none
Configuracion zonas DNS con rodc RRS feed

  • Pregunta

  • Que tal, he estado buscando en foros y sitios de internet pero no logro encontrar lo que necesito.

    Tengo 4 controladores de dominio funcionando correctamente. Metimos uno mas en un sitio alejado de la red local, un RODC. Así lo hicimos ya al parece funciona, pero no puedo meter equipos al dominio con ese servidor nuevo, los equipos clientes no encuentran el dominio. Creo que el tema va por las configuraciones de los DNS combinadas con las restricciones que el administrador de la red tiene. Y es que este RODC está en un segmento de red diferente, en donde se creó una ruta en la cual solo un controlador de dominio (de los 4 que tengo) lo puede ver. La configuración está asi

    Segmento de red RODC <-> segmento de red resto controladores de dominio -> no  se ven

    RODC <-> DC01 Se ven entre si

    RODC<-> Resto de controladores de dominio No se ven

    La idea es que el RODC replique solo del DC01 (lo cual es viable) ya que solo ese controlador puede "ver", y por lo tanco cuando entren los equipos al dominio se pueden loguear. Pero no logro hacer que el segmento de red le resuelva el dominio solo su RODC a travez del controlador que puede ver.

    martes, 27 de septiembre de 2016 19:59

Respuestas

  • Cuando una máquina va a unirse a un Dominio, cambiar contraseña de máquina, etc. lo que le pregunta al DNS es "¿Quienes son los DCs?" Esto se hace preguntando por los servidores LDAP del Dominio, no por el nombre del Dominio

    Antes de registrarse en un DNS, pregunta al DNS que tenga configurado por el registro SOA, ya que este registro le indica un DNS que permite actualizaciones. El RODC le respone con el nombre o dirección de otro DNS que no es RODC. El cliente se registra en este DC "normal" y como el RODC sabe a quién lo redirigió, hace una transferencia de de zona casi inmediata, porque sabe que tienen que haber cambios

    Por lo que veo es que están tratando de fijar a mano quien es el "Bridgehead server", nunca lo he hecho de esa forma, siempre dejé que el propio sistema, a través del ISTG ("Inter Site Topology Generator") lo haga automáticamente. Y más aún porque desde W2012 el sistema se encarga de repartir la carga, no como sucedía hasta W2008

    Por último, en las propiedades del servidor DNS, ficha "Advanced" tienes dos configuraciones que pueden ayudar a lo que buscas:

    - "Enable Round Robin": cada que recibe una pregunta con múltiples respuesta hace rotación del orden

    - "Enable netmask ordering": trata de poner primero el registro "más cercano" en relación a la IP de consulta, y el servidor que corresponda

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Propuesto como respuesta Moderador M viernes, 30 de septiembre de 2016 15:52
    • Marcado como respuesta Moderador M domingo, 9 de octubre de 2016 22:06
    jueves, 29 de septiembre de 2016 12:49
    Moderador

Todas las respuestas

  • Hola FerCuevas, entiendo que las zonas del Dominio están integradas en Active Directory ¿es así?

    Primero que nada ¿tienes creada correctamene la infraestructura de "Sites", "Subnets" y "Links"? porque eso es fundamental en el escenario que comentas

    Revisa en la zona DNS del RODC a qué máquina apunta el SOA, con ése debe haber comunicación, tanto del RODC como de los clientes en ese "Site"

    Al ser RODC la zona es de sólo lectura, luego cuando el cliente va a registrarse en la zona, el RODC le informa quien es el SOA ("Start Of Authority"), el cliente se registra en este DNS, y luego el RODC se trae la actualización de la zona de este servidor al cual derivó la registración del cliente

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.


    martes, 27 de septiembre de 2016 21:44
    Moderador
  • Hola Guillermo muchas gracias por tu respuesta.

    Te cuento, la cuento la configuración de Sites y, Subnets y Links está configurada, cada sitio con su segmento de red, y los Links por IP solo de acuerdo a los sitios.

    En la propiedades de la zona de mi dominio, en el RODC me aparece como servidor principal el DC01, el unico con el que tiene comunicacion (por la configuracion de la red). Aqui un punto importante, solo el RODC y el DC01 se ven, el resto de los clientes en el segmento del RDOC no ven el DC01. Eso puede ser un problema?? De ser así habría que modificar el enlace para que todo el segmento del RODC pueda ver el DC01.

    Me llama la atencion que cuando hago un nslookup y busco el dominio (local.com por llamarle asi) desde un cliente en el segmento del RODC me enlista todos los servidores dns, pero no el RDOC. Habrá la posibilidad de limitar ese resultado para que enliste solo el RODC y el DC01 (accesibles desde ese segmento de red, cuando modifiquemos las reglas en el enlace), y con eso asegurar que si resuelva el dominio?.

    Por el momento haciendo un ping hacia el dominio (local.com) desde el RODC bien me puede resolver y contestar el DC01 exitosamente o bien me puede contestar cualquier otro controlador sin exito pues no los puede ver.

    miércoles, 28 de septiembre de 2016 14:41
  • Hola FerCuevas, el resto de las máquinas del Sitio donde está el RODC, deben poder comunicarse, por lo menos con un DC "normal", porque de otra forma no puede registrarse en DNS porque el RODC es justamente RO :)

    Inclusive hace un tiempo, en un caso donde el cliente no conectaba a un DC "normal" había algunos problemas en la aplicación de GPOs. No pude averigurar el motivo del problema, pero recuerdo que no conectaba a impresoras

    Los clientes encuentran a los Controladores de Dominio, buscando el registro SRV que apunta a LDAP, no al nombre del Dominio, realmente no sé si por ese lado vendrá lo que nombras del NSLOOKUP

    Así que el tema es que los clinetes de ese segmento remoto, además deben poder contactar a un DC "normal", y tenerlo permitido sólo a uno, podría llegar a producir problemas en caso que este único DC que admite conexiones esté fuera de línea

    Una vez que el usuario inició sesión por primera vez, el RODC "cachea" su contraseña, y la mantiene localmente, pero la primera vez es necesario que ambos contacten a un DC "normal"

    En mi blog, si haces la búsqueda con "Buscar con Google" aparecen varios enlaces, desde los motivos hasta la implmentación y configuración

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Propuesto como respuesta Moderador M miércoles, 28 de septiembre de 2016 17:34
    miércoles, 28 de septiembre de 2016 15:42
    Moderador
  • Hola Guillermo gracias por tus comentarios, me han servidor de mucho.

    Lo que pretendía al mencionar el NSLOOKUP es esto:

    Al estar en el segmento de red 192.168.30.0/24

    c:\User>nslookup local.com
    Servidor:  dc03.local.com (DNS deel cual hice la consulta)
    Address:  192.168.30.13 (IP DNS del cual hice la consulta)

    Nombre:  local.com (mi dominio)
    Addresses:  192.168.52.100
      192.168.30.17
     192.168.30.13
     192.168.30.14

    Addresses: arroja todos los servidores dns, pero no quiero que arroje el 192.168.52.100 porque es otro segmento.

    Y al estar en el segmento 192.168.52.0/24, que al hacer el nslookup hacia mi dominio local.com, los valores Addresses solo arrojen el 192.168.52.100, el cual seria el unico dns en ese segmento. Ya que como te comentaba, por la restriccion en la red no se pueden ver. Con esto pretendia que los clientes al hacer ping al dominio local.com (o buscarlo para abonarse al dominio), se asegurara que lo encontrara y le respondiera.

    Vamos a hacer las modificaciones en la red para que todo el segmento vea los controladores de dominio. Ya te cuento como nos fue.


    jueves, 29 de septiembre de 2016 12:21
  • Cuando una máquina va a unirse a un Dominio, cambiar contraseña de máquina, etc. lo que le pregunta al DNS es "¿Quienes son los DCs?" Esto se hace preguntando por los servidores LDAP del Dominio, no por el nombre del Dominio

    Antes de registrarse en un DNS, pregunta al DNS que tenga configurado por el registro SOA, ya que este registro le indica un DNS que permite actualizaciones. El RODC le respone con el nombre o dirección de otro DNS que no es RODC. El cliente se registra en este DC "normal" y como el RODC sabe a quién lo redirigió, hace una transferencia de de zona casi inmediata, porque sabe que tienen que haber cambios

    Por lo que veo es que están tratando de fijar a mano quien es el "Bridgehead server", nunca lo he hecho de esa forma, siempre dejé que el propio sistema, a través del ISTG ("Inter Site Topology Generator") lo haga automáticamente. Y más aún porque desde W2012 el sistema se encarga de repartir la carga, no como sucedía hasta W2008

    Por último, en las propiedades del servidor DNS, ficha "Advanced" tienes dos configuraciones que pueden ayudar a lo que buscas:

    - "Enable Round Robin": cada que recibe una pregunta con múltiples respuesta hace rotación del orden

    - "Enable netmask ordering": trata de poner primero el registro "más cercano" en relación a la IP de consulta, y el servidor que corresponda

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Propuesto como respuesta Moderador M viernes, 30 de septiembre de 2016 15:52
    • Marcado como respuesta Moderador M domingo, 9 de octubre de 2016 22:06
    jueves, 29 de septiembre de 2016 12:49
    Moderador
  • Hola, yo tengo el mismo problema. He conseguido que funcione modificando el dns según dicen en:

    https://support.microsoft.com/en-us/help/977510/authentication-fails-when-an-external-client-tries-to-log-on-to-a-windows-server-2008-server-by-using-a-read-only-domain-controller-in-a-perimeter-network


    Jesús Mªª Alvarez

    lunes, 22 de mayo de 2017 7:17