Quais são as possíveis causas da mensagem de erro “Um controlador de domínio do Active Directory (AD DC) para o domínio ...”?

4

No começo, eu estava tendo problemas para conectar uma das minhas estações de trabalho (cliente) ao meu domínio, e achei que era porque o domínio ainda não estava em meu poder (referência: esta pergunta ). Mas, devido à resposta, sou levado a acreditar que há algo mais acontecendo? Eu pesquisei na internet e não posso realmente descobrir por que eu ainda estou tendo problemas, então eu pensei em pedir para ver quais seriam as possíveis causas dessa mensagem de erro. Aqui está minha configuração:

Server (DC)
==============================
IP:              192.168.0.2
Subnet Mask:     255.255.255.0
Default Gateway: 192.168.0.1
Preferred DNS:   192.168.0.2

Workstation
==============================
IP:              DHCP
Subnet Mask:     
Default Gateway: 
Preferred DNS:   192.168.0.2

Além disso, tenho uma Zona de pesquisa direta para o meu domínio local (internal.domain.com). Aqui está um dump do nslookups do cliente e do servidor:

> nslookup internal.domain.com
Server:  cdns02.comcast.net
Address: 2001:558:feed::2

Non-authoritative answer:
Name:    internal.domain.com
Address: 50.19.***.*** (definitely not my IP address)

> nslookup -type=SRV _Kerberos._tcp.dc._msds.internal.domain.com
Server:  cdns02.comcast.net
Address: 2001:558:feed::2

         primary name server = ns.buydomains.com
         responsible mail addr = hostmaster.buydomains.com
         serial  = ...
         refresh = ...
         retry   = ...
         expire  = ...
         default TTL = ...

Isso é igual no servidor e no cliente, o que me faz pensar que os dois não estão usando meu servidor como a pesquisa de DNS, e é por isso que estou tendo problemas? Eu realmente não tenho certeza do que está acontecendo aqui. Apenas procurando o que poderia ser um problema, e tentei responder à maioria das perguntas de acompanhamento sobre a resposta à minha pergunta anterior.

Atualização:

Eu usei as respostas da esta pergunta para gerar um endereço IPv6 pseudo-exclusivo, que estava no formato xxxx : xxxx: xxxx: xxxx :: / 64 Aqui estão as configurações que usei no meu servidor:

Server (DC) IPv6
=============================================================
IPv6 Address:         xxxx:xxxx:xxxx:xxxx::1
Subnet Prefix Length: 64 
Default Gateway:      xxxx:xxxx:xxxx:xxxx:ffff:ffff:ffff:ffff

Eu entrei no meu roteador e alterei as configurações do IPv6 também. Ele havia declarado " Obtain a DNS server address automatically or enter a specific DNS server address. ", em cujo caso eu selecionei especificar o endereço do servidor DNS para o endereço estático do meu servidor. Eu também configuro o servidor DNS público do Google como secundário.

Por fim, minha máquina cliente conseguiu entrar na rede instantaneamente. Além disso, apenas para uma boa medida, eu configurei as máquinas cliente IPv6 DNS para apontar para o meu servidor (novamente, apenas para uma boa medida).

Se alguém se deparar com um problema de IPv6, esta parece ser a solução. O que é legal é que eu posso usar o RSAT agora para gerenciar meu servidor do meu cliente principal (posso remover meu monitor, teclado e mouse do servidor).

    
por michael 14.01.2013 / 01:43

2 respostas

7

Você não está encontrando muitos artigos descrevendo o que está vendo, acredito, porque a grande maioria das implantações do Active Directory não está usando o IPv6. Os endereços exibidos na sua saída nslookup mostram que você definitivamente está usando o IPv6 (o que também faz sentido, considerando a Comcast como seu ISP).

Seus clientes estão obtendo DNS IPv6 do seu ISP (um servidor DNS fora de seu controle) e, como tal, a zona de pesquisa direta autoritativa em seu servidor DNS não está sendo consultada. Geralmente e de modo geral, é recomendável que seus clientes tenham apenas servidores DNS especificados que sejam controladores de domínio (DCs) do Active Directory.

Configure a opção do servidor DNS em seu escopo DHCPv6 (opção "Endereços IPv6 do Servidor Recursivo de Nome DNS 0023") para especificar seu DC como o servidor DNS e seus clientes deixarão de procurar fora de sua LAN por DHCP.

Editar:

Supondo que você não se lembre de configurar um escopo IPv6 em seu computador com Windows Server, provavelmente você tem um roteador que atua como um servidor DHCPv6. Sem saber o que é o roteador (se for o servidor DHCP para IPv6), não posso fornecer orientações passo-a-passo sobre como alterá-lo.

Dê uma olhada na interface de administração do roteador para ver se você pode configurar as opções IPv6 do servidor DHCP. Supondo que você pode, você pode definir sua máquina do Windows Server para um endereço IPv6 estático e especificar que é o servidor DNS para os PCs.

Se o roteador não permitir que você modifique as opções de DHCP para as opções de IPv6, será necessário desativar o DHCP IPv6 no roteador e configurar um escopo DHCP para IPv6 na máquina do Windows Server. Você precisará criar um endereço único local para sua rede IPv6, atribuir um endereço IPv6 estático à máquina do Windows Server, e configurá-lo como um servidor DNS nas opções do escopo IPv6. Há um um artigo aqui que descreve a configuração do DHCP IPv6 no Windows Server 2008 e deve ser pelo menos razoavelmente preciso para o Windows Server 2012.

Como alternativa a tudo isso, você pode optar por configurar o Windows para preferir o IPv4 ao IPv6 ou desativar o IPv6 no seu servidor e nos computadores clientes. Não é algo que a Microsoft recomenda, mas é algo que você poderia fazer. Existe um um belo artigo wiki da Technet que inclui Modelos Administrativos para Diretiva de Grupo para desabilitar o IPv6, mas você está em um cenário de "ovo e galinha" em que seus clientes não conseguirão processar a Diretiva de Grupo até que você cuide disso questão.

Por fim, estou preocupado com sua escolha do nome de domínio do Active Directory. Houve guerras religiosas no passado sobre isso, mas práticas recomendadas recomendadas para o Active Directory nomes de domínio dizem que você pode escolher um nome que não seja (e nunca se torne) um nome de Internet válido. Você está usando algo que os servidores DNS da Comcast podem resolver e isso pode apresentar problemas com clientes móveis, porque a capacidade de resolver o nome do domínio é parte do protocolo que um cliente usa durante a inicialização para determinar se deve tentar entrar em contato DCs e processo de diretiva de grupo. Você pode ter tempos de inicialização excessivamente longos em clientes quando eles estão conectados à Internet, não conseguem realmente acessar seus DCs, mas obtêm respostas falsas do DNS de volta para o nome do domínio do Active Directory. (Eu amaldiçoei vários consultores ao longo dos anos que criaram redes que mais tarde "herdaram" dessa forma ... Obrigado, pessoal! Essa será uma renomeação de domínio chegando ...)

    
por 14.01.2013 / 01:54
1

Esse erro geralmente é relacionado ao DNS. Sua estação de trabalho precisa usar seu servidor DNS interno e precisa ter registros relacionados ao AD (criados).

Se o seu nslookup estiver resolvendo endereços de fora da sua rede, isso significa que suas consultas estão sendo encaminhadas para um servidor externo e você está usando um nome válido existente para o seu domínio interno.

    
por 14.01.2013 / 02:13