none
Unir equipos al dominio desde otros segmentos de red RRS feed

  • Pregunta

  • Estimados, 

    No he podido unir equipos desde otros segmentos de red mis servidores DC (Windows server 2016) estan en la red 192.168.5.xx y no puedo unir equipos desde la red 192.168.10.x o 192.168.11.x. He realizado las siguientes actividades:

    - Revision de las configuraciones de las tarjetas de red en los usuarios y servidores (mascara de red, puerta de enlace y dns interno estan correctos).

    - Se recibe respuesta de las pruebas de ping al nombre e IP desde los equipos de usuarios hacia los servidores DC.

    - Se desactivo el Firewall local de los servidores DC y se permitio acceso completo en el Firewall de la red interna.

    -Se observa en el Firewall que las consultas UDP por el puerto 137 no tienen respuesta desde los servidores DC.

    Espero que me puedan ayudar, ya que llevamos varios dias en esta situacion. Como antecedente les puedo indicar que esta situacion comenzo a pasar luego de se migraron los servicios desde servidores  2008R2. 

    Agradecido de antemano a cualquier ayuda que pudieran brindar.

    Saludos cordiales.

    lunes, 4 de febrero de 2019 21:43

Respuestas

  • [Guillermo] Respondo entre líneas

    Hola Guillermo, 

    Gracias por tu respuesta y apoyo repondo a tus consultas en negrita:

    - ¿Qué dirección IP tiene el Controlador de Dominio?

    DC primario 192.168.5.42 y DC secundario 192.168.5.47

    - Pega por acá la salida de un IPCONFIG /ALL de un cliente con el problema

    C:\WINDOWS\system32>ipconfig/all

    Configuración IP de Windows

       Nombre de host. . . . . . . . . : PC-RBARRALES
       Sufijo DNS principal  . . . . . :
       Tipo de nodo. . . . . . . . . . : híbrido
       Enrutamiento IP habilitado. . . : no
       Proxy WINS habilitado . . . . . : no

    [Guillermo] Acá salta el primer problema y esto es consecuencia de lo que te digo luego. Debería aparecer una línea con "DNS Suffix Search List" y "NombreDominio.Sufijo"

    Adaptador de Ethernet Ethernet:

       Sufijo DNS específico para la conexión. . :
       Descripción . . . . . . . . . . . . . . . : Intel(R) Ethernet Connection (2) I219-V
       Dirección física. . . . . . . . . . . . . : 30-9C-23-8A-A4-6C
       DHCP habilitado . . . . . . . . . . . . . : sí
       Configuración automática habilitada . . . : sí
       Dirección IPv4. . . . . . . . . . . . . . : 192.168.11.39(Preferido)
       Máscara de subred . . . . . . . . . . . . : 255.255.254.0
       Concesión obtenida. . . . . . . . . . . . : viernes, 1 de febrero de 2019 10:15:00
       La concesión expira . . . . . . . . . . . : martes, 12 de febrero de 2019 10:06:01
       Puerta de enlace predeterminada . . . . . : 192.168.10.1
       Servidor DHCP . . . . . . . . . . . . . . : 192.168.10.1
       Servidores DNS. . . . . . . . . . . . . . : 192.168.5.42
                                           192.168.5.47
       NetBIOS sobre TCP/IP. . . . . . . . . . . : habilitado

    - No olvides que para que funcione adecuadamente el nombre del Dominio debe seguir la sintaxis DNS, esto es "nombreDominio.sufijo"

    El dominio no fue creado con un sufijo, pero te puedo decir que los equipos en la misma red pueden unirse sin inconvenientes y antes del cambio los equipos de otros segmentos de red se unian sin problemas. Actualmente los equipos que se ya se encontraban unidos al dominio de los segmentos 192.168.10.x y 192.168.11.x al operan sin inconvenientes pero no puedo unir nuevos equipos de estos segmentos.

    [Guillermo] Lo anterior es el problema que genera todo, y además te puede traer otros problemas, inclusive compatibilidad con algunas aplicaciones: El nombre de Dominio AD debe tener la forma "NombreDominio.Sufijo". Si haces una búsqueda en Microsoft con "Single label domain" vas a encontrar muchos de los problemas que produce, inclusive la no registración en DNS

    - Si desde un cliente, en un CMD "ejecutado como administrador" ejecutas

    NSLOOKUP <NombreDC.NombreDominio.Sufijo"

    C:\WINDOWS\system32>nslookup rjn020.refax
    Servidor:  refax.refax
    Address:  192.168.5.42

    Nombre:  rjn020.refax
    Address:  192.168.5.42

    [Guillermo] Siguen las "cosas raras" que vienen del nombre del Dominio y su "pelea" con DNS. Le pregunta al servidor "refax.refax" y luego dice que se llama "rjn020.refax" No debe tener dos nombres diferentes

    Como informacion adicional, las subredes se encuentran declaradas en "Active Directory Sites and Services"


    


    Vamos ahora al motivo de la pregunta donde localmente se pueden unir al Dominio y remotamente no pueden, es sencillo de explicar, solucionar es otro tema :)

    Al estar usando nombre de Dominio sin sufijo, para resolver nombres está usando NetBIOS, y no DNS, que inclusive se confirma porque nombras que está usando UDP-137, eso es NetBIOS

    Para que exista conectividad a través de NetBIOS, la solución sería poner un servidor WINS y que todas las máquinas apunten él. Personalmente no me parece una buena solución, seria una solución que vuelve al pasado, NT4 para ser más específico

    La solución definitiva, y que creo que es la mejor es renombrar el dominio para que sea compatible con la sintaxis DNS, esto es, "nombreDomino.sufijo". Alcanzaría con agregar el sufijo de Dominio

    Cuidado que cambiar el nombre a un Dominio no es algo tan trivial, hay que hacer varias operaciones, te dejo un paso a paso para que veas lo que te espera :)

    Cambiar Nombre a un Dominio Active Directory (Parte 1 de 2) | WindowServer
    https://windowserver.wordpress.com/2015/07/14/cambiar-nombre-a-un-dominio-active-directory-parte-1-de-2/

    Cambiar Nombre a un Dominio Active Directory (Parte 2 de 2) | WindowServer
    https://windowserver.wordpress.com/2015/07/21/cambiar-nombre-a-un-dominio-active-directory-parte-2-de-2/

    [Edito y agrego] Veo que no se están usando las máscara de subred por omisión, pero descarto que está todo bien, no tengo ganas de ponerme a hacer cuentas :)

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.


    martes, 5 de febrero de 2019 17:32
    Moderador

Todas las respuestas

  • Hola Jhonattan Vallenilla 

    Gracias por levantar tu consulta en los foros de Technet. Con respecto a la misma, te comento que estaremos realizando una revisión a profundidad acerca del inconveniente que se te está presentando.

    Proporcionaremos una respuesta lo más pronto posible.

    Gracias por usar los foros de Technet.

    Pedro Alfaro
     ____

    Por favor recuerde "Marcar como respuesta" las respuestas que hayan resuelto su problema, es una forma común de reconocer a aquellos que han ayudado, y hace que sea más fácil para los otros visitantes encontrar la solución más tarde. 

    Microsoft ofrece este servicio de forma gratuita, con la finalidad de ayudar a los usuarios y la ampliación de la base de datos de conocimientos relacionados con los productos y tecnologías de Microsoft.  

    Este contenido es proporcionado "tal cual" y no implica ninguna responsabilidad de parte de Microsoft.
    lunes, 4 de febrero de 2019 22:45
    Moderador
  • Hola Jhonattan Vallenila, algunos datos adicionales que des pueden ayudar a resolver el problema

    - ¿Qué dirección IP tiene el Controlador de Dominio?

    - Pega por acá la salida de un IPCONFIG /ALL de un cliente con el problema

    - No olvides que para que funcione adecuadamente el nombre del Dominio debe seguir la sintaxis DNS, esto es "nombreDominio.sufijo"

    - Y para cualquier comando en ambiente de Dominio hay que usar el nombre DNS, por ejemplo, para unir al Dominio se debe usar "nombreDomino.sufijo", y no "nombreDominio"

    - Si desde un cliente, en un CMD "ejecutado como administrador" ejecutas

    NSLOOKUP <NombreDC.NombreDominio.Sufijo"

    ¿Resuelve correctamente a la IP del Controlador de Dominio? Si puedes pegar acá la salida de este comando sería muy útil

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    martes, 5 de febrero de 2019 11:00
    Moderador
  • Hola Guillermo, 

    Gracias por tu respuesta y apoyo repondo a tus consultas en negrita:

    - ¿Qué dirección IP tiene el Controlador de Dominio?

    DC primario 192.168.5.42 y DC secundario 192.168.5.47

    - Pega por acá la salida de un IPCONFIG /ALL de un cliente con el problema

    C:\WINDOWS\system32>ipconfig/all

    Configuración IP de Windows

       Nombre de host. . . . . . . . . : PC-RBARRALES
       Sufijo DNS principal  . . . . . :
       Tipo de nodo. . . . . . . . . . : híbrido
       Enrutamiento IP habilitado. . . : no
       Proxy WINS habilitado . . . . . : no

    Adaptador de Ethernet Ethernet:

       Sufijo DNS específico para la conexión. . :
       Descripción . . . . . . . . . . . . . . . : Intel(R) Ethernet Connection (2) I219-V
       Dirección física. . . . . . . . . . . . . : 30-9C-23-8A-A4-6C
       DHCP habilitado . . . . . . . . . . . . . : sí
       Configuración automática habilitada . . . : sí
       Dirección IPv4. . . . . . . . . . . . . . : 192.168.11.39(Preferido)
       Máscara de subred . . . . . . . . . . . . : 255.255.254.0
       Concesión obtenida. . . . . . . . . . . . : viernes, 1 de febrero de 2019 10:15:00
       La concesión expira . . . . . . . . . . . : martes, 12 de febrero de 2019 10:06:01
       Puerta de enlace predeterminada . . . . . : 192.168.10.1
       Servidor DHCP . . . . . . . . . . . . . . : 192.168.10.1
       Servidores DNS. . . . . . . . . . . . . . : 192.168.5.42
                                           192.168.5.47
       NetBIOS sobre TCP/IP. . . . . . . . . . . : habilitado

    - No olvides que para que funcione adecuadamente el nombre del Dominio debe seguir la sintaxis DNS, esto es "nombreDominio.sufijo"

    El dominio no fue creado con un sufijo, pero te puedo decir que los equipos en la misma red pueden unirse sin inconvenientes y antes del cambio los equipos de otros segmentos de red se unian sin problemas. Actualmente los equipos que se ya se encontraban unidos al dominio de los segmentos 192.168.10.x y 192.168.11.x al operan sin inconvenientes pero no puedo unir nuevos equipos de estos segmentos.

    - Si desde un cliente, en un CMD "ejecutado como administrador" ejecutas

    NSLOOKUP <NombreDC.NombreDominio.Sufijo"

    C:\WINDOWS\system32>nslookup rjn020.refax
    Servidor:  refax.refax
    Address:  192.168.5.42

    Nombre:  rjn020.refax
    Address:  192.168.5.42

    Como informacion adicional, las subredes se encuentran declaradas en "Active Directory Sites and Services"


    


    martes, 5 de febrero de 2019 13:30
  • Hola Jhonattan,

    Una prueba más, para descartar comunicaciones. Si haces un telnet desde los clientes a al DC por los puertos 88, 3268, 3269,53 y 389, entiendo que llegas sin problemas, ¿no?

    Gracias,

    martes, 5 de febrero de 2019 14:54
  • Hola, 

    Si efectivamente hay comunicacion desde los clientes hacia el servidor a traves de los puertos 88, 3268, 3269,53 y 389.

    martes, 5 de febrero de 2019 15:21
  • [Guillermo] Respondo entre líneas

    Hola Guillermo, 

    Gracias por tu respuesta y apoyo repondo a tus consultas en negrita:

    - ¿Qué dirección IP tiene el Controlador de Dominio?

    DC primario 192.168.5.42 y DC secundario 192.168.5.47

    - Pega por acá la salida de un IPCONFIG /ALL de un cliente con el problema

    C:\WINDOWS\system32>ipconfig/all

    Configuración IP de Windows

       Nombre de host. . . . . . . . . : PC-RBARRALES
       Sufijo DNS principal  . . . . . :
       Tipo de nodo. . . . . . . . . . : híbrido
       Enrutamiento IP habilitado. . . : no
       Proxy WINS habilitado . . . . . : no

    [Guillermo] Acá salta el primer problema y esto es consecuencia de lo que te digo luego. Debería aparecer una línea con "DNS Suffix Search List" y "NombreDominio.Sufijo"

    Adaptador de Ethernet Ethernet:

       Sufijo DNS específico para la conexión. . :
       Descripción . . . . . . . . . . . . . . . : Intel(R) Ethernet Connection (2) I219-V
       Dirección física. . . . . . . . . . . . . : 30-9C-23-8A-A4-6C
       DHCP habilitado . . . . . . . . . . . . . : sí
       Configuración automática habilitada . . . : sí
       Dirección IPv4. . . . . . . . . . . . . . : 192.168.11.39(Preferido)
       Máscara de subred . . . . . . . . . . . . : 255.255.254.0
       Concesión obtenida. . . . . . . . . . . . : viernes, 1 de febrero de 2019 10:15:00
       La concesión expira . . . . . . . . . . . : martes, 12 de febrero de 2019 10:06:01
       Puerta de enlace predeterminada . . . . . : 192.168.10.1
       Servidor DHCP . . . . . . . . . . . . . . : 192.168.10.1
       Servidores DNS. . . . . . . . . . . . . . : 192.168.5.42
                                           192.168.5.47
       NetBIOS sobre TCP/IP. . . . . . . . . . . : habilitado

    - No olvides que para que funcione adecuadamente el nombre del Dominio debe seguir la sintaxis DNS, esto es "nombreDominio.sufijo"

    El dominio no fue creado con un sufijo, pero te puedo decir que los equipos en la misma red pueden unirse sin inconvenientes y antes del cambio los equipos de otros segmentos de red se unian sin problemas. Actualmente los equipos que se ya se encontraban unidos al dominio de los segmentos 192.168.10.x y 192.168.11.x al operan sin inconvenientes pero no puedo unir nuevos equipos de estos segmentos.

    [Guillermo] Lo anterior es el problema que genera todo, y además te puede traer otros problemas, inclusive compatibilidad con algunas aplicaciones: El nombre de Dominio AD debe tener la forma "NombreDominio.Sufijo". Si haces una búsqueda en Microsoft con "Single label domain" vas a encontrar muchos de los problemas que produce, inclusive la no registración en DNS

    - Si desde un cliente, en un CMD "ejecutado como administrador" ejecutas

    NSLOOKUP <NombreDC.NombreDominio.Sufijo"

    C:\WINDOWS\system32>nslookup rjn020.refax
    Servidor:  refax.refax
    Address:  192.168.5.42

    Nombre:  rjn020.refax
    Address:  192.168.5.42

    [Guillermo] Siguen las "cosas raras" que vienen del nombre del Dominio y su "pelea" con DNS. Le pregunta al servidor "refax.refax" y luego dice que se llama "rjn020.refax" No debe tener dos nombres diferentes

    Como informacion adicional, las subredes se encuentran declaradas en "Active Directory Sites and Services"


    


    Vamos ahora al motivo de la pregunta donde localmente se pueden unir al Dominio y remotamente no pueden, es sencillo de explicar, solucionar es otro tema :)

    Al estar usando nombre de Dominio sin sufijo, para resolver nombres está usando NetBIOS, y no DNS, que inclusive se confirma porque nombras que está usando UDP-137, eso es NetBIOS

    Para que exista conectividad a través de NetBIOS, la solución sería poner un servidor WINS y que todas las máquinas apunten él. Personalmente no me parece una buena solución, seria una solución que vuelve al pasado, NT4 para ser más específico

    La solución definitiva, y que creo que es la mejor es renombrar el dominio para que sea compatible con la sintaxis DNS, esto es, "nombreDomino.sufijo". Alcanzaría con agregar el sufijo de Dominio

    Cuidado que cambiar el nombre a un Dominio no es algo tan trivial, hay que hacer varias operaciones, te dejo un paso a paso para que veas lo que te espera :)

    Cambiar Nombre a un Dominio Active Directory (Parte 1 de 2) | WindowServer
    https://windowserver.wordpress.com/2015/07/14/cambiar-nombre-a-un-dominio-active-directory-parte-1-de-2/

    Cambiar Nombre a un Dominio Active Directory (Parte 2 de 2) | WindowServer
    https://windowserver.wordpress.com/2015/07/21/cambiar-nombre-a-un-dominio-active-directory-parte-2-de-2/

    [Edito y agrego] Veo que no se están usando las máscara de subred por omisión, pero descarto que está todo bien, no tengo ganas de ponerme a hacer cuentas :)

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.


    martes, 5 de febrero de 2019 17:32
    Moderador
  • Guillermo, 

    Gracias por tu respuesta y apoyo, por el momento iremos por la solucion de instalar el servicio WINS. Te comento que este servicio estaba instalado en el servidor DC primario antiguo, procedimos a instalar el servicio en el actual servidor DC primario, pero no hemos podido cambiar el registro DNS "Busqueda de WINS", en la zona del dominio la cual apunta al antiguo servidor y al modificarlo o agregar la IP del nuevo servidor aparece el siguiente error:

     

    miércoles, 6 de febrero de 2019 12:54
  • Si todas las máquinas son clientes del WINS no debería ser necesaria marcar esa opción. Eso era para cuando no había DNS dinámico

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    miércoles, 6 de febrero de 2019 17:11
    Moderador
  • Hola Guillermo, 

    A pesar de que instalamos el servicio WINS en el servidor DC primario, no hemos podido unir los equipos al dominio. Estoy considerando en la opcion de crear un nuevo dominio y provisionar de nuevo los usuarios y registros DNS. Esta tarea llevará mucho mas tiempo, pero pienso que es la mejor opcion para que los servicios operen correctamente. 

    Gracias por tu apoyo.

    jueves, 7 de febrero de 2019 13:45
  • Recuerda que luego de configurar que usen WINS eso requiere reiniciar las máquinas

    Si tienes la opción de recrear el Dominio "como se debe" es la mejor opción de todas

    Hay algo que seguramente ya has aprendido, los asistentes de Windows facilitan mucho las cosas pero nada reemplaza a un humano :)

    La implementación de Active Directory, por más chico que sea el Dominio debe pasar por tres fases, y las dos primeras son las más importantes y generalmente llevan mucho más tiempo que la última

    1.- Diseño: objetivos en forma detallada, cuántos Dominios, cuántos "Sites" y cómo se conectan, definición de sintaxis de nombres a usar (Dominio/s, OUs, Grupos, Usuarios, servidores, máquinas, etc.)

    2.- Planificación: cómo lo vamos a implementar para adaptarnos a la realidad, qué recursos disponemos, objetivos importantes y necesarios desde el principio, y cuáles podremos implementar con más tiempo, quién ser hará cargo y de qué parte, etc. En esta fase es conveniente armar un laboratorio y probar muchas cosas, hasta debería salir la documentación (aunque sea una hoja escrita a mano tipo ayudamemoria)

    3.- Implementación: siga las instrucciones que dejó la fase anterior, rápido y no se equivoque :)

    Como decía un amigo: "Pienso dos veces y trabajo una sola"

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    jueves, 7 de febrero de 2019 16:34
    Moderador