Question

Saludos.
Cómo validar el acceso a dominio a los usuarios en un controlador de dominio de su edificio, que ha quedado sin enlace de comunicaciones...
La situación es la siguiente: tengo dos controladores de dominio que manejan prácticamente el dominio total. Mi primer controlador tiene las funciones de maestro de opraciones (RID, controlador principal de dominio, infraestructura). Allí los usuarios de mi edificio se validan en dominio correctamente.

En otro edificio a 2 km del mío, esta un controlador de dominio al que no se le incluyó el DNS puesto que otro server en ese edificio tiene el servicio de DNS activado. Desde el sábado pásado, el enalce a ese edificio esta caído. Como consecuencia, los usuarios no se pueden validar al dominio.

Ya revisé site&services y las subnets aparecen asignadas al site del edificio afectado, pero, aún así los usuarios no se validan contra esé controlador de dmonio afectado.

Ahora, las prguntas son dos:

1. ¿qué pasos/cosas y en qué interfaz de infraestructura (site&services, user&groups AD, DNS, etc.) debo configurar a tal forma que el usuario del edificio afectado pueda validarse contra este controlador de dominio?

2. ¿qué tiempo puede estar fuera de línea el controlador afectado de manera que ya no resulte viable el que esté como controlador dentro del dominio? Esto por que su data esta desactualizada, o los tikets, o alguna otra cosa...

La pregunta tiene un todo desesperante pues hay cerca de 200 usuario afectados y ya van para el 3 día sin poder entrar a sus equipos.

Les agradezco el apoyo que me puedan brindar.

Comments

Una consulta, las pcs de los usuarios afectados apuntan al DNS que tienen en el edificio local ya sea como primario o secundario o solo apuntan al DNS con el que perdieron conectividad, es que no especificas esa configuración, para salir de dudas.

A mi me paso una vez que los usuarios no se podían autenticar pero era por que estaban apuntando a la ip de un AD/DNS que ya no existía, actualice la ip y todo empezo a funcionar normal :).Te comento que yo trabajo igual que tu (2 edificios separados) pero nosotros no tenemos ningún problema si perdemos conectividad entre losedificios, localmente todos los recursos funcionan, yo tengo el AD y DNS secundario y están instalados en el mismo servidor, en la configuración de DHCP puse mi DNS secundario como  primario y el DNS primario del edificio remoto como secundario, esto aplica para los usuarios del sitio en el que estoy yo y toda la infraestructura funciona bien.

No se si hay algún problema en configurar DNS en un servidor y AD en otro, en verdad lo desconozco por que yo siempre los he configurado en el mismo servidor ya que aun trabajando los 2 servicios juntos no consumen gran cantidad de recursos del servidor, mi recomendación es que los tengas instalados en el mismo servidor. Lo que si se es que AD necesita DNS para funcionar correctamente.

Espero que soluciones tu problema pronto

---

Hola drampola , adicional a lo comentado por mi compañero te recomiendo
1.- Quites el DNS del servidor que esta fuera de linea en las insterfaz de red de los equipos, para  que los equipos no hagan peticion a ese servidor.
2.- Reinicia el equipo clientes
3.- Inicia session en los equipos  sin cable de red.
4.- Conecta el cable y en la consola MS-DOScmd ejecuta gpupdate /force. (Posiblemente te pida cerrar la session)
5.- Reinicia el PC.
6.- Nuevamente desde la consola MS-DOS  corre el comando set logonserver, para ver donde inicio la session.

Esto deberia permitirte trabajar las estaciones de trabajo contra el servidor local, miestras levantas el enlace.

Nos comentas como te va...

---

Gracias por el apoyo pero, al final llegó el enlace y lo que sucede ahora es que por una replicación en el site primario, se está actualizando el site primario con la data del site que no tenía enlace, con lo que tengo ahora usuarios bloqueados. Lo que he hecho es quitarale el horario de replicación a esta conexión para esperar a que sea el principal quien actualice al DC que no tenía enlace.
Aún así los consejos que me dieron no funcionaron en el total de las edt que probe, no sé por qué razón; lo que si es cierto es que necesito una forma de poner este mismo escenario en los demás domains controlers regionales que tengo pues este evento nos ha ayudado a identificar una mala configuración. Les pido entonces nuevamente ayuda para poder remediar este caso en otros controladores. Gracias.

Answer 1

Hola,

Para "remediar" momentáneamente este evento haz que los usuarios antes de ingresar sus credenciales desconecten el cable de red y luego ingresen, esto hará que puedan iniciar sesión con las credenciales cacheadas del dominio.

Luego debes descartar varias cosas:

1) En línea de cmd digita en una de esas estaciones el comando set logon para ver a que controlador de dominio apuntan dichas estaciones.(Es posible que apunten al controlador de la sede distante)

LOGONSERVER=\\TuServer de dominio

Para remediar el evento temporalmente debes obligar a la estación a que contacte el controlador de dominio local, así:

2) Cambia de controlador de dominio con: set logonserver=\\"Domain Controller name" (Reinicia el pc para verificar)

Verifica esta información y debes ir pensando en tener un DNS integrado a Active Directory para evitar este tipo de casos.

Par alas preguntas puntuales:

 

1. ¿qué pasos/cosas y en qué interfaz de infraestructura (site&services, user&groups AD, DNS, etc.) debo configurar a tal forma que el usuario del edificio afectado pueda validarse contra este controlador de dominio?

Seguir pasos anteriores.

 

2. ¿qué tiempo puede estar fuera de línea el controlador afectado de manera que ya no resulte viable el que esté como controlador dentro del dominio? Esto por que su data esta desactualizada, o los tikets, o alguna otra cosa...

El timestamp que un miembro de un dominio puede estar offline es de 30 días. Tiempo en el que el dominio revisa la pertenencia/validez de la membresía de cada Computer object.

Revisa estos parámetros en sitio caído:

Change the weight for DNS SRV records in the registry

http://technet.microsoft.com/en-us/library/cc778225(WS.10).aspx

Change the priority for DNS SRV records in the registry

http://technet.microsoft.com/en-us/library/cc781155(WS.10).aspx

How Domain Controllers Are Located in Windows

http://support.microsoft.com/kb/247811

 

Comments

Muy buena información, voy a guardarla en mi librito digital de ayuda :) +1!!

---

Gracias por el apoyo pero, al final llegó el enlace y lo que sucede ahora es que por una replicación en el site primario, se está actualizando el site primario con la data del site que no tenía enlace, con lo que tengo ahora usuarios bloqueados. Lo que he hecho es quitarale el horario de replicación a esta conexión para esperar a que sea el principal quien actualice al DC que no tenía enlace.
Aún así los consejos que me dieron no funcionaron en el total de las edt que probe, no sé por qué razón; lo que si es cierto es que necesito una forma de poner este mismo escenario en los demás domains controlers regionales que tengo pues este evento nos ha ayudado a identificar una mala configuración. Les pido entonces nuevamente ayuda para poder remediar este caso en otros controladores. Gracias.

---

Hola,
La replicación entre controladores se lleva a cabo de acuerdo al USN de cada controlador, por lo tanto debería replicar las actualizaciones con USN mayor (las del controlador bueno) y no las inferiores (controlador sin enlace) como manifiestas.

Ver log de eventos en el controlador con problemas y mira que hay de errores en el File Replication Service

Verifica este artículo para que corrijas el problema de replicación:
http://technet.microsoft.com/es-es/library/dd348479(v=ws.10).aspx