', flags: 0x1010
    12/15/2011 18:37:03:258 NetpDsGetDcName: found DC '\\DCPRIMARIO' in the specified domain
    12/15/2011 18:37:03:258 NetpGetLsaPrimaryDomain: status: 0x0
    12/15/2011 18:37:03:258 NetpGetDnsHostName: Read NV Domain: testlab.com.ar
    12/15/2011 18:37:24:412 NetpGetComputerObjectDn: Unable to bind to DS on '\\DCPRIMARIO': 0x6ba
    12/15/2011 18:37:24:412 NetpSetDnsHostNameAndSpn: NetpGetComputerObjectDn failed: 0x6ba
    12/15/2011 18:37:24:412 ldap_unbind status: 0x0
    12/15/2011 18:37:24:412 NetpChangeMachineName: status of setting DnsHostName and SPN: 0x6ba


    Skipper24
    jueves, 29 de diciembre de 2011 19:52

Respuestas

  • Hola Skipper24, ya encontré el problema, y lo más importante: la solución :-)

    El problema está documentado en este artículo:
    Windows 7 or Windows Server 2008 R2 domain join displays error "Changing the Primary Domain DNS name of this computer to "" failed....":
    http://support.microsoft.com/kb/2018583

    Y se produce porque cuando trata de registrar el SPN, usa NetBIOS (nombre simple sin sufijo), y por lo tanto al haber un Router de por medio no funcionan los broadcasts :-(

    La solución es el "viejo y querido" archivo LMHOSTS

    Hay que agregar en el LMHOSTS de las máquinas que están en el otro segmento de red, una entrada de tipo: "w.x.y.z DCPRIMARIO"

    Por las dudas, ejecutando el Notepad como Administrador, y guardando en \Windows\System32\Drivers\Etc\LMHOSTS (sin ninguna extensión)

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    martes, 3 de enero de 2012 19:48
    Moderador
  • Un puerto se abre (en una máquina) cuando hay alguna aplicación que "escucha" en dicho puerto

    O es el firewall, o hay otros problemas en el servidor, o los firewall que conectan no están "tan abiertos"

    Además RPC usa ese puerto para la primera conexión, pero después selecciona otro que es impredecible (por seguridad justamente)

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    • Marcado como respuesta Skipper24 lunes, 9 de enero de 2012 15:18
    jueves, 5 de enero de 2012 20:55
    Moderador
  • Buenas, les actualizo con la última novedad:

    Despues de hacer debugs a nivel stack de tcp encontre que uno de los dos FW se esta comiendo un paquete al puerto 135.

    DCSECUNDARIO - Sitio A - FW A - VPN - FW B - Sitio B DCPRIMARIO

    El DCSECUNDARIO cuando se va a joinear al dominio hace consultas al DCPRIMARIO al puerto 135.

    Esas conexiones salientes, son encriptadas y enviadas por el túnel de VPN.

    En el FW B "nunca llegan" según el Tracker. No hay dropeos ni alertas de que se "pierden".

    Con un debug especial fwmonitor se ve que claramente el kernel del FWB se come esas  conexiones.

    Esto resulto ser una issue del FW al cual tengo que migrar a la última versión disponible  (sobre todo con la apertura de puertos aleatorios del RPC). Este problema se resuelve en CheckPoint R75.20.

    Igualmente sin todas las asistencias recibidas no hubiera identificado el problema. Espero que una vez migrado el FW funcione todo correctamente!!

    Gracias Guillermo por el tiempo dedicado !!

    Saludos, Lucas.


    Skipper24
    lunes, 9 de enero de 2012 15:17

Todas las respuestas

  • Skipper24, comencemos por lo más sencillo :-)

    Si desde DCNUEVOSECUNDARIO haces "PING DCPRIMARIO.TESTLAB.COM.AR" (así con sufijo de dominio)

    ¿Qué sucede?

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    jueves, 29 de diciembre de 2011 23:33
    Moderador
  • Hola Guillermo,

    El Ping responde correctamente.

    Te pego la respuesta:

    Microsoft Windows [Versión 6.1.7601]
    Copyright (c) 2009 Microsoft Corporation. Reservados todos los derechos.

    C:\Users\Administrador>ping dcprimario.testlab.com.ar

    Haciendo ping a dcprimario.testlab.com.ar [10.1.X.X] con 32 bytes de datos:
    Respuesta desde 10.1.X.X: bytes=32 tiempo=5ms TTL=126
    Respuesta desde 10.1.X.X: bytes=32 tiempo=4ms TTL=126
    Respuesta desde 10.1.X.X: bytes=32 tiempo=8ms TTL=126
    Respuesta desde 10.1.X.X: bytes=32 tiempo=5ms TTL=126

    Estadísticas de ping para 10.1.X.X:
        Paquetes: enviados = 4, recibidos = 4, perdidos = 0
        (0% perdidos),
    Tiempos aproximados de ida y vuelta en milisegundos:
        Mínimo = 4ms, Máximo = 8ms, Media = 5ms

    C:\Users\Administrador>

    Recorda que este server no es miembro del Dominio.

    Gracias,

    Lucas.


    Skipper24
    lunes, 2 de enero de 2012 14:21
  • Teniendo conectividad de red, ya tenemos el primer paso :-)

    Como comentario, veo TTLs 126, eso implica que hay dos Routers de por medio ¿són sólo Routers? ¿no tienen capacidad de cortafuegos?

    Suponiendo que no hay limitaciones de tráfico por cortafuegos, lo otro a probar es la resolución de nombres. Desde el futuro controlador de dominio ejecuta "NSLOOKUP dcprimario.testlab.com.ar" e indica si resuelve bien la correspondiente dirección IP

    Una pregunta, porque ese nombre "testlab.com.ar" suena a prueba ;-) ¿están clonados? ¿o son instalaciones separadas?
    Y si fue lo primero ¿se "sysprepearon"?

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    lunes, 2 de enero de 2012 15:52
    Moderador
  • Guillermo, gracias por la pronta respuesta.

    La conexión entre las dos subredes es a través de un tunel de VPN entre dos sitios remotos. Los generadores del túnel de VPN son dos Firewalls, los cuales administro y no estan filtrando tráfico en el túnel SitetoSite. Veo pasar todas las solicitudes de LDAP y Kerberos correspondientes. Los routers del ISP no deberían filtrar tráfico.

    Los nombres son asi para ocultar los nombres reales del dominio. ;-)

    El dominio esta productivo, mi tarea es poder recrear un sitio de contingencia replicando ciertos servers a traves de una VPN.

    Resultado de nslookup:

    Microsoft Windows [Versión 6.1.7601]
    Copyright (c) 2009 Microsoft Corporation. Reservados todos los derechos.

    C:\Users\Administrador>nslookup dcprimario.testlab.com.ar
    Servidor:  dcprimario.testlab.com.ar
    Address:  10.1.X.X

    Nombre:  dcprimario.testlab.com.ar
    Address:  10.1.X.X


    C:\Users\Administrador>

    Como datos adicionales te cuento lo que sucede cuando intento joinear el server al dominio.

    Inicio el proceso del Join ingresando las credenciales de admin del dominio. Cuando termina el proceso de joinear el DCSECUNDARIO al dominio, muestra el mensaje de confirmación habitual y a los 20 segundos muestra un error que dice asi:

    No se pudo cambiar el nombre DNS de dominio principal de este equipo a "". Se mantendrá el nombre "testlab.com.ar" error: El servidor no puede ejecutar la operacion solicitada.

    Cierro esa ventana, reinicio el equipo, y trato  de iniciar seción con el mismo usuario que lo joinee al dominio.

    Muestra un error que dice asi: No es posible ponerse en contacto con la autoridad de seguridad local.

    Solo me puedo loguear al equipo con usuarios locales.

     


    Skipper24
    lunes, 2 de enero de 2012 16:14
  • Hola Skipper24, nunca me había sucedido ese error, aunque hace un tiempo vi un caso similar (el mismo error) en este foro, pero no participé. Quizás te ayude buscar en estos foros

    De todas formas, hoy me sucedió a mí :(

    No me preocupé mucho porque son unas virtuales para una demo en el blog, aunque el cliente dió ese error, luego pude iniciar sesión con el administrador del dominio, y todo funcionó bien.

    Pensando en tu pregunta, aproveché que tenía las máquinas virtuales y a probar...

    En la red "remota" agregué un servidor al dominio, y dio dicho error, aunque todo fue "benigno", igual que sucedió con el cliente.

    Me fui a la primera fuente de soporte el Event Viewer, y ví eventos relacionados sospechosos, específicamente en el DC 5781 de Netlogon, y en el servidor que iba a promover 5719 también de Netlogon

    Estuve investigando un poco el tema en www.eventid.net y las posibles causas son muchísimas y de todo tipo
    http://www.eventid.net/display.asp?phase=1&eventid=5719&eventno=104&source=NETLOGON

    http://www.eventid.net/display.asp?phase=1&eventid=5781&eventno=167&source=NETLOGON

    Me decidí por lo primero, siendo que puede ser una falta de registración en el DNS, reinicié el servicio netlogon en el DC.

    A partir de eso pude promover el segundo DC sin ningún problema, aunque entiendo que el problema no está solucionado

    Te recomiendo que con un poco de paciencia revises los enlaces que puse a ver si encuentras alguna de las causas que coincida con lo que tienes.

    Yo por mi lado voy a investigar el tema, pero no sé cuánto tiempo voy a poder dedicarle y cuánto me va a llevar

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    lunes, 2 de enero de 2012 19:43
    Moderador
  • Hola Guillermo, gracias por la información voy a continuar indagando. Mientras tanto mis últimos hallazgos
    fueron los siguientes:

    Revise el EventViewer del server DCSECUNDARIO al momento de intentar el join, encontre
    dos errores de NETLOGON:

    5788: Error al intentar actualizar los nombres principales del servicio host  (SPN) del objeto del equipo en Active Directory. Los valores actualizados   fueron "RestrictedKrbHost/DCSECUNDARIO.testlab.com.ar" y "RestrictedKrbHost/DCSECUNDARIO".Error:
    El servidor RPC no está disponible.

    5789:
    Error al intentar actualizar el objeto de equipo del nombre de host de DNS  en Active Directory. El valor actualizado fue "DCSECUNDARIO.testlab.com.ar". Error:
    El servidor RPC no está disponible.

    En el DCPRIMARIO no enctontre errores en el EventViewer.

    Se me ocurrió revisar si luego del supuesto proceso de "Join" se había agregado el correspondiente registro DNS del server DCSECUNDARIO en mi DNS primario.
    El registro hostA no fue creado.
    Lo agregué a mano pero aún así no funciono.

    Revisando esos errores de NETLOGON lei varios articulos en:

    http://support.microsoft.com/kb/258503/es (los primeros 3 métodos no los puedo aplicar, y el resto no los pude probar hoy).

    No me queda en claro que aplique a este problema, ya que el nombre local del server luego del "Join" se cambia a DCSECUNDARIO.testlab.com.ar

    pero no veo el registro en mi zona de DNS.

    Por lo visto hay muchas alternativas, voy a intentar una por una a ver si doy en la tecla.

    Te agradezco cualquier comentario que puedas facilitarme.

    Gracias por tu interes y tiempo dedicado,

    Lucas.

     


    Skipper24
    lunes, 2 de enero de 2012 22:02
  • Consulta,

    No fue posible prepararlo en la propia red previamente y luego enviarlo a la nueva red? podrías quizas haberlo agregado como un DC adicional, luego en sitios y servicios de AD agregarlo como tal y desparcharlo a la nueva ubicacion. Lo digo como para evitar el tener que agregarlo desde otra subred.

    Quizas ya lo hiciste, pero, si hay un error de RPC intenta habilitar la regla en el FW de Windows(revisando si ese trafico está permitido entre FW de borde) entiendo que debe ser tanto en el remoto como en el servidor primario, con eso tambien puedes hacer administracion remota de los discos(si el servicio está corriendo como tal).

    Saludos

     


    MG
    martes, 3 de enero de 2012 14:26
  • Hola Skipper24, ya encontré el problema, y lo más importante: la solución :-)

    El problema está documentado en este artículo:
    Windows 7 or Windows Server 2008 R2 domain join displays error "Changing the Primary Domain DNS name of this computer to "" failed....":
    http://support.microsoft.com/kb/2018583

    Y se produce porque cuando trata de registrar el SPN, usa NetBIOS (nombre simple sin sufijo), y por lo tanto al haber un Router de por medio no funcionan los broadcasts :-(

    La solución es el "viejo y querido" archivo LMHOSTS

    Hay que agregar en el LMHOSTS de las máquinas que están en el otro segmento de red, una entrada de tipo: "w.x.y.z DCPRIMARIO"

    Por las dudas, ejecutando el Notepad como Administrador, y guardando en \Windows\System32\Drivers\Etc\LMHOSTS (sin ninguna extensión)

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    martes, 3 de enero de 2012 19:48
    Moderador
  • Consulta,

    No fue posible prepararlo en la propia red previamente y luego enviarlo a la nueva red? podrías quizas haberlo agregado como un DC adicional, luego en sitios y servicios de AD agregarlo como tal y desparcharlo a la nueva ubicacion. Lo digo como para evitar el tener que agregarlo desde otra subred.

    Quizas ya lo hiciste, pero, si hay un error de RPC intenta habilitar la regla en el FW de Windows(revisando si ese trafico está permitido entre FW de borde) entiendo que debe ser tanto en el remoto como en el servidor primario, con eso tambien puedes hacer administracion remota de los discos(si el servicio está corriendo como tal).

    Saludos

     


    MG

    Hola, ese procedimiento ya lo realize, mude un server (virtualizado) joineado al dominio, lo lleve al otro sitio, con el segmento de red remoto y aún asi no autentico correctamente. Los FW de los dos servers estan deshabilitados. Gracias.
    Skipper24
    miércoles, 4 de enero de 2012 15:40
  • Hola Guillermo, estuve analizando lo que enviaste y es cierto, se genera el tráfico vía netbios cuando hace el join al dominio.

    Modifique el archivo LMHOSTS en dos servidores.

    Hice una prueba y observe que el server DCSECUNDARIO, cuando intenta en join, genera tráfico de netbios hacia la ip de broadcast del segmento. Modifique el LMHOSTS como propones, lo revise con el comando nbtstat -c y aparece todo en orden. La sintaxis que utilize fue:

    IP #PRE DCPRIMARIO #DOMAIN:<dominio>

    Con nbtstat -c aparece en la cache, sin embargo, aún veo que las solicitudes de netbios cuando hago el join siguen saliendo hacia el broadcast.

    Hay alguna otra manera de modificar este comportamiento ??

     

    Saludos y muchas gracias !!!


    Skipper24
    miércoles, 4 de enero de 2012 15:45
  • Es más sencillo

    En el LMHOSTS solamente

    w.x.y.z    DCPRIMARIO

    Y nada más. Lo que necesita es la IP de DCPRIMARIO, no el Dominio

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    miércoles, 4 de enero de 2012 23:13
    Moderador
  • Es más sencillo

    En el LMHOSTS solamente

    w.x.y.z    DCPRIMARIO

    Y nada más. Lo que necesita es la IP de DCPRIMARIO, no el Dominio

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.


    Guillermo, ya aplique el cambio de LMHOSTS y aún sigo viendo "salir" las solicitudes nbname (137) y nbdatagram (138) apuntando al broadcast de la subred.

    El ping a DCPRIMARIO responde ok.

    La cache de netbios esta vacia.

    Me estaré equivocando en algo ??


    Skipper24
    jueves, 5 de enero de 2012 14:48
  • Algo debe estar mal, porque lo he probado :)

    El problema más común que el LMHOSTS, no se llame LMHOSTS, sino LMHOSTS.TXT y por lo tanto no es utilizado

    De PING no te fies porque puede resolver por DNS

    Si quieres veririficar si lo está cargando en el "LMHOSTS" agrega al final de la línea #PRE y luego ya debería quedar cargado en el NetBIOS Cache, aunque realmente no es necesario

    Otra opción, pero no creo que lo tengas cambiado, es si en las propiedades avanzadas de TCP/IP hubieras deshablitado NetBIOS o el uso del LMHOSTS

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    jueves, 5 de enero de 2012 15:50
    Moderador
  • Es más sencillo

    En el LMHOSTS solamente

    w.x.y.z    DCPRIMARIO

    Y nada más. Lo que necesita es la IP de DCPRIMARIO, no el Dominio

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.


    Guillermo, ya aplique el cambio de LMHOSTS y aún sigo viendo "salir" las solicitudes nbname (137) y nbdatagram (138) apuntando al broadcast de la subred.

    El ping a DCPRIMARIO responde ok.

    La cache de netbios esta vacia.

    Me estaré equivocando en algo ??


    Skipper24


    Otra consulta, para ir tambien aprendiendo y aportando. Los routers tienen la capacidad de hacer forwarding especifico, sabras si esto te lo pueden configurar las personas de comunicaciones, como retransmitir el 137/udp y 138/udp a tu otra red? Yo recuerdo que en alguna instalacion con subredes tuvimos que pedir el broadcasting habilitado para pasar por los routers, de forma de ver las estaciones y que se pudieran logear e incorporar equipos al dominio desde otras redes. Tambien habilitamos el forzar Netbios sobre IP. No se si te servirá estos datos.

     


    MG
    jueves, 5 de enero de 2012 16:47
  • MG: la conexión entre las dos subredes es mediante una VPN. Los routers son los que dan acceso a Internet.

    Guillermo, sigo viendo las peticiones de NetBios a la ip de broadcast de la red. Capture con un wireshark estos paquetes, te copio los datos:

    336 2362.514387 172.30.30.121 172.30.30.255 NBNS 92 Name query NB WPAD
    337 2362.796213 172.30.30.121 172.30.30.255 NBNS 92 Name query NB ISATAP
    338 2363.277456 172.30.30.121 172.30.30.255 NBNS 92 Name query NB WPAD
    339 2363.559336 172.30.30.121 172.30.30.255 NBNS 92 Name query NB ISATAP

    El resto de los paquetes no los veo porque son encriptados por la VPN.

    Me llama la atencion lo que esta resaltado:

    01/05/2012 13:32:55:848 NetpChangeMachineName: from 'CADORNA' to 'CADORNA' using 'testlab.com.ar\admin' [0x1000]
    01/05/2012 13:32:55:848 NetpDsGetDcName: trying to find DC in domain 'TESTLAB', flags: 0x1010
    01/05/2012 13:32:55:848 NetpDsGetDcName: found DC '\\DCPRIMARIO' in the specified domain
    01/05/2012 13:32:55:848 NetpGetLsaPrimaryDomain: status: 0x0
    01/05/2012 13:32:55:848 NetpGetDnsHostName: Read NV Domain: testlab.com.ar
    01/05/2012 13:33:17:002 NetpGetComputerObjectDn: Unable to bind to DS on '\\DCPRIMARIO': 0x6ba
    01/05/2012 13:33:17:002 NetpSetDnsHostNameAndSpn: NetpGetComputerObjectDn failed: 0x6ba
    01/05/2012 13:33:17:002 ldap_unbind status: 0x0
    01/05/2012 13:33:17:002 NetpChangeMachineName: status of setting DnsHostName and SPN: 0x6ba

    Tengo manera de probar que el DCPRIMARIO atienda la solicitud de netbios ?? con un netstat no veo el puerto 137 o 138 abierto.

    Lo resaltado en negrita confirma que se encuentra el DC, pero que no puede crear correctamente el objeto de contenedor Computers??

    Y luego por eso no puede crear el registro A en el DNS ??


    Skipper24
    jueves, 5 de enero de 2012 18:34
  • Esas peticiones de NetBIOS no tienen ninguna relación :)

    WPAD = Windows Proxy Automatic Discovery (es el IE)

    ISATAP = http://windowserver.wordpress.com/2012/01/02/demostracin-transicin-de-ipv4-ipv6-isatap/

    El otro error, por lo que veo parece que está relacionado con el firewall, revisa:
    http://social.technet.microsoft.com/Forums/en-US/winservergen/thread/919f0a99-25ff-448c-99a4-a29ba6ae16e9/

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    jueves, 5 de enero de 2012 19:16
    Moderador
  • TAmbien quiero agregar lo siguiente:

    Luego del proceso d e join que termina con el error arriba mencionado, en el AD en la OU Computers aparece el objeto deshabilitado.

    Lo habilito, reinicio el server, y cuando me voy a loguear con un usuario de dominio aparece lo siguiente:

    La base de datos de seguridad en el servidor no tiene una cuenta de equipo para la relacion de confianza de esta estacion de trabajo.

    El único login que tengo es con un usuario local.


    Skipper24
    jueves, 5 de enero de 2012 19:18
  • Eso es porque está des-sincronizada la contraseña de la cuenta de máquina.

    Hay que sacar al cliente del dominio, borrar o hacer reset en la cuenta de máquina, y volverlo a unir al dominio

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    jueves, 5 de enero de 2012 19:42
    Moderador
  • Adjunto un test de PortQry con el puerto 135. El FW  de Windows esta deshabilitado. Como abro explicitamente el puerto?

    (agregue una conexión entrante en el firewall avanzado de windows y aún asi aparece not listening).

    Querying target system called:

    dcprimario.com.ar

    Attempting to resolve name to IP address...


    Name resolved to 10.X.X.X

    querying...

    UDP port 135 (epmap service): NOT LISTENING


    Skipper24
    jueves, 5 de enero de 2012 19:46
  • Un puerto se abre (en una máquina) cuando hay alguna aplicación que "escucha" en dicho puerto

    O es el firewall, o hay otros problemas en el servidor, o los firewall que conectan no están "tan abiertos"

    Además RPC usa ese puerto para la primera conexión, pero después selecciona otro que es impredecible (por seguridad justamente)

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    • Marcado como respuesta Skipper24 lunes, 9 de enero de 2012 15:18
    jueves, 5 de enero de 2012 20:55
    Moderador
  • Buenas, les actualizo con la última novedad:

    Despues de hacer debugs a nivel stack de tcp encontre que uno de los dos FW se esta comiendo un paquete al puerto 135.

    DCSECUNDARIO - Sitio A - FW A - VPN - FW B - Sitio B DCPRIMARIO

    El DCSECUNDARIO cuando se va a joinear al dominio hace consultas al DCPRIMARIO al puerto 135.

    Esas conexiones salientes, son encriptadas y enviadas por el túnel de VPN.

    En el FW B "nunca llegan" según el Tracker. No hay dropeos ni alertas de que se "pierden".

    Con un debug especial fwmonitor se ve que claramente el kernel del FWB se come esas  conexiones.

    Esto resulto ser una issue del FW al cual tengo que migrar a la última versión disponible  (sobre todo con la apertura de puertos aleatorios del RPC). Este problema se resuelve en CheckPoint R75.20.

    Igualmente sin todas las asistencias recibidas no hubiera identificado el problema. Espero que una vez migrado el FW funcione todo correctamente!!

    Gracias Guillermo por el tiempo dedicado !!

    Saludos, Lucas.


    Skipper24
    lunes, 9 de enero de 2012 15:17
  • Gracias a ti por compartir la info :)

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    martes, 10 de enero de 2012 10:26
    Moderador