none
Problemas con clientes y controlador de dominio RRS feed

  • Pregunta

  • Hola.

    Tengo un ambiente de Citrix XenDesktop y constantemente debo reiniciar las maquinas virtuales por bloqueo. desde hace tiempo estoy recolectando logs en las maquina virtuales y todos los eventos apuntan a que es un problema entre el cliente y el controlador de dominio o entre los controladores de dominio.

    Los siguientes test he realizado en el cliente Windows 7 en el momento del problema:

    también he intenta actualizar las directivas de grupo de la maquina virtual en el momento de la falla, pero el comando no termina de ejecutarse:

    Luego observo en el visor de eventos y observo el siguiente mensaje:

    Una herramienta de diagnostico de Citrix ejecutada en el momento que una maqunia virtual falla muestra este mensaje:

    Tambien al ejecutar el comando setspn -l namemachine en la maquina virtual en el momento del problema se recibe lo siguiente:


    En el siguiente pantallazo muestra el comando netstat -ano ejecuta en una maqunia con el error, los controladores de dominio son 192.168.100.144 y 146. observo el puerto 49155 SYN_SENT (aunque este puerto está permitido en el firewall, de hecho. se hace un test y el puerto responde)

    DATOS A TENER EN CUENTA:

    • la maquina virtual y los      controladores de dominio se encuentran en diferente VLAN.
    • las maquinas virtuales      pueden ver los controladores de dominio a traves de un Firewall (los      puertos requeridos han sido abiertos y permitidos
    • La maquina virtual funciona      correctamente despues de reiniciarla
    • Tengo 3 controladores de      dominio, 2 Windows Server 2008 R2 y 1 Windows Server 2003
    • El problema se presenta      constantemente en el dia y en diferentes maquinas virtuales
          
           Agradezco me puedan ayudar, Gracias.

    Camilo Alvarez Ing. de soporte



    • Editado kmylozz viernes, 27 de noviembre de 2015 13:26
    jueves, 26 de noviembre de 2015 21:02

Respuestas

  • Hola.

    he encontrado el problema, en las tarjetas de red de los servidores DNS estaba como tercer DNS 127.0.0.1. al quitarlo en ambos servidores de dejar solo 192.168.100.144 y 192.168.100.146 los clientes no presentan el error.

    Ahora solo queda esperar a ver si, el problema de aislamiento de los clientes virtuales se ha solucionado.

    Gracias por el apoyo.


    Camilo Alvarez Ing. de soporte

    • Marcado como respuesta kmylozz jueves, 7 de enero de 2016 19:19
    jueves, 7 de enero de 2016 19:19

Todas las respuestas

  • Hola Camilo, hay errores "variados", va a ser difícil que desde acá se pueda dar en la causa base, pero intentaremos :)

    Hago primero un resumen de los errores que veo de las pantallas:

    - RPC no disponible, es un error genérico, lo único que indica es no poder conectarse, pero no da ninguna pista del motivo

    - Por supuesto que si no tiene conectividad no podrá aplicar GPOs

    - En los errores de la GPO, hay dos pistas muy importantes:
    1.- Problemas en la resolución de nombre de Dominio
    2.- Un problema de replicación entre los Controladores de Dominio

    - La utilidad de Citrix está avisando que no se está usando Kerberos, esto además de un problema de seguridad, implica que hay problemas con los controladores de Dominio

    Para tratar de comprender la situación, elije uno o dos mejor, Controladores de Dominio, y pon por acá la salida de un IPCONFIG /ALL (si hay más de dos habría que revisar todos), y lo mismo para un cliente con problemas. Si el problema viene por la configuración IP, es fácil de resolver, porque una sola cosa mal configurada acarrea muchísimos errores :)

    No hay problema que ocultes los nombres reales, reemplazalos por ejemplo por "dominio.local"

    Pero revisa las capturas que pusiste que en una quedó expuesto un nombre real ;)

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Propuesto como respuesta Moderador M viernes, 27 de noviembre de 2015 16:38
    jueves, 26 de noviembre de 2015 21:59
    Moderador
  • Gracias Guillermo por tu pronta respuesta.

    te envío la siguiente informacion:

    CONTROLADORES DE DOMINIO:

    DC01:

    DC02:

    DC3: (Windows server 2003. se encuentra en una regional diferente que se conecta por canal dedicado)

    DC03: (Windows Server 2008 R2, este pronto remplazará el 2003)

    CLIENTES (envio solo dos pantallazos de maquinas virtuales escogidas al azar, ya que el problema se presenta en cualquier maquina)

    CLIENTE1:

    CLIENTE2:


    Camilo Alvarez Ing. de soporte

    viernes, 27 de noviembre de 2015 14:20
  • Estimado,

    Compruebe que el cliente puede hacer ping correctamente al servidor que tiene problemas de conectividad. Por ejemplo, si tiene problemas para comunicarse con un servidor llamado DC1 cuya dirección IP es 192.168.1.200, use el siguiente comando en el símbolo del sistema para comprobar que el DNS resuelve correctamente el host DC1:

    Ping -a 192.168.1.200

    Asegúrese de usar el parámetro -a con la dirección IP, no con el nombre de host.(DA ALGUNA INTERMITENCIA, NO RESUELVE EL NOMBRE BIEN).

    =========================================

    Portqry -n (Servidor) -e 135.

    Esto lo utiliza el RPC. (LE da algun error??)

    Por otro lsdo utlice las siguientes herramientas, y en las que se incluya algun error, postealo:

    Repadmin /kcc
    repadmin /syncall
    repadmin /bridgeheads

    Y para DNS:

    Dcdiag /test:DNS /v /e >c:\dns.txt

    dcdiag /test:CheckSecurityerror

    dcdiag /test:verifyreplicas

    En espera de tus comentarios.

    Saludos,


    Edwin Duran Ospina Si la respuesta ha Colaborado con tu solución, favor marcarla como correcta.

    viernes, 27 de noviembre de 2015 14:44
  • Ya estoy viendo configuraciones "sospechosas" :)

    - Al tener dos interfaces de red, sobre redes diferentes hay que ver cuál es la que utiliza como preferida. En la ventana de las conexiones de red, con la tecla ALT / Advanced / Advanced Settings, revisa cuál es la que está más arriba, esa es la que trata de usar por omisión. Quizás cambiando el orden ... (en la misma pantalla)

    - Una dirección IP 172.17.50.3 / 255.255.255.252 no es una dirección válida de red, ya que corresponde a la dirección de Broadcast de la subrred :)
    Con esa máscara son válidas únicamente .1 y .2

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Propuesto como respuesta Moderador M viernes, 27 de noviembre de 2015 16:39
    • Votado como útil kmylozz viernes, 27 de noviembre de 2015 17:04
    viernes, 27 de noviembre de 2015 16:09
    Moderador
  • Hola Guillermo, se me olvido aclarar ese punto.

    Tenemos dos tipos de maquinas, aprovisionadas y dedicadas.

    1. La tarjeta de red adicional que observas es una red virtual para el boot del SO de las maquinas aprovisionadas (por esto no es "valida" pues no tiene puerta de enlace ni dns)

    2. las maquinas dedicadas - CLIENTE 2 son maquinas comunes y solo tienen una tarjeta de red.

    En resumen, el problema de comunicacion con el controlador de dominio se presenta en ambas arquitecturas de maquinas virtuales por lo que "descarto" que sea problema de la segunda tarjeta de red.

    Adicional, me he asegurado que en las maquinas aprovisionadas sea la red valida la preferida


    Camilo Alvarez Ing. de soporte

    viernes, 27 de noviembre de 2015 16:29
  • Tienes zona reversa en tu dominio??

    En espera de tus comentarios.


    Edwin Duran Ospina Si la respuesta ha Colaborado con tu solución, favor marcarla como correcta.

    viernes, 27 de noviembre de 2015 16:39
  • Hola Edwin.

    1. los comandos ping -a dc devuelven los nombres correctos de los controladores de dominio.

    2. Resultados con "errores" en una maquina sin problema en el momento (las maquinas fallan en cualquier momento, especialmente cuando un usuario intenta iniciar sesion)



    NOTA: los comandos repadmin los habia ejecutado anteriormente en una maquina con el problema y el resultado es "The RPC server is unavailable alias domain"

    Como puedo subir el archivo txt resultado del comando Dcdiag /test:DNS /s:domain.local /v /e > c:\dns.txt en este foro?

    Gracias.



    Camilo Alvarez Ing. de soporte

    viernes, 27 de noviembre de 2015 17:03
  • Respondo sólo una parte de esta, y luego sigo al final

    Una máscara de red 255.255.255.252, implica que el identificador de red son 20bit, luego las direcciones posibles para identificar las interfaces son sólo 2:

    - 00: No válida porque es el identificador de red
    - 01: Es válida 172.17.50.1
    - 10: Es válida 172.17.50.2
    - 11: No es válida porque es la correspondiente al "Subnet Broadcast"(172.17.50.3)

    Habría que analizarlo pero esto te puede estar produciendo un "Tormenta de Broadcast" (Storm Broadcast) que colapse la red

    Que no tenga DNS o Puerta de Enlace no la hace para nada inválida

    Sigo pensando por el resto ...

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    viernes, 27 de noviembre de 2015 17:54
    Moderador
  • "RPC unavailable" es básicamente igual a "no puedo conectar", pero en el que pones hay algo interesante, porque los controladores de Dominio necsitan sí o sí el alias del Dominio para replicar entre sí. Lo encuentras en la zona "_msdcs. ..."

    Pensando ahora para el tema de problemas de replicación

    Con estos comandos puedes ver si está funcionando la replicación, cuando fue la última y si hay errores

    - repadmin /showrepl

    - repadmin /replsummary

    Revisa también que en la zona "_msdcs. ..." contenga los mismos registros (SRV) en todos los DCs

    Por el tema de subir archivos, es imposible acá, y además sería muy tedioso para leerlos. Súbelos a Ondrive, GoogleDrive, o el que quieras y que puedas compartir

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    viernes, 27 de noviembre de 2015 18:14
    Moderador
  • Compartiendo lo mismo que dice Guillermo.

    Revisate en tu DNS que en la Zona Forward este _msdcs.

    De igual manera revisa los siguientes puertos para RPC Server Application:

    Aplicación Servidor RPC

    Puerto

    TCP

    UDP

    Comentarios

    Servidor DNS

    53

     

    Kerberos

    88

     

    Servidor LDAP

    389

     

    Microsoft-DS

    445

    LDAP SSL

    636

     

    Servidor de catálogo global

    3268

     

     

    Servidor de catálogo global

    3269

     

    Por medio de este comado de ayudara:

    c: \> PortQuery -n <fuente de CC> -e 135> archivo.txt

    Te tendria que dar un resultado como este:

    De ServidorA a ServerB:
    portqry -n ServerB.xyz.domain.com -p udp -e 389 | pasado
    portqry -n ServerB.xyz.domain.com -p tcp -e 389 | pasado

    Y por ulimo verifica los Protocolos del Cliente en la siguiente ruta del registro:

    HKLM \ Software \ Microsoft \ Rpc \ ClientProtocols

    Los cinco valores son:

    Avisame como te va.

    En espera de tus comentarios.


    Edwin Duran Ospina Si la respuesta ha Colaborado con tu solución, favor marcarla como correcta.

    viernes, 27 de noviembre de 2015 18:32
  • Hola.

    les comparto el resultado del comando Dcdiag /test:DNS /s:domain.local /v /e > c:\dns.txt

    https://www.dropbox.com/s/uxkaze3cap753n5/dns.txt?dl=0

    Edwin, si hay zona reversa en el dominio.

    Los puertos propuestos por edwin anteriormente les habia hecho test y todos han pasado






































    Aplicación Servidor RPC

    Puerto

    TCP

    UDP

    Comentarios

    Servidor DNS

    53

     PASADO

    Kerberos

    88

     PASADO

    Servidor LDAP

    389

     PASADO

    Microsoft-DS

    445

    PASADO

    LDAP SSL

    636

     PASADO

    Servidor de catálogo global

    3268

     

     PASADO

    Servidor de catálogo global

    3269

    √   PASADO

    Edwin, revisando los cliente todos los protocolos cliente se encuentran en el regedit.


    Camilo Alvarez Ing. de soporte


    • Editado kmylozz viernes, 27 de noviembre de 2015 21:54
    viernes, 27 de noviembre de 2015 21:34
  • Hola Guillermo.

    Pregunta, porque y de donde deduces esto "los controladores de Dominio necesitan sí o sí el alias del Dominio para replicar entre sí"

    Adjunto resultados de comandos:

    NOTA:

    Los comandos estan siendo ejecutados en maquinas virtuales cliente y no directamente en los controladores de dominio, esto afecta en algo el resultado?

    Gracias.


    Camilo Alvarez Ing. de soporte

    viernes, 27 de noviembre de 2015 21:50
  • Hola Camilo, no lo hemos solucionado pero creo que estamos encontrando por dónde viene el problema

    En las capturas que tienes hay errores de replicación, aunque actualmente esté replicando, por lo que me da para pensa que hay alguna condición, que sea transitoria, es la que está "molestando"

    Una pregunta, cuando dices que "el cliente se bloquea" ¿qué es lo que realmente sucede? ¿se queda congelado? ¿pantalla azul? ¿lo haz dejado un tiempo a ver si vuelve a funcionar?

    Por el motivo de por qué registran los alias, primero la "respuesta tonta" :) porque de otra forma no lo harían :) Y ahora de verdad, porque es lo que usan los Controladores de Dominio para identificarse cada uno; si te fijas son identificadores

    Los comandos para diagnósitico de AD siempre conviene hacerlos en los Controladores de Dominio, y aún más, en cada uno de ellos y compararlos

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    sábado, 28 de noviembre de 2015 10:32
    Moderador
  • Hola Guillermo.

    Cuando digo que el cliente se "bloquea" hago referencia a que se aíslan del controlador de XenDesktop (no olvidar que son maquinas virtuales en Citrix) y al intentar iniciar sesion a traves de consola en la maquina virtual de demora iniciando sesion, no hay forma de que se comunique con XenDesktop si no es reinciando la maquina. (como anotacion, cabe nombrar que la maquina no pierde red, pues reponde ping a los demas servicios y al controlador de dominio en el momento que presenta la falla, navegacion y aplicaciones cliente-servidor siguen funcionando)

    Envío algunos pantallazos del panel "best practice" ejecutados en el Server Manager:

    Best Practice role domain controller:

    Best practice role DNS:

    Best Practice DNS:

    _msdcs:


    Agradezco su amable ayuda.

    Gracias.


    Camilo Alvarez Ing. de soporte



    • Editado kmylozz lunes, 30 de noviembre de 2015 13:31 Agregar una nueva imagen
    lunes, 30 de noviembre de 2015 12:46
  • Hola Camilo, lamentablemente, no sé si por mi resolución de pantalla o por la de las figuras no alcanzo a leer ninguna de las BPAs, sólo la del error

    Ahí veo algo que me llama mucho la atención, porque dice que no encuentra la zona "_msdcs. ..." y eso es grave. Lo que no sé es si ese error lo haz visto en el propio Controlador de Dominio, en todos, o en los clientes, porque ese dato es importante

    Justamente en dicha zona es donde los clientes buscan qué servidores proveen los servicios Kerberos, LDAP, etc. que en definitiva son los que permiten que pueda encontrar a los Controladores de Dominio

    Resumiendo ¿esa zona está presente en todos los DCs? ¿está integrada en AD? ¿Tiene replicación a todos los DNS (y DCs) del Bosque?

    Y la pregunta que no puede faltar ¿nadie anduvo "jugando" con los permisos de la zona o de los registros? :)

    Si tienes algún DC+DNS que esté "bien", compara los registros de la zona

     

    [Edito] Agrego algo que me olvidé

    ¿Qué sucede si haces un NSLOOKUP sobre un registro de la zona? E inclusive con NSLOOKUP puedes seleccionar a qué DNS va la pregunta; repite para cada DC a ver cuál falla

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.


    lunes, 30 de noviembre de 2015 21:38
    Moderador
  • Hola.

    si das click derecho sobre la imagen y posteriormente "ver imagen" no puedes ver full la imagen? ya que a mi me sucede lo mismo pero haciendo ese procedimiento se ver full.

    Gracias.


    Camilo Alvarez Ing. de soporte

    lunes, 30 de noviembre de 2015 21:50
  • Hola Guillermo

    El error lo veo en los controladores de dominio al ejecuta el análisis de best practice que trae el mismo servidor. (en ambos controladores 2008 R2 se observa el mismo error)

    Parece que la zona no se encuentra en los DNS:

    * No tengo mas DNS o Controladores que "esten bien"

    * estos controladores de dominio han sido migrados desde Server 2003


    Camilo Alvarez Ing. de soporte

    lunes, 30 de noviembre de 2015 22:35
  • Ahova me van cerrando algunas cosas :) El dato de haber sido migrado desde W2003 da un dato importante, ya que en este caso, seguro que en W2000, pero no tanto con W2003, la zona "_mscdcs.tudominio.suf"  en realidad no era una zona separada sino que estaba dentro de "tudominio.suf". Luego se optó una mejora importante que fue sacarla como zona independiente, y hacer la delegación dentro de la zona "tudominio.com"

    Revisa si dentro de la zona "_msdcs. ..." que tienes dentro de "tudominio.com" están los registros o hay sólo Registros NS

    La zona "_msdcs.tudominio.com" debería estar "colgando" directamente desde "Forward lookup zones", inclusive hay un artículo en la base de conocimientos de Microsoft de cómo moverla

    Es evidente todo el problema se crear porque no encuentra dicha zona, por lo que yo me centraría en resolver eso

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    martes, 1 de diciembre de 2015 14:04
    Moderador
  • Hola Guillermo.

    la zona msdcs existe debajo en el dominio principal, al parecer este puede ser el problema. intentaré moverla a la zona directa y te cuento el resultado.

    Tienes alguna recomendación para realizar esto?

    Es recomendación moverla o crearla desde cero?

    Gracias.


    Camilo Alvarez Ing. de soporte

    martes, 1 de diciembre de 2015 14:41
  • Revisa este enlace, pero también ten en cuenta el segundo

    How to reconfigure an _msdcs subdomain to a forest-wide DNS application directory partition when you upgrade from Windows 2000 to Windows Server 2003
    https://support.microsoft.com/en-us/kb/817470

    Event ID 4515 is logged in the DNS Server log in Windows Server 2003
    https://support.microsoft.com/en-us/kb/867464

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Propuesto como respuesta Moderador M martes, 1 de diciembre de 2015 16:42
    • Marcado como respuesta Moderador M viernes, 4 de diciembre de 2015 19:38
    • Desmarcado como respuesta Moderador M miércoles, 20 de enero de 2016 19:27
    martes, 1 de diciembre de 2015 15:43
    Moderador
  • Hola Guillermo.

    acabo de crear la zona de acuerdo a las sugerencias. pero aun así, al ejecutar dcdiag /test:dns dice que no existe la zona _msdcs

    Si ejecuto el dcdiag /test:dns en localhost no muestra errores, pero desde un cliente al servidor dns dice que no existe la zona.

    Alguna idea?

    Gracias.


    Camilo Alvarez Ing. de soporte

    miércoles, 6 de enero de 2016 19:06
  • esto es lo que aparece, aunque ya se encuentran todos estos registros creados:

    Diagn??stico del servidor de directorio


    Realizando instalaci??n inicial:

       * Se identific?? el bosque de AD. 
       Recopilaci??n de informaci??n inicial finalizada.


    Realizando pruebas requeridas iniciales


       Probando servidor: Nombre-predeterminado-primer-sitio\SVRADS01

          Iniciando prueba: Connectivity

             ......................... SVRADS01 super?? la prueba Connectivity



    Realizando pruebas principales


       Probando servidor: Nombre-predeterminado-primer-sitio\SVRADS01


          Iniciando prueba: DNS



             Las pruebas de DNS se est??n ejecutando y responden. Espere unos

             minutos...

             ......................... SVRADS01 super?? la prueba DNS


       Ejecutando pruebas de partici??n en: ForestDnsZones


       Ejecutando pruebas de partici??n en: DomainDnsZones


       Ejecutando pruebas de partici??n en: Schema


       Ejecutando pruebas de partici??n en: Configuration


       Ejecutando pruebas de partici??n en: example


       Ejecutando pruebas de empresa en: example.edu.co

          Iniciando prueba: DNS

             Resultados de pruebas para controladores de dominio:


                DC: SVRADS01.example.edu.co

                Dominio: example.edu.co




                   TEST: Records registration (RReg)
                      Adaptador de red

                      [00000007] Intel(R) PRO/1000 MT Network Connection:

                         Advertencia: 
                         Falta el registro CNAME en el servidor DNS

                         192.168.100.144: 
                         11d34224-c91e-484b-ba99-bba86057d66c._msdcs.example.edu.co

                         Advertencia: 
                         Falta el registro A en el servidor DNS 192.168.100.144:
                         SVRADS01.example.edu.co

                         Error: 
                         Falta el registro SRV en el servidor DNS 192.168.100.144:
                         _ldap._tcp.example.edu.co

                         Error: 
                         Falta el registro SRV en el servidor DNS 192.168.100.144:
                         _ldap._tcp.0184f14e-978e-4ee5-a4c6-e0c4271244f5.domains._msdcs.example.edu.co

                         Error: 
                         Falta el registro SRV en el servidor DNS 192.168.100.144:
                         _kerberos._tcp.dc._msdcs.example.edu.co

                         Error: 
                         Falta el registro SRV en el servidor DNS 192.168.100.144:
                         _ldap._tcp.dc._msdcs.example.edu.co

                         Error: 
                         Falta el registro SRV en el servidor DNS 192.168.100.144:
                         _kerberos._tcp.example.edu.co

                         Error: 
                         Falta el registro SRV en el servidor DNS 192.168.100.144:
                         _kerberos._udp.example.edu.co

                         Error: 
                         Falta el registro SRV en el servidor DNS 192.168.100.144:
                         _kpasswd._tcp.example.edu.co

                         Error: 
                         Falta el registro SRV en el servidor DNS 192.168.100.144:
                         _ldap._tcp.Nombre-predeterminado-primer-sitio._sites.example.edu.co

                         Error: 
                         Falta el registro SRV en el servidor DNS 192.168.100.144:
                         _kerberos._tcp.Nombre-predeterminado-primer-sitio._sites.dc._msdcs.example.edu.co

                         Error: 
                         Falta el registro SRV en el servidor DNS 192.168.100.144:
                         _ldap._tcp.Nombre-predeterminado-primer-sitio._sites.dc._msdcs.example.edu.co

                         Error: 
                         Falta el registro SRV en el servidor DNS 192.168.100.144:
                         _kerberos._tcp.Nombre-predeterminado-primer-sitio._sites.example.edu.co

                         Error: 
                         Falta el registro SRV en el servidor DNS 192.168.100.144:
                         _ldap._tcp.gc._msdcs.example.edu.co

                         Advertencia: 
                         Falta el registro A en el servidor DNS 192.168.100.144:
                         gc._msdcs.example.edu.co

                         Error: 
                         Falta el registro SRV en el servidor DNS 192.168.100.144:
                         _gc._tcp.Nombre-predeterminado-primer-sitio._sites.example.edu.co

                         Error: 
                         Falta el registro SRV en el servidor DNS 192.168.100.144:
                         _ldap._tcp.Nombre-predeterminado-primer-sitio._sites.gc._msdcs.example.edu.co

                         Error: 
                         Falta el registro SRV en el servidor DNS 192.168.100.144:
                         _ldap._tcp.pdc._msdcs.example.edu.co

                   Error: no se encuentran registrados los registros de ning??n

                   adaptador de red


             Resumen de resultados de la prueba DNS:


                                                Aut. B??s. Reenv. Del. Din. RReg.

                Ext.
                _________________________________________________________________
                Dominio: example.edu.co

                   SVRADS01                     PASS PASS PASS PASS PASS FAIL n/a  

             ......................... example.edu.co no super?? la prueba DNS

                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                       

    Camilo Alvarez Ing. de soporte

    miércoles, 6 de enero de 2016 20:31
  • Entiendo que tienes creadas las dos zonas ¿o una está "dentro" de otra (example.edu.co y _msdcs.example.edu.co)

    Paso siguiente, verificar en ambas zonas, o en una si así fuera, que estén permitidas las actualizaciones dinámicas. Lo recomendable es que además sean seguras, pero para ver si el probema viene por ese lado, momentáneamente se podría sacar el requerimiento de que sean seguras

    Entiendo que ese Controlador de Dominio tiene dirección IPv4 192.168.100.144 ¿es así?

    Controla que esté configurado para usar como DNS únicamente a sí mismo

    Ejecuta dos comandos desde un CMD ejecutado como administrador:

    - IPCONFIG /REGISTERDNS

    - NET STOP NETLOGON && NET START NETLOGON (pueden pasar hasta 15 minutos hasta que hace la registración)

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    miércoles, 6 de enero de 2016 20:43
    Moderador
  • Hola.

    Tengo dos DNS. el DC01 (192.168.100.144) y DC02 (192.168.100.146)

    en el DC01 los dns esta configurados asi: primario 192.168.100.146 y secundario 192.168.100.144

    en el DC02 los dns esta configurador asi: primario 192.168.100.144 y secundario 192.168.100.146

    Actualizaciones dinámicas:


    y por ultimo, solo tengo una zona:


    Camilo Alvarez Ing. de soporte


    • Editado kmylozz miércoles, 6 de enero de 2016 21:17 actualizacion de imagen
    miércoles, 6 de enero de 2016 21:06
  • ¿Qué sucedió luego de los dos comandos, y el tiempo de espera?

    Si revisas cada zona ¿están los registros? Revísa en ambos Controladores de Dominio, y muy importante, controla que estén replicando, o directamente fuerza la replicación en ambos sentidos

    En ambos DNSs tienen que estar exactamente los mismos registros (salvo el SOA apuntando a cada uno)

    En la zona "_msdcs" grisada ¿existen los registros NS?

    Entiendo, y es lógico que ocultes el nombre del Dominio, pero controla que sea el mismo en ambas zonas, porque me parece ver que fueran distintos, salvo que el ocultamiento no lo hayas hecho igual. En uno se ve una "i" o "J" final que en el otro no se observa

    Por lo anterior es evidente que el problema está en la registración en el .144, así que en ese hay que centrarse

    Para acotar el problema puedes por ejemplo poner en ambos como DNS al .146 y ver si el problema persiste, porque podría ser un problema de replicación

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    miércoles, 6 de enero de 2016 21:30
    Moderador
  • Hola.

    1. despues de los comandos sigue igual el error.

    2. los dominios son iguales, al recortar la imagen se ven distintos.

    3. cada zona contiene los registros

    4. los controladores replican los cambios entre ellos

    5. en ambos DNS se encuentran los mismos registros

    6. el log que subi es de un dcdiag /test:dns /s:DC01 por lo que muestra error en el 144. si ejecuto el comando al DC02 es lo mismo errores con ip 146.

    7. coloque los DNS a si mismos sin obtener resultados positivos.

    8. en la zona agrisada si aparecen los registros NS.


    Camilo Alvarez Ing. de soporte


    • Editado kmylozz miércoles, 6 de enero de 2016 21:48 agregar respuesta
    miércoles, 6 de enero de 2016 21:40
  • Hola. si de algo sirve, adjunto resultado del comando dnslint /ad 192.168.100.144 /s 192.168.100.146

    DNSLint Report

    System Date: Wed Jan 06 17:36:04 2016

    Command run:

    dnslint /ad 192.168.100.144 /s 192.168.100.146

    Root of Active Directory Forest:

        example.edu.co

    Active Directory Forest Replication GUIDs Found:

    DC: SVRADS01
    GUID: 11d34224-c91e-484b-ba99-bba86057d66c

    DC: SVRADS02
    GUID: c5189297-8df6-4880-a3f4-4db40c8ad746

    DC: SVRADS03
    GUID: 72c58adf-b54a-4027-baa6-72b19298f3cc


    Total GUIDs found: 3
    The following 2 DNS servers were checked for records related to AD forest replication:

    DNS server: svrads02.example.edu.co
    IP Address: 192.168.100.146
    UDP port 53 responding to queries: YES
    TCP port 53 responding to queries: Not tested
    Answering authoritatively for domain: YES

    SOA record data from server:
    Authoritative name server: svrads02.example.edu.co
    Hostmaster: hostmaster.example.edu.co
    Zone serial number: 51
    Zone expires in: 1.00 day(s)
    Refresh period: 900 seconds
    Retry delay: 600 seconds
    Default (minimum) TTL: 3600 seconds

    Additional authoritative (NS) records from server:
    svrads01.example.edu.co Unknown
    svrads02.example.edu.co Unknown

    Alias (CNAME) and glue (A) records for forest GUIDs from server:
    CNAME: 11d34224-c91e-484b-ba99-bba86057d66c._msdcs.example.edu.co
    Alias: svrads01.example.edu.co
    Glue: 192.168.100.144

    CNAME: c5189297-8df6-4880-a3f4-4db40c8ad746._msdcs.example.edu.co
    Alias: svrads02.example.edu.co
    Glue: 192.168.100.146

    CNAME: 72c58adf-b54a-4027-baa6-72b19298f3cc._msdcs.example.edu.co
    Alias: svrads03.example.edu.co
    Glue: 10.28.1.81


    Total number of CNAME records found on this server: 3

    Total number of CNAME records missing on this server: 0

    Total number of glue (A) records this server could not find: 0
    DNS server: svrads01.example.edu.co
    IP Address: 192.168.100.144
    UDP port 53 responding to queries: YES
    TCP port 53 responding to queries: Not tested
    Answering authoritatively for domain: YES

    SOA record data from server:
    Authoritative name server: svrads01.example.edu.co
    Hostmaster: hostmaster.example.edu.co
    Zone serial number: 51
    Zone expires in: 1.00 day(s)
    Refresh period: 900 seconds
    Retry delay: 600 seconds
    Default (minimum) TTL: 3600 seconds

    Additional authoritative (NS) records from server:
    svrads02.example.edu.co Unknown
    svrads01.example.edu.co Unknown

    Alias (CNAME) and glue (A) records for forest GUIDs from server:
    CNAME: 11d34224-c91e-484b-ba99-bba86057d66c._msdcs.example.edu.co
    Alias: svrads01.example.edu.co
    Glue: 192.168.100.144

    CNAME: c5189297-8df6-4880-a3f4-4db40c8ad746._msdcs.example.edu.co
    Alias: svrads02.example.edu.co
    Glue: 192.168.100.146

    CNAME: 72c58adf-b54a-4027-baa6-72b19298f3cc._msdcs.example.edu.co
    Alias: svrads03.example.edu.co
    Glue: 10.28.1.81


    Total number of CNAME records found on this server: 3

    Total number of CNAME records missing on this server: 0

    Total number of glue (A) records this server could not find: 0
    Legend: warning, error

    DNSLint developed by Tim Rains


    Camilo Alvarez Ing. de soporte

    miércoles, 6 de enero de 2016 23:08
  • Hola Camilo, hay cosas que no comprendo de tu ambiente, o estás haciendo otros cambios

    Primero aparece que falta el registro A del servidor (en el DCDIAG), pero en el último aparece correctamente

    Realmente no me doy cuenta qué es lo que está sucediendo, porque no hay demasiada ciencia con el tema:

    - Que los DCs+DNS tengan las zonas creadas, y permitidas las actualizaciones dinámicas seguras

    - Que los todas las máquinas del Dominio tengan configurado para usar como DNS únicamente a los DNSs que resuelven el AD

    No hay otra cosa diferente

    Quizás sea algún problema por la forma que se está usando el Citrix, no lo sé realmente ...

    Pienso que deberías revisar toda la infraestructura para tratar de resolve el problema, o eventualmente verlo con un consultor pero en forma local. Por este medio a mí personalmente se me acaban las posibilidades de ayuda

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    jueves, 7 de enero de 2016 10:23
    Moderador
  • Hola Guillermo.

    El tema es que, mi controlador de dominio-DNS han sido migraciones desde Windows 2000. ahora que nos dimos cuenta que la zona _msdcs no existe en la zona directa pues la he creado siguiendo los pasos que se plantean en internet. la zona fue creada exitosamente y al parecer todos los registros SRV y demás aparecen dentro de la zona mencionada. ahora el problema se presenta al hacer un dcdiag /test:dns a los controladores de dominio desde cualquier cliente (sea virtual-Citrix o fisico) pues aun sigue diciendo que no se encuentran los registros en la zona _msdcs

    Esto es muy raro, como menciono anteriormente la zona fue creada en el DNS principal y se replicó en los demás DNS.


    Camilo Alvarez Ing. de soporte

    jueves, 7 de enero de 2016 13:05
  • Estimado,

    Puedes hacer el siguiente procedimiento?

    Abrir un CMD y escribir lo siguiente:

    • Net stop netlogon
    • Net stop DNS
    • Ipconfig /flushDNS
    • Nbtstat -R
    • Nbtstat -RR
    • Net Start DNS
    • Net start netlogon
    • Luego intente replicar.

    Si el problema persiste, debes revisar los Link o Switch de tu red.


    En espera de tus comentarios.

    Saludos,


    Edwin Duran Ospina Si la respuesta ha Colaborado con tu solución, favor marcarla como correcta.

    jueves, 7 de enero de 2016 13:37
  • Hola.

    he encontrado el problema, en las tarjetas de red de los servidores DNS estaba como tercer DNS 127.0.0.1. al quitarlo en ambos servidores de dejar solo 192.168.100.144 y 192.168.100.146 los clientes no presentan el error.

    Ahora solo queda esperar a ver si, el problema de aislamiento de los clientes virtuales se ha solucionado.

    Gracias por el apoyo.


    Camilo Alvarez Ing. de soporte

    • Marcado como respuesta kmylozz jueves, 7 de enero de 2016 19:19
    jueves, 7 de enero de 2016 19:19
  • Camilo, que raro que eso hay solucioando el problema, porque el loopback es una buena practica de Microsofot, tanto para IPv4 127.0.0.1 y para IPv6 ::1.

    Pero si dices que se soluciono, genial :)


    Edwin Duran Ospina Si la respuesta ha Colaborado con tu solución, favor marcarla como correcta.

    jueves, 7 de enero de 2016 20:13
  • Hola, yo tambien pienso lo mismo.

    aun asi, hice la prueba en un controlador de dominio de prueba y al agregar 127.0.0.1 como DNS secundario empieza a mostrar el mismo error.

    Saludos!


    Camilo Alvarez Ing. de soporte

    jueves, 7 de enero de 2016 20:19
  • Hola Compañeros, las noticias no son tan buenas. aun solucionando los errores en los DNS el problema de "aislamiento" de los clientes se sigue presentando. sigo recibiendo error RPC

    alguna idea?

    Gracias.


    Camilo Alvarez Ing. de soporte

    lunes, 18 de enero de 2016 13:56