4.5K
Al intentar unir una computadora con Windows a un dominio AD, es posible que reciba el error «No se pudo contactar con un controlador de dominio de Active Directory“. Es posible que el cliente no pueda conectarse al controlador de dominio debido a una configuración de red incorrecta (IP, DNS o firewall) o una falla del controlador de dominio. Esta guía explica cómo solucionar y solucionar este problema de conectividad del controlador de dominio.
Solución de problemas de conectividad del controlador de dominio AD
Cuando una computadora se une a Active Directory, debe descubrir y conectarse al controlador de dominio (DC). El error ocurre si el cliente no puede conectar el DC:
No se pudo contactar con un controlador de dominio de Active Directory (AD DC) para el dominio “theitbros.com”. Asegúrese de que el nombre de dominio esté escrito correctamente.
Haga clic en el Detalles para ver la descripción detallada del error. Los errores más comunes son:
- 0x0000232B — RCODE_NAME_ERROR (“El nombre DNS no existe”).
- 0x0000267C — DNS_ERROR_NO_DNS_SERVER (“No hay servidores DNS configurados para el sistema local”).
- 0x00002746 — WSAECONNRESET (“El host remoto cerró a la fuerza una conexión existente”).
- 0x000005B4 — ERROR_TIMEOUT (“Esta operación se devolvió porque expiró el período de tiempo de espera”). Los servidores DNS utilizados por esta computadora para la resolución de nombres no responden.
Estas son las comprobaciones básicas que debe realizar para solucionar el problema:
- Asegúrese de no haber escrito mal el nombre de dominio de Active Directory;
- Verifique la configuración de IP y DNS del cliente;
- Verificar la conectividad de la red al DC;
- Verifique el estado del DC.
Veamos cada uno de estos pasos con más detalle.
Verifique la conectividad de red con el controlador de dominio AD desde el cliente
La máquina cliente de Windows puede conectarse a Active Directory si ha configurado correctamente la dirección IP y el servidor DNS preferido. Abra la consola de PowerShell para realizar la solución de problemas básicos de conexión de red.
Intente resolver el nombre de dominio de Active Directory en una dirección IP:
Resolve-DnsName theitbros.loc
Si se produce el error «El nombre DNS no existe», verifique las direcciones IP del servidor DNS configuradas en la computadora. Enumere la configuración DNS del cliente usando el comando:
Get-DnsClientServerAddress
La dirección IP de uno de los controladores de dominio AD debe especificarse como servidor DNS en esta lista en la computadora cliente. Si aquí se especifica la IP pública (como 8.8.8.8 o 1.1.1.1) o inexistente del servidor DNS, cambie el servidor DNS preferido en las propiedades del adaptador de red (ncpa.cpl > Propiedades del adaptador de red > Propiedades de IPv4 > Configure manualmente su Dirección IP del DC como DNS preferido).
Asegúrese de que no haya entradas ingresadas manualmente (estáticas) en el anfitriones archivo para su dominio o nombres de controlador de dominio. Si existen tales entradas, elimínelas.
get-content C:\Windows\System32\Drivers\etc\hosts
Luego borre el caché de resolución de DNS en la computadora:
ipconfig /flushdns
Compruebe que puede hacer ping al DC mediante una dirección IP:
ping 192.168.158.100
Si no se puede acceder a la IP de destino, verifique que la dirección IP de la computadora pertenezca a su red AD:
Después de configurar correctamente los ajustes de red del cliente, asegúrese de poder resolver el nombre de AD.
Resolve-DnsName theitbros.loc
Haga ping al dominio:
ping theitbros.loc
Y descubra los servicios AD en el dominio (según la configuración de sitios y servicios de Active Directory):
nltest /dsgetdc:theitbros.loc
Pista. Otra guía útil que puede ayudarle a solucionar problemas de conectividad de CC a través de RPC es «1722 El servidor RPC no está disponible».
En algunos casos, los firewalls pueden bloquear los puertos de comunicación entre la computadora cliente y el DC. Para unirse con éxito al dominio de Active Directory, se deben abrir los siguientes puertos de red en el firewall.
- UDP 53: tráfico DNS;
- TCP y UDP 88: autenticación Kerberos;
- UDP 123: hora de sincronización de Windows con el controlador de dominio;
- TCP 135: localizador RPC de llamada a procedimiento remoto;
- TCP y UDP 139: servicio de sesión NetBIOS;
- TCP y UDP 389 (LDAP, DC Locator, Net Logon) o TCP 636 (LDAP sobre SSL);
- TCP 445 – (SMB/CIFS, inicio de sesión de red);
- TCP 49152-65535: puertos RPC, puertos TCP altos asignados aleatoriamente.
Puede utilizar PowerShell para comprobar si hay puertos abiertos. Por ejemplo, verifique si hay un puerto de servicio DNS abierto 53.
Test-Netconnection 192.168.1.11 -port 53
Verifique los registros DNS del servicio en Active Directory
Si las comprobaciones anteriores no han resuelto el error de conexión al controlador de dominio y persisten problemas similares en otros dispositivos, es fundamental inspeccionar la configuración de DNS en Active Directory.
Los clientes descubren los controladores AD utilizando los registros SRV especiales en la zona DNS de Active Directory. Si faltan dichos registros SRV, el cliente no podrá comunicarse con el DC.
Ejecute los siguientes comandos para consultar el registro LDAP SRV:
nslookup set type=all _ldap._tcp.dc.msdcs.your_domain_name.com
Compruebe que el servidor DNS especificado tenga un registro SRV del siguiente formato:
_ldap._tcp.dc._msdcs.your_domain_name.com SRV service location:
Los dos registros DNS siguientes (SRV y A) utilizaron clientes para descubrir la dirección IP del controlador de dominio:
- _ldap._tcp.dc._msdcs.su_nombre_de_dominio.com – es un SRV registro de recursos que apunta al controlador de dominio;
- Recurso A registro que identifica la dirección IP para el DC que figura en el registro de recursos SRV _ldap.tcp.dc._msdcs.your_domain_name.com.
Puede recrear el registro DNS manualmente utilizando el complemento del administrador de DNS (dnsmgmt.msc) o ejecutar el siguiente comando en el DC para recrear los registros SRV y A automáticamente:
net stop netlogon && net start netlogon ipconfig /registerdns
Tenga paciencia un momento para permitir que los registros aparezcan en el DNS y se repliquen en todo el dominio.
Luego verifique el estado del AD usando el comando dcdiag:
dcdiag /a /q
Resuelva cualquier error de AD que haya encontrado. Después de eso, puedes intentar unir la estación de trabajo de Windows al dominio.