none
Lentitud de acceso al dominio desde algunas clases de red RRS feed

  • Pregunta

  • Disponemos de un controlador de dominio montado sobre un Windows Server 2008 R2 Enterprise. Inicialmente disponíamos de un dominio sobre un 2003, pero hace un par de meses dimos el paso a 2008. El proceso que llevamos a cabo para la migración fue colocar al 2008 como dominio réplica de 2003. El proceso de réplica de los usuarios, grupos y políticas se llevó a cabo sin problema. Una vez dado este paso, despromocionamos el 2003, elevando a su vez al 2008 a controlador de dominio principal.

    En principio todo ha ido correcto en lo que respecta a lo comentado anteriormente, usuarios, grupos y GPO's, sin embargo estamos detectando un problema en los últimos días al cual no conseguimos dar solución.

    El problema es el siguiente: Disponemos de varias clases de red, 192.168.1.0, 192.168.3.0, 192.168.4.0, entre alguna otra. La cuestión es, desde la 1.0, no se encuentra ningún tipo de anomalía, es además en la que se encuentra el controlador de dominio, sin embargo, tanto en la 3.0 como en la 4.0 se está produciendo una incidencia en el proceso de ingreso al dominio. Prácticamente la totalidad de clientes son Windows XP, si bien es cierto que tenemos algún cliente Windows 7. Las incidencias se están produciendo, al menos de momento sólo las hemos tenido con Windows XP. Cuando esas máquinas XP crean el perfil de usuario de dominio por primera vez, el trámite de autenticación se observa lento, y quedan en el estado "aplicando la configuración del equipo" durante varios minutos, en algún caso puede rondar los 30 minutos. Finalmente acaba iniciando el sistema, pero se observan diversos errores en el visor de sucesos de UserEnv:

    - Windows no puede obtener el nombre del controlador de dominio para la red de su equipo. (El dominio especificado no existe o no se pudo establecer conexión con él. ). Se ha anulado el proceso de directiva de grupo.

    - Windows no puede hacer una consulta de la lista de objetos directiva de grupo. Un mensaje describiendo la razón de este problema fue registrado con anterioridad por este motor de directiva.

    - Windows no puede encontrar la cuenta del equipo, No se puede establecer conexión con ninguna autoridad para autenticación.

    Planteamos entonces una prueba que es autenticar un usuario contra el dominio desde la clase 1.0, que cree el perfil local, cambiar a continuación de nuevo a la clase 3.0 o 4.0, y en ese caso no se aprecia la misma incidencia descrita anteriormente.

    Agradeceríamos cualquier tipo de ayuda o pista para intentar saber por dónde está el problema,

    Muchas gracias de antemano,

    Un saludo.

    lunes, 2 de abril de 2012 8:39

Respuestas

  • Hola,

    Los segmentos 192.168.3.0 y 192.168.4.0, corresponde a distintos sitios geograficos o estan dentro de una misma LAN? si son en distintos sitios geograficos, como estan conectados entre si?

    Hay Firewalls fisicos? los segmentos que detallo, estan declarados en el Site&Services?

    Si desde un puesto cliente con la problemita corres un tracert al Domain Controller, realiza muchos saltos? me suena que tambien sea un tema de rutas...

    Salu2


    Leonardo Ponti
    MCTS: Microsoft Certified Technology Specialist
    MPN: Microsoft Partner Network
    MCC: Microsoft Community Contributor 2011
    MCSE: Microsoft Certified Systems Engineer (Windows Server 2003)
    MCSA: Microsoft Certified Systems Administrator (Windows Server 2003)
    MVA: Microsoft Virtual Academy
    MAP: Microsoft Active Professional (2010/2011)

    Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los riesgos.
    This posting is provided "AS IS" with no warranties, and confer no rights. You assume all risk for your use.

    lunes, 2 de abril de 2012 12:45
    Moderador
  • Cuando promovieron al DC W2008:
    - ¿Lo han puesto como Catálogo Global?
    - ¿Tiene instalado DNS?
    - ¿Los clientes tienen configurado para usar al nuevo DNS?

    Todos los síntomas dan a pensar en un problema de resolución de nombres

    Cuando lo conectas a la red 192.168.1.0/24 demora poco en crear el perfil porque ahí puede acceder al DC. Luego cuando lo mueves de red sigue funcionando porque usa "cached credentials"

    Prueba y pega la salida en uno de los clientes con problemas de:
    NSLOOKUP nombreDominio.sufijo
    Y
    NSLOOKUP nombreDC.nombreDominio.sufijo


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator
    MCTS: Active Directory/Network/Applications Configuration/Virtualization
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    lunes, 2 de abril de 2012 21:59
    Moderador
  • Hola,

    Ok..., no existe Firewalls fisicos.. entiendo que el Domain Controller tampoco tiene un FW por soft verdad? (asi sea el de Windows).-

    Para empezar, te recomiendo seguir el siguiente articulo: http://support.microsoft.com/kb/887303

    Luego del mismo, chequea lo siguiente:

    1. Desde linea de comando, ejecutar un netdiag y de recibir errores, comentanos los resultados..
    2. Verificar que se puede contactar al Domain Controller accediendo mediante nombre FQDN del dominio, accediendo \\mydomain.com\sysvol\mydomain.com, donde mydomain.com es el nombre DNS de tu dominio de Active Directory.
    3. Verificar desde un cliente afectado, que puedes acceder correctamente a un herramienta administrativa de Active Directory.
    4. Desde linea de comando, ejecutar un GPUPDATE y chequear en el Event Viewer si se genero un logeo con el evento 1053.
    Para NETLOGON error, eventID 5719, por favor chequear el siguiente articulo:
    http://support.microsoft.com/kb/938449
    Para el event ID 1053, por favor chequear el siguiente articulo:
    http://www.microsoft.com/technet/support/ee/transform.aspx?ProdName=Windows+Operating+System&ProdVer=5.2&EvtID=1053&EvtSrc=Userenv&LCID=1033

    Si el problema persiste, correr los siguientes comandos y subir los resultados:

    netdiag /v >c:\netdiag.txt
    ipconfig /all > c:\ipconfig.txt
    set logonserver

    Salu2


    Leonardo Ponti
    MCTS: Microsoft Certified Technology Specialist
    MPN: Microsoft Partner Network
    MCC: Microsoft Community Contributor 2011
    MCSE: Microsoft Certified Systems Engineer (Windows Server 2003)
    MCSA: Microsoft Certified Systems Administrator (Windows Server 2003)
    MVA: Microsoft Virtual Academy
    MAP: Microsoft Active Professional (2010/2011)

    Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los riesgos.
    This posting is provided "AS IS" with no warranties, and confer no rights. You assume all risk for your use.

    martes, 3 de abril de 2012 11:05
    Moderador
  • Hola,

    Sumado a las pruebas que te pase para chequear, puedes ver el siguiente post sobre los eventos 4 que te estan apareciendo...

    http://social.technet.microsoft.com/Forums/en-US/winserversecurity/thread/3ec12feb-d722-4693-85ac-2fb9d4d34188/

    Salu2


    Leonardo Ponti
    MCTS: Microsoft Certified Technology Specialist
    MPN: Microsoft Partner Network
    MCC: Microsoft Community Contributor 2011
    MCSE: Microsoft Certified Systems Engineer (Windows Server 2003)
    MCSA: Microsoft Certified Systems Administrator (Windows Server 2003)
    MVA: Microsoft Virtual Academy
    MAP: Microsoft Active Professional (2010/2011)

    Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los riesgos.
    This posting is provided "AS IS" with no warranties, and confer no rights. You assume all risk for your use.

    miércoles, 4 de abril de 2012 14:59
    Moderador

Todas las respuestas

  • Hola,

    Los segmentos 192.168.3.0 y 192.168.4.0, corresponde a distintos sitios geograficos o estan dentro de una misma LAN? si son en distintos sitios geograficos, como estan conectados entre si?

    Hay Firewalls fisicos? los segmentos que detallo, estan declarados en el Site&Services?

    Si desde un puesto cliente con la problemita corres un tracert al Domain Controller, realiza muchos saltos? me suena que tambien sea un tema de rutas...

    Salu2


    Leonardo Ponti
    MCTS: Microsoft Certified Technology Specialist
    MPN: Microsoft Partner Network
    MCC: Microsoft Community Contributor 2011
    MCSE: Microsoft Certified Systems Engineer (Windows Server 2003)
    MCSA: Microsoft Certified Systems Administrator (Windows Server 2003)
    MVA: Microsoft Virtual Academy
    MAP: Microsoft Active Professional (2010/2011)

    Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los riesgos.
    This posting is provided "AS IS" with no warranties, and confer no rights. You assume all risk for your use.

    lunes, 2 de abril de 2012 12:45
    Moderador
  • Hola,

    Los segmentos están dentro de la misma LAN, son sólo asignaciones para diferentes departamentos ubicados dentro de la misma localización.

    Los segmentos están declarados dentro de Sitios y Servicios del dominio, no existen firewall's físicos, y si hacemos un tracert desde un equipo afectado los saltos son sólo dos, el segundo ya es el DC.

    No creo que sea una cuestión de rutas porque, como comentaba anteriormente, no hay ningún Windows 7 afectado por esta incidencia.

    Muchas gracias por la respuesta,

    Un saludo.

    lunes, 2 de abril de 2012 14:40
  • Cuando promovieron al DC W2008:
    - ¿Lo han puesto como Catálogo Global?
    - ¿Tiene instalado DNS?
    - ¿Los clientes tienen configurado para usar al nuevo DNS?

    Todos los síntomas dan a pensar en un problema de resolución de nombres

    Cuando lo conectas a la red 192.168.1.0/24 demora poco en crear el perfil porque ahí puede acceder al DC. Luego cuando lo mueves de red sigue funcionando porque usa "cached credentials"

    Prueba y pega la salida en uno de los clientes con problemas de:
    NSLOOKUP nombreDominio.sufijo
    Y
    NSLOOKUP nombreDC.nombreDominio.sufijo


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator
    MCTS: Active Directory/Network/Applications Configuration/Virtualization
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    lunes, 2 de abril de 2012 21:59
    Moderador
  • Efectivamente el DC W2008 es GC, está instalado el DNS en él y los clientes tienen puesta únicamente la ip del DC/DNS como DNS primario, y en los reenviadores del DNS está establecida la ip que sirve Internet.

    Nosotros también pensamos que es una cuestión de resolución de nombres, sin embargo hay pruebas que nos hacen desviar la atención.

    Los nslookup propuestos nos devuelven correctamente la ip y el nombre del DC.

    El evento que se repite siempre en el visor de sucesos es el 1053: Windows cannot determine the user or computer name. (<error description>). Group Policy processing aborted

    martes, 3 de abril de 2012 9:08
  • Hola,

    Ok..., no existe Firewalls fisicos.. entiendo que el Domain Controller tampoco tiene un FW por soft verdad? (asi sea el de Windows).-

    Para empezar, te recomiendo seguir el siguiente articulo: http://support.microsoft.com/kb/887303

    Luego del mismo, chequea lo siguiente:

    1. Desde linea de comando, ejecutar un netdiag y de recibir errores, comentanos los resultados..
    2. Verificar que se puede contactar al Domain Controller accediendo mediante nombre FQDN del dominio, accediendo \\mydomain.com\sysvol\mydomain.com, donde mydomain.com es el nombre DNS de tu dominio de Active Directory.
    3. Verificar desde un cliente afectado, que puedes acceder correctamente a un herramienta administrativa de Active Directory.
    4. Desde linea de comando, ejecutar un GPUPDATE y chequear en el Event Viewer si se genero un logeo con el evento 1053.
    Para NETLOGON error, eventID 5719, por favor chequear el siguiente articulo:
    http://support.microsoft.com/kb/938449
    Para el event ID 1053, por favor chequear el siguiente articulo:
    http://www.microsoft.com/technet/support/ee/transform.aspx?ProdName=Windows+Operating+System&ProdVer=5.2&EvtID=1053&EvtSrc=Userenv&LCID=1033

    Si el problema persiste, correr los siguientes comandos y subir los resultados:

    netdiag /v >c:\netdiag.txt
    ipconfig /all > c:\ipconfig.txt
    set logonserver

    Salu2


    Leonardo Ponti
    MCTS: Microsoft Certified Technology Specialist
    MPN: Microsoft Partner Network
    MCC: Microsoft Community Contributor 2011
    MCSE: Microsoft Certified Systems Engineer (Windows Server 2003)
    MCSA: Microsoft Certified Systems Administrator (Windows Server 2003)
    MVA: Microsoft Virtual Academy
    MAP: Microsoft Active Professional (2010/2011)

    Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los riesgos.
    This posting is provided "AS IS" with no warranties, and confer no rights. You assume all risk for your use.

    martes, 3 de abril de 2012 11:05
    Moderador
  • Hola,

    Cuando hablábamos de firewall's, quizás estaba interpretando algo diferente, por aportar más datos, disponemos de una máquina con pfsense, y el firewall software del Server 2008 está totalmente desactivado.

    Aunque aún me quedan por realizar muchas de las comprobaciones citadas, si puedo adelantar lo siguiente: El netdiag no me es posible lanzarlo, creo que en 2008 R2 no está presente, en 2003 lo he usado en varias ocasiones. Desde una máquina afectada no consigo alcanzar \\mydomain.com\sysvol\mydomain.com, evidentemente adaptando el mydomain.com a nuestro dominio corporativo. Desde las máquinas de la subred 1.0, se accede sin problema.

    La ejecución de gpupdate en las máquinas afectadas deja un evento 1053 en el visor de sucesos.

    Haré el resto de pruebas a ver qué resultados arrojan,

    Muchas gracias,

    Un saludo.

    miércoles, 4 de abril de 2012 6:29
  • Aún estoy realizando pruebas, pero tengo un dato adicional, en el DC hay numerosos eventos con id 4: "El cliente Kerberos recibió un error KRB_AP_ERR_MODIFIED del servidor", hasta el punto de que hoy, nunca había pasado antes, el DC se reinició porque el servicio RPC dejó de responder,

    Espero que esto pueda ser una pista relacionada con este problema,

    Un saludo.

    miércoles, 4 de abril de 2012 10:27
  • Hola,

    Sumado a las pruebas que te pase para chequear, puedes ver el siguiente post sobre los eventos 4 que te estan apareciendo...

    http://social.technet.microsoft.com/Forums/en-US/winserversecurity/thread/3ec12feb-d722-4693-85ac-2fb9d4d34188/

    Salu2


    Leonardo Ponti
    MCTS: Microsoft Certified Technology Specialist
    MPN: Microsoft Partner Network
    MCC: Microsoft Community Contributor 2011
    MCSE: Microsoft Certified Systems Engineer (Windows Server 2003)
    MCSA: Microsoft Certified Systems Administrator (Windows Server 2003)
    MVA: Microsoft Virtual Academy
    MAP: Microsoft Active Professional (2010/2011)

    Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los riesgos.
    This posting is provided "AS IS" with no warranties, and confer no rights. You assume all risk for your use.

    miércoles, 4 de abril de 2012 14:59
    Moderador