none
Problemas En los PC's de un dominio, pierden la conexión al mismo RRS feed

  • Pregunta

  • Buenas tardes,

    Me encuentro con dos frentes en uno de mis controladores de dominio.Tengo un controlador de dominio con windows server 2012 el cual se replica con el controlador de dominio maestro a traves de VPN.

    El controlador de dominio tiene como gateway la ip de la VPN para que el controlador maestro se comunique.en todo este camino ninguno de los controladores de dominio tienen salida a Internet.

    Por otra parte tengo una versión de linux como firewall que da salida a internet a los clientes, el untangle.

    Para que mis usuarios puedan navegar tengo que poner como dns secundario la ip del wateway ya que el servidor de dns primario que es el propio controlador de dominio no puede resolver nombres externos.

    Me encuentro ahora que para poder meter una máquina en dominio primero debo quitar el servidor de dns secundario y dejar solo la ip del dominio. Una vez dentro lo vuelvo a poner, esto no me gusta.... El error que me da si lo intenta con las dos dns es Netjoin , el id no lo recuerdo.

    Me encuentro también que cada día y durante todo el día muchas máquinas presentan un error de que no se encuentra el dominio, y se soluciona quitando el cable de red y colocándolo inmediatamente, esto me gusta menos.... ,

    He visto que si en los clientes pongo como servidor WINS la ip del dominio y activo netbios sobre tcp/ip, ya puedo unir máquinas al dominio con las dos dns's , la del dominio y la del firewall.

    No creo que deba usar WINS y menos netbios sobre TCP/IP tratándose de clientes multipoint server 2012 que se basan en windows 8.

    En fin, alguien puede darme alguna posible solución.

    Muchas gracias

    Un Saludo

    David Artal


    David

    martes, 15 de diciembre de 2015 15:53

Respuestas

  • Hola David, justo estaba respondiendo otro hilo y veo este :) Así que es todo muy rápido por acá :)

    La configuración de Puerta de Enlace, no es más que una forma gráfica de definir la ruta por omisión en la tabla de "Routing"

    Y es muy fácil de ver, en una máquina cualquiera con Puerta de enlace configurada, ejecuta "ROUTE PRINT -4" y verás la entrada correspondiente que comienza con "0.0.0.0 0.0.0.0"

    Ahora, elimina la Puerta de Enalce, y ejecuta nuevamente el comando anterior, verás que esa entrada desapareció

    Es lo mismo crear la entrada manualmente, o agregarla desde el CMD con el comando ROUTE ADD

    Normalmente donde tienes muchas más redes es Internet, y no las redes internas, por eso se configura siempre que la Puerta de Enlace sea el Router que da salida a Internet, y todo lo demás se maneja con "ROUTE ADD (-P) ..."

    Resumiendo, siempre puedes tener por un lado la salida a Internet, y por otro las rutas a tus redes internas

     

    Por el tema DNS. La configuración de Reenviadores es decirle al DNS: "Todo lo que no puedas resolver, envía la pregunta a este otro DNS". Esto se hace para que el primer DNS pueda resolver nombres de Internet, sin comenzar por los servidores del dominio ".", y reenviando al DNS tuyo o del ISP u otro

    Nunca un DNS va a reenviar una consulta de la que es autoridad (tiene la zona), y tampoco tiene sentido que los DDNs internos se reenvíen entre sí, nunca lo harán porque ambos son autoridad de la misma zona :)

    Resumiendo, que todas las máquinas usen como DNS sólo a los DNSs internos de AD, y que estos tengan configurados Reenviadores, al tuyo en DMZ, o del ISP, o al DNS externo que quieras

    [Edito] No necesitas para nada resolución NetBIOS, ni WINS. Todo lo que sea Active Directory utiliza resolución de nombres DNS

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.


    miércoles, 16 de diciembre de 2015 10:14
    Moderador
  • Hola David, comienzo con las aclaraciones desde la base :)

    Cualquier máquina que pertenece a un Dominio AD, debe tener configurado para usar como DNS únicamente a los Controladores de Dominio con DNS. Nunca a los del ISP

    Por lo tanto, para que los clientes de Dominio deban poder resolver nombres de Internet, la opción es que los Controladores de Dominio puedan salir a Internet, o si quieres mejor, en la ficha Reenviadores les colocas la IP de tu gateway, del ISP, de Goolge, o de quien quieras

    Si quieres, sí o sí, que tus Controladores de Dominio no salgan de tu red, la otra opción que puede ser una solución parcial, es poner un "proxy", porque en ese caso al configurarlo en los clientes, lo que sea tráfico HTTP, HTTPs y FTP (si el "proxy" soporta este último) la resolución de nombres la hace el "proxy"

    Por el tema de conectividad entre los Controladores de Dominio no necesariamente tiene que ser usando la Puerta de Enlace, alcanzaría con crear una entrada en la tabla de "Routing"

    A mi entender lo correcto, es esto último, con entradas en la tabla de "Routing" para conectividad entre las redes diferentes, y que el DNS reenvíe a tu gateway si quieres hacerlo así. En los servidores creas manualmente la entrada en la tabla de "Routing" y en los clientes lo puedes hacer por DHCP

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Marcado como respuesta panthael miércoles, 16 de diciembre de 2015 10:55
    martes, 15 de diciembre de 2015 17:39
    Moderador
  • Hola "panthael" como estas,

    No es recomendable que los DCs tenga ningun tipo de salida a internet.
    WINS no es una posible solución a tu escenario.
    Si quieres unir un cliente al dominio, debes tener una ip valida y mascara, y del lado del sever una ip valida y mascara, intenta quitar el gateway tmp. Postea el mensaje preciso que aparece ?

    Puedes usar NAT o ICS, elige:
    How NAT Differs from ICS
    https://technet.microsoft.com/en-us/library/cc754703(v=ws.10).aspx

    How NAT Works
    https://technet.microsoft.com/en-us/library/cc756722(v=ws.10).aspx

    Configuring RRAS
    https://technet.microsoft.com/en-us/library/dd458979.aspx

    How to deploy RRAS based VPN server
    https://blogs.technet.microsoft.com/rrasblog/2009/07/30/how-to-deploy-rras-based-vpn-server-that-gives-dedicated-ip-to-remote-usersmachines-and-allow-them-to-access-internet-using-a-dedicated-public-ip-address/

    Espero sea de ayuda. Saludos.

    • Marcado como respuesta panthael miércoles, 16 de diciembre de 2015 10:55
    martes, 15 de diciembre de 2015 18:03

Todas las respuestas

  • Hola David, comienzo con las aclaraciones desde la base :)

    Cualquier máquina que pertenece a un Dominio AD, debe tener configurado para usar como DNS únicamente a los Controladores de Dominio con DNS. Nunca a los del ISP

    Por lo tanto, para que los clientes de Dominio deban poder resolver nombres de Internet, la opción es que los Controladores de Dominio puedan salir a Internet, o si quieres mejor, en la ficha Reenviadores les colocas la IP de tu gateway, del ISP, de Goolge, o de quien quieras

    Si quieres, sí o sí, que tus Controladores de Dominio no salgan de tu red, la otra opción que puede ser una solución parcial, es poner un "proxy", porque en ese caso al configurarlo en los clientes, lo que sea tráfico HTTP, HTTPs y FTP (si el "proxy" soporta este último) la resolución de nombres la hace el "proxy"

    Por el tema de conectividad entre los Controladores de Dominio no necesariamente tiene que ser usando la Puerta de Enlace, alcanzaría con crear una entrada en la tabla de "Routing"

    A mi entender lo correcto, es esto último, con entradas en la tabla de "Routing" para conectividad entre las redes diferentes, y que el DNS reenvíe a tu gateway si quieres hacerlo así. En los servidores creas manualmente la entrada en la tabla de "Routing" y en los clientes lo puedes hacer por DHCP

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Marcado como respuesta panthael miércoles, 16 de diciembre de 2015 10:55
    martes, 15 de diciembre de 2015 17:39
    Moderador
  • Hola "panthael" como estas,

    No es recomendable que los DCs tenga ningun tipo de salida a internet.
    WINS no es una posible solución a tu escenario.
    Si quieres unir un cliente al dominio, debes tener una ip valida y mascara, y del lado del sever una ip valida y mascara, intenta quitar el gateway tmp. Postea el mensaje preciso que aparece ?

    Puedes usar NAT o ICS, elige:
    How NAT Differs from ICS
    https://technet.microsoft.com/en-us/library/cc754703(v=ws.10).aspx

    How NAT Works
    https://technet.microsoft.com/en-us/library/cc756722(v=ws.10).aspx

    Configuring RRAS
    https://technet.microsoft.com/en-us/library/dd458979.aspx

    How to deploy RRAS based VPN server
    https://blogs.technet.microsoft.com/rrasblog/2009/07/30/how-to-deploy-rras-based-vpn-server-that-gives-dedicated-ip-to-remote-usersmachines-and-allow-them-to-access-internet-using-a-dedicated-public-ip-address/

    Espero sea de ayuda. Saludos.

    • Marcado como respuesta panthael miércoles, 16 de diciembre de 2015 10:55
    martes, 15 de diciembre de 2015 18:03
  • Buenos dias Guillermo,

    Primero gracias por tu respuesta.Los enrutamientos estáticos ya estan creados en la VPN hacia la red del controlador de dominio replicado. Pero para que lleguen los paquetes desde el maestro a a traves de la VPN, el controlador de dominio replicado debe tener como gateway la ip de la tarjeta de red que usa la VPN para comunicarse con su red.

    Pero leo que me dices que el servidor DNS puede reenviar estas peticiones al gateway del controlador de dominio replicado. ¿El servidor DNS al que haces referencia es el del controlador de dominio replicado?. ¿Como puedo haer esta entrada?.

    Muchas Gracias

    Un Saludo

    David


    David

    miércoles, 16 de diciembre de 2015 9:54
  • Hola David, justo estaba respondiendo otro hilo y veo este :) Así que es todo muy rápido por acá :)

    La configuración de Puerta de Enlace, no es más que una forma gráfica de definir la ruta por omisión en la tabla de "Routing"

    Y es muy fácil de ver, en una máquina cualquiera con Puerta de enlace configurada, ejecuta "ROUTE PRINT -4" y verás la entrada correspondiente que comienza con "0.0.0.0 0.0.0.0"

    Ahora, elimina la Puerta de Enalce, y ejecuta nuevamente el comando anterior, verás que esa entrada desapareció

    Es lo mismo crear la entrada manualmente, o agregarla desde el CMD con el comando ROUTE ADD

    Normalmente donde tienes muchas más redes es Internet, y no las redes internas, por eso se configura siempre que la Puerta de Enlace sea el Router que da salida a Internet, y todo lo demás se maneja con "ROUTE ADD (-P) ..."

    Resumiendo, siempre puedes tener por un lado la salida a Internet, y por otro las rutas a tus redes internas

     

    Por el tema DNS. La configuración de Reenviadores es decirle al DNS: "Todo lo que no puedas resolver, envía la pregunta a este otro DNS". Esto se hace para que el primer DNS pueda resolver nombres de Internet, sin comenzar por los servidores del dominio ".", y reenviando al DNS tuyo o del ISP u otro

    Nunca un DNS va a reenviar una consulta de la que es autoridad (tiene la zona), y tampoco tiene sentido que los DDNs internos se reenvíen entre sí, nunca lo harán porque ambos son autoridad de la misma zona :)

    Resumiendo, que todas las máquinas usen como DNS sólo a los DNSs internos de AD, y que estos tengan configurados Reenviadores, al tuyo en DMZ, o del ISP, o al DNS externo que quieras

    [Edito] No necesitas para nada resolución NetBIOS, ni WINS. Todo lo que sea Active Directory utiliza resolución de nombres DNS

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.


    miércoles, 16 de diciembre de 2015 10:14
    Moderador
  • Genial Guillerno,

    Sos un crack.

    Me funciona perfectamente.

    Muchas Gracias

    Un Saludo

    David


    David

    miércoles, 16 de diciembre de 2015 10:55