none
DNS - SERVER 2003 ¿OBLIGATORIO? RRS feed

  • Pregunta

  • Buenas, tengo un Windows Server 2003 R2 X64 SP2. Tenemos un dominio creado que nos creo en su día el informático en el que los demás pcs se conectan a él.

    Hasta aquí bien. El problema esta en la configuración DNS que yo no se si lo hacemos bien. Me explico.

    Tenemos un router firewall (un SonicWall) que es el que controla las ips, el que las gestiona por filtración de MAC. Es por este motivo por lo que no se si es obligatorio que el servidor tenga que tener también el servidor DNS activo, pues cuando lo desactivo, deja de funcionar la red.

    No se si me explico. Yo en tema de Server no es que ande puesto sin embargo en Windows XP - 7 y 8 lo que queráis xD.

    El caso es que el DHCP lo tengo desactivado y fenomenal pero las DNS no se si se pueden desactivar sin que esto afecte a los equipos.

    Además en el visor de sucesos de DNS me sale un fallo constante que no se como solucionar.

    Id suceso 7062.

    El servidor DNS encontró un paquete dirigido a sí mismo en la dirección IP 195.195.195.91. El paquete es para el nombre DNS "_kerberos._tcp.Default-First-Site._sites.dc._msdcs.INCASO.LOCAL.". Se descartará el paquete. %Este estado suele indicar un error en la configuración. 

    He mirado en propiedades os muestro una imagen de como lo tengo

    Por último quería preguntar como puedo saber si algun pc tiene configurado que si no se conecta al server en X días se desune al dominio, porque tengo un pc con W7 PRO x64, que curiosamente se me desune del dominio constantemente, apareciendo el típico mensaje de "La base de datos de seguridad del servidor no tiene una cuenta de equipo para relación de confianza de esta estación de trabajo.

    Por último todos los días a la misma hora, en el visor de sucesos, encuentro este mismo error, con ID de SUCESO: 5781

    Se ha producido un error en el registro dinámico o en la eliminación de uno o más registros DNS asociados al dominio DNS  'INSESA.local.'. Estos registros son utilizados por otros equipos para localizar a este servidor como un controlador de dominio (si el dominio especificado es un dominio de Active Directory) o como un servidor LDAP (si el dominio especificado es una partición de aplicación).  

    Agradezco sus respuestas. Saludos y felices fiestas.

    lunes, 23 de diciembre de 2013 9:12

Respuestas

  • Hola llt0rresll,

    Vamos por partes, porque has hecho varias preguntas con bastante enjundia :)

    En una infraestructura Active Directory, los servidores DNS son una parte FUNDAMENTAL de la infraestructura, ya que es la base para localizar servicios críticos como los servidores de inicio de sesión, o los servicios de seguridad que permiten controlar la identidad (por ser escueto, aunque esto es muuuuucho más complicado) de los usuarios, dispositivos y equipos que se conectan a tu infraestructura de AD. Resumiendo, la repuesta a tu primera pregunta es que SI es obligatorio que el servidor DNS del Active Directory esté activo.

    Respecto a tu segunda pregunta, la del evento 7062, tiene pinta de que tu servidor DNS se está usando a si mismo como reenviador, delegado de zona o algo por el estilo. Te recomendaría que siguieras los pasos de esta nota técnica: Eventos de los registros DNS Server 7062: "el servidor DNS encontró un paquete dirigido a sí mismo"

    Ya por último, respecto a tu duda de la desconexión automática del dominio de un equipo comentarte que los equipos (o servidores miembros) unidos al dominio como principales de seguridad del dominio (es decir, se pueden usar para manejar seguridad de alguna forma) tienen una cuenta de equipo, que al igual que una cuenta de usuario tienen asociada una contraseña. A diferencia de una cuenta de usuario, la contraseña asociada a una cuenta de equipo es gestionada automáticamente por el equipo, que se encarga de resetearla y de cambiarla cada cierto tiempo (cada 30 días). Como pasa con un usuario, la cuenta de equipo se usa para concederle acceso a los recursos de la red, por lo que si la contraseña del equipo y la que está almacenada en el AD en el objeto de la cuenta de equipo no coinciden tienes un problema de validación. Esto suele pasar por varios motivos, como por ejemplo que el equipo no es capaz de contactar con un DC en más de 30 días, o que la contraseña de la cuenta de equipo se ha reseteado manualmente desde el AD. Yo revisaría la conectividad de ese equipo para confirmar que puede contactar con el DC en todo momento (revisa la configuración de DNS que como ya te comenté es FUNDAMENTAL). Por cierto, los equipos del dominio debería tener solo DNS del AD y nunca ningún DNS que no tenga relación directa (un DC) con el AD.

    Respecto al suceso 5781, revisa la nota técnica: Solucionar los sucesos 5774, 5775 y 5781 de Inicio de sesión de red

    Un saludo y espero que te sirva


    Twitter: @SantiFdezMunoz
    CursoHispano.com

    • Marcado como respuesta Uriel Almendra jueves, 2 de enero de 2014 19:17
    lunes, 23 de diciembre de 2013 12:21

Todas las respuestas

  • Hola llt0rresll,

    Vamos por partes, porque has hecho varias preguntas con bastante enjundia :)

    En una infraestructura Active Directory, los servidores DNS son una parte FUNDAMENTAL de la infraestructura, ya que es la base para localizar servicios críticos como los servidores de inicio de sesión, o los servicios de seguridad que permiten controlar la identidad (por ser escueto, aunque esto es muuuuucho más complicado) de los usuarios, dispositivos y equipos que se conectan a tu infraestructura de AD. Resumiendo, la repuesta a tu primera pregunta es que SI es obligatorio que el servidor DNS del Active Directory esté activo.

    Respecto a tu segunda pregunta, la del evento 7062, tiene pinta de que tu servidor DNS se está usando a si mismo como reenviador, delegado de zona o algo por el estilo. Te recomendaría que siguieras los pasos de esta nota técnica: Eventos de los registros DNS Server 7062: "el servidor DNS encontró un paquete dirigido a sí mismo"

    Ya por último, respecto a tu duda de la desconexión automática del dominio de un equipo comentarte que los equipos (o servidores miembros) unidos al dominio como principales de seguridad del dominio (es decir, se pueden usar para manejar seguridad de alguna forma) tienen una cuenta de equipo, que al igual que una cuenta de usuario tienen asociada una contraseña. A diferencia de una cuenta de usuario, la contraseña asociada a una cuenta de equipo es gestionada automáticamente por el equipo, que se encarga de resetearla y de cambiarla cada cierto tiempo (cada 30 días). Como pasa con un usuario, la cuenta de equipo se usa para concederle acceso a los recursos de la red, por lo que si la contraseña del equipo y la que está almacenada en el AD en el objeto de la cuenta de equipo no coinciden tienes un problema de validación. Esto suele pasar por varios motivos, como por ejemplo que el equipo no es capaz de contactar con un DC en más de 30 días, o que la contraseña de la cuenta de equipo se ha reseteado manualmente desde el AD. Yo revisaría la conectividad de ese equipo para confirmar que puede contactar con el DC en todo momento (revisa la configuración de DNS que como ya te comenté es FUNDAMENTAL). Por cierto, los equipos del dominio debería tener solo DNS del AD y nunca ningún DNS que no tenga relación directa (un DC) con el AD.

    Respecto al suceso 5781, revisa la nota técnica: Solucionar los sucesos 5774, 5775 y 5781 de Inicio de sesión de red

    Un saludo y espero que te sirva


    Twitter: @SantiFdezMunoz
    CursoHispano.com

    • Marcado como respuesta Uriel Almendra jueves, 2 de enero de 2014 19:17
    lunes, 23 de diciembre de 2013 12:21
  • Lo primero darte las Gracias por responder tan rápido.

    Me alegro saber que es obligatorio. Ahora me toca ponerme manos a la obra para entender más a fondo su funcionamiento.

    Con respecto el suceso 7062 lo estudio y te cuento, aunque no lo entiendo mucho lo investigo. Supongo que el otro suceso va asociado a este eror así que cuando tenga alguna respuesta te la posteo. Gracias de nuevo.

    lunes, 23 de diciembre de 2013 13:31
  • En lo personal pienso que el controlador de dominio no es necesario implementarlo si tienes algo de esto:

    Si tienes algunos equipos con Windows edición basic o home
    Aplicaciones que no requieren de domain controller (nunca he conocido alguna que lo requiera)
    Presencia de un firewall appliance como el que tienes.

    Si la cantidad de equipos es menos de 10 controladas por el dc, repito, en mi opinión personal, se vuelve innecesario. Es mejor dejar que las IP y DNS los controle el firewall.

    martes, 24 de diciembre de 2013 23:26
  • Hola llt0rresll,

    Tal como dijo Santiago, en una infraestructura de Active Directory es crítico el servicio de DNS. El servicio de DNS es el encargado, en alto nivel, de la resolución de nombres en tu dominio y la localicación de servicios. Es recomendable que todos los Controladores de Dominio en tu bosque sean tambien servidores DNS.

    Como configuración recomendada en tu red:

    • Todos los DCs deben tener el rol de DNS instalado.
    • Los DCs deben tener los servicios de Active Directory y DNS iniciados.
    • No deben encontrarse errores en los logs del Visor de Eventos de DNS y Active Directory.

    Configuración de equipos cliente.

    • Todos los equipos clientes dentro de la red deben tener configurado en su adaptador de red, como servidores DNS, a los Controladores de Dominio de tu red.
    • Esta configuración podes realizarla a través de DHCP.

    Teniendo regularizada esta situación, tus equipos clientes deben poder autenticarse y consumir los servicios en tu AD sin problemas.

    Si regularizada esta situación seguis verificando fallas o errores en tus servidores o en tus equipos clientes te invito a que los publiques en los foros.

    Espero que mi respuesta te sea de utilidad.

    Saludos.

    miércoles, 25 de diciembre de 2013 0:48