No se pueden unir estaciones de trabajo Win7 al dominio Win2k8

8

Estoy tratando de conectar una máquina con Windows 7 Ultimate a un dominio de Windows 2k8 y no funciona. Me sale este error:

Nota: Esta información está destinada a un administrador de red. Si no es el administrador de su red, notifique al administrador que recibió esta información, que se ha registrado en el archivo C: \ Windows \ debug \ dcdiag.txt.

Se consultó con éxito el DNS para el registro de recursos de ubicación de servicio (SRV) utilizado para ubicar un controlador de dominio para el dominio "ejemplo.local":

La consulta fue para el registro SRV para _ldap._tcp.dc._msdcs.example.local

La consulta identificó los siguientes controladores de dominio:
dc1.example.local
dc2.example.local

Sin embargo, no se pudo contactar a ningún controlador de dominio.

Las causas comunes de este error incluyen:

  • Los registros de host (A) o (AAAA) que asignan los nombres de los controladores de dominio a sus direcciones IP faltan o contienen direcciones incorrectas.

  • Los controladores de dominio registrados en DNS no están conectados a la red o no se están ejecutando.

El cliente está en una oficina conectada remotamente a través de MPLS al centro de datos donde existen nuestros controladores de dominio. Parece que no tengo nada que bloquee la conectividad a los DC, pero no tengo control total sobre el circuito MPLS, por lo que es posible que haya algo que bloquee la conectividad.

He probado varios clientes (Win7 Ultimate y WinXP SP3) en la única oficina y tengo los mismos síntomas en todos ellos.

No tengo problemas para conectarme a ninguno de los controladores de dominio, aunque, ciertamente, no he probado todos los puertos posibles. Las conexiones ICMP, LDAP, DNS y SMB funcionan bien.

El DNS del cliente apunta a los DC y "example.local" resuelve las dos direcciones IP de los DC.

Obtengo esta salida de la utilidad de línea de comandos de prueba de NetLogon:

C:\Windows\System32>nltest /dsgetdc:example.local
Getting DC name failed: Status = 1355 0x54b ERROR_NO_SUCH_DOMAIN

También he creado una red separada para emular la configuración de esa oficina que está conectada a la red DC a través de LAN-to-LAN VPN en lugar de MPLS. Unirse a computadoras con Windows 7 desde esa red remota funciona bien.

La única diferencia que puedo encontrar entre los dos entornos es la conectividad intermedia, pero no tengo ideas sobre qué probar o cómo hacerlo. ¿Qué pasos adicionales debo tomar?

(Tenga en cuenta que esta no es realmente la estación de trabajo de mi cliente y no tengo acceso directo a ella; me veo obligado a hacer un acceso remoto de manos a ella, lo que hace que algunos de los métodos obvios de solución de problemas, como la detección de paquetes, sean más difíciles. Si yo simplemente podría configurar un sistema allí en el que podría controlar remotamente, lo haría, pero las solicitudes a tal efecto han quedado sin respuesta).

Actualización del 25/08/2011:
me había DCDIAG.EXEejecutado en un cliente que intentaba unirse al dominio:

C:\Windows\System32>dcdiag /u:example\adminuser /p:********* /s:dc2.example.local

Directory Server Diagnosis

Performing initial setup:
   Ldap search capabality attribute search failed on server
   dc2.example.local, return value = 81

Parece que pudo conectarse a través de LDAP, pero lo que intentaba hacer falló. Pero no entiendo muy bien lo que estaba tratando de hacer, mucho menos cómo reproducirlo o resolverlo.

Actualización del 26/08/2011: el
uso LDP.EXEpara intentar establecer una conexión LDAP directamente con los DC produce estos errores:

ld = ldap_open ("10.0.0.1", 389);
Error <0x51>: no se pudo conectar a 10.0.0.1.
ld = ldap_open ("10.0.0.2", 389);
Error <0x51>: no se pudo conectar a 10.0.0.2.
ld = ldap_open ("10.0.0.1", 3268);
Error <0x51>: no se pudo conectar a 10.0.0.1.
ld = ldap_open ("10.0.0.2", 3268);
Error <0x51>: no se pudo conectar a 10.0.0.2.

Esto parecería señalar a las conexiones LDAP que están bloqueadas en alguna parte. (Y 0x51 == 81, que fue el error de DCDIAG.EXEla actualización de ayer). Podría jurar que probé esto TELNET.EXEhace semanas, pero ahora estoy pensando que podría haber asumido que al borrar la pantalla me decía que era esperando y no que se hubiera conectado.

Estoy rastreando problemas de conectividad LDAP ahora. Esta actualización puede convertirse en una respuesta.

windows-server-2008 windows-7 ldap active-directory wfaulk
fuente
3
Dado que DNS parece estar funcionando, sugeriría pegar NetMon o Wireshark en ambos extremos y capturar los paquetes para ver qué está sucediendo en el cable.
ITHedgeHog
Por cierto, me encanta la falta de ortografía en la dcdiagsalida.
wfaulk
¿Recibe algún mensaje de error / evento en los DC?
Grizly
@ Grizly: No es que lo haya visto, no.
wfaulk
¿Tiene acceso a algún dispositivo de red entre las estaciones de trabajo y los servidores? Desea verificar sus registros de filtrado / conexión y ver si alguno de ellos está cayendo / filtrando paquetes desde / hacia las estaciones de trabajo.
Ashley

Respuestas:

2

Tardó una eternidad en encontrar dónde estaba sucediendo, pero resulta que había filtros dentro de la VPN que bloqueaba el tráfico LDAP (y otros). Limpié esos filtros y ahora está funcionando.

wfaulk
fuente
2

Podría haber un firewall entre la máquina Win7 y los controladores de dominio.

Si tiene acceso a nmap :

nmap -PN -p389 dc1.example.local dc2.example.local

Actualizar:

nltest /dsgetdc:example.local

nslookup -q=srv _ldap._tcp.dc._msdcs.example.local  
nslookup -q=a $prefered_host  
ldapsearch -h $IPaddress_of_A_record -x -b "" -s base (&(DNSDomain=example.local)(HOST=$localmachineshostname)(NtVer=\\\\16\\\\00\\\\00\\\\00)) netlogon

NtVer está pidiendo V5 (inicio de sesión de la versión 5), V5EX (inicio de sesión extendido de la versión 5), VCS (cc más cercano). Tomado de Win7Ent.

(ldap hexadecimal es trixy).

84104
fuente
Como dije, la conectividad LDAP a los DC funciona bien.
wfaulk
Culpa mía. Todavía todo lo que nltest hace es 2 dns búsquedas y una búsqueda cldap. Actualizaré con el comportamiento.
84104
Buena informacion Comprobaré ambas cosas dos veces.
wfaulk
¿Alguien sabe si los registros PTR inexistentes para los DC serían un problema?
wfaulk
No debe ser; todas las demás máquinas se unieron sin ellas. nltestno los busca Verifique que el cliente pueda obtener el registro SRV. No piense que los servidores MS DNS tienen vista dividida, sino que se están quedando sin opciones.
84104
1

¿Parece que el win7 no está apuntando su DNS a un DC? ¿Quizás DHCP está apuntando DNS a los proveedores de internet DNS?

Alan
fuente
No, DNS definitivamente apunta a los DC. Creo que el hecho de que la búsqueda LDAP SRV funcionó lo confirma.
wfaulk
¿Puedes hacer ping al nombre de dominio sin el nombre de host? por ejemplo, si DC es DC1.mydomain.com, ¿puede hacer ping a mydomain.com desde el cuadro win7?
Alan
Sí. resuelve las direcciones IP de los dos DC.
wfaulk
Estoy sin ideas! ¡Buena suerte para ti!
Alan
0

Parece que ha probado y probado todo en lo que respecta al DNS, pero ¿ha verificado que los registros A para los servidores DC / DNS existen y son correctos? ¿Qué sucede cuando ejecuta nslookup probando en ambos servidores la presencia de los registros A para ambos servidores? ¿Los DC devueltos en el mensaje de error son realmente los servidores DC / DNS correctos para el dominio?

joeqwerty
fuente
Dado que unirse al dominio funciona bien desde una red diferente, no creo que sea algo tan fundamental como eso.
wfaulk
Lo siento, me perdí esa parte.
joeqwerty
¿Se ha asegurado de que el tráfico a través de los siguientes puertos está atravesando el circuito MPLS: tráfico Microsoft-DS (445 / tcp, 445 / udp) • Protocolo de autenticación Kerberos (88 / tcp, 88 / udp) • Protocolo ligero de acceso a directorios (LDAP) (389 / udp) • Sistema de nombres de dominio (DNS) (53 / tcp, 53 / udp)
joeqwerty
0

¿Existe la posibilidad de que el cliente en la oficina remota solo ejecute IPv6 y si bien encuentra el registro SRV para DC, DNS no está configurado con registros AAAA (IPV6)?

Stephen Short
fuente
Interesante suposición, pero no.
wfaulk