Arreglar ‘No se pudo contactar con un controlador de dominio de Active Directory’

Tutoriales

Cada administrador de IT que gestiona máquinas en un entorno de Active Directory ha estado allí. Intentas agregar una computadora a un dominio de Active Directory (AD) y obtienes el temido error “No se pudo contactar con un Controlador de Dominio de Active Directory“. En este artículo, aprende los pasos para diagnosticar (y resolver) este problema de una vez por todas.

A FREE read only tool that scans your AD and generates multiple interactive reports for you to measure the effectiveness of your password policies against a brute-force attack. Download Specops Password Auditor now!

An Active Directory Domain Controller Could not be Contacted

Este error está relacionado con DNS. El problema principal es que la computadora no ha podido encontrar un registro SRV de DNS apropiado que necesita para unirse al dominio AD.

I’ve put together a few steps for you to follow to fix this error and get your computer joined to your domain.

Asegúrate de estar utilizando los servidores DNS correctos

Antes de profundizar demasiado, asegúrate primero de estar utilizando los servidores DNS correctos.

Active Directory y DNS tienen una relación especial. Los controladores de dominio registran registros específicos en los servidores DNS que conocen. Estos residen en la zona _ldap._tcp.dc.msdcs.<nombre de dominio> y ayudan a los dispositivos unidos a AD a encontrar recursos como controladores de dominio. Los registros SRV no existirán en servidores DNS que no estén integrados en AD.

Para resolver este problema, debes estar utilizando uno de los siguientes:

  • Un servidor DNS integrado en AD
  • A DNS server that replicates records from an AD aware DNS server
  • A DNS server that has forwarding set up to query either an AD-integrated DNS server or a DNS server with replicated records

Para comprobar que el servidor DNS que estás utilizando es uno de los anteriores, ejecuta el siguiente comando en una sesión de PowerShell en una computadora ya unida al dominio existente:

PS C:\> Get-DnsClientServerAddress

InterfaceAlias               Interface Address ServerAddresses
                             Index     Family
--------------               --------- ------- ---------------
Ethernet                             9 IPv4    {10.0.0.101}
Ethernet                             9 IPv6    {}
Loopback Pseudo-Interface 1          1 IPv4    {}
Loopback Pseudo-Interface 1          1 IPv6    {fec0:0:0:ffff::1, fec0:0:0:ffff::2, fec0:0:0:ffff::3}

Las respuestas que obtienes bajo la columna ServerAddesses son los servidores DNS que está utilizando esa computadora. Si no tienes otro cliente de dominio para verificar, deberás contactar a tu equipo de red para obtener esta información.

Puedes utilizar el cmdlet Set-DnsClientServerAddress de PowerShell para cambiar la configuración del cliente DNS de la computadora o a través del cuadro de diálogo Propiedades de IPv4 para la tarjeta de red de la computadora. Esto se logra yendo a Panel de Control –> Red –> Internet –> Conexiones de Red.

Una vez en la ventana de Conexiones de Red, haz clic derecho en la tarjeta de red, elige Propiedades, selecciona Protocolo de Internet versión 4 (TCP/IPv4) y luego haz clic en Propiedades.

IPv4 properties dialog

Si la red utiliza el Protocolo de Configuración Dinámica de Hosts (DHCP), asegúrate de que las opciones Obtener una dirección IP automáticamente y Obtener la dirección del servidor DNS automáticamente estén seleccionadas.

Si tu red no utiliza DHCP, entonces actualiza los valores del Servidor DNS preferido y Servidor DNS alternativo con los valores correctos que obtuviste anteriormente.

Encuentra el Verdadero Error

Si has confirmado que tu computadora tiene los servidores DNS correctos, entonces es hora de profundizar un poco más.

Cuando intentas unir una computadora a un dominio, aparece el error “No se pudo contactar con un Controlador de Dominio de Active Directory” pero no es el mensaje de error “verdadero”. Necesitas investigar un poco más a fondo.

Notarás en el cuadro de diálogo de error un botón Detalles >>. Haz clic en él. Esto mostrará información más detallada que te permitirá solucionar mejor este error.

Expanded details view of the error dialog

Puedes seleccionar el contenido del cuadro de texto para copiarlo y pegarlo en un visor de texto, o puedes encontrar la misma información en el archivo C:\windows\debug\dcdiag.txt de esa máquina. Este archivo es creado por Windows cuando ocurre el error.

El texto del error contiene algunas piezas clave de información. He resaltado en negrita y numerado cada una de ellas en el ejemplo a continuación:

  • El nombre de dominio que la máquina cree que le has solicitado unirse (1)
  • El código de error (2)
  • La consulta DNS que se realizó (3)
  • El servidor DNS al que la máquina consultó (si hubo alguno) (4)

Nota: Esta información está destinada a un administrador de red. Si no eres el administrador de tu red, notifica al administrador que has recibido esta información, que ha sido registrada en el archivo C:\windows\debug\dcdiag.txt.

Se produjo el siguiente error al consultar DNS para el registro de recursos de ubicación del servicio (SRV) utilizado para localizar un Controlador de Dominio de Active Directory (AD DC) para el dominio “carisbrookelabs.local”(1):

El error fue: “El nombre DNS no existe.”
(código de error 0x0000232B RCODE_NAME_ERROR) (2)

La consulta fue para el registro SRV para _ldap._tcp.dc._msdcs.carisbrookelabs.local (3)

Las causas comunes de este error incluyen lo siguiente:

Los registros DNS SRV necesarios para localizar un controlador de dominio AD para el dominio no están registrados en DNS. Estos registros se registran automáticamente con un servidor DNS cuando se agrega un controlador de dominio AD a un dominio. Se actualizan por el controlador de dominio AD en intervalos establecidos. Esta computadora está configurada para usar servidores DNS con las siguientes direcciones IP:

8.8.4.4
8.8.8.8 (4)

Una o más de las siguientes zonas no incluyen la delegación a su zona secundaria: carisbrookelabs.local

local
. (la zona raíz)

0x0000267C DNS_ERROR_NO_DNS_SERVER

Este error indica que el servidor DNS no se pudo encontrar ni siquiera para intentar la consulta. Ni siquiera tuvo la oportunidad. Esto suele ser debido a la falta de conectividad de red al servidor DNS.

Tenga en cuenta que puede unir un equipo sin conexión a la red, conocido como un  unión de dominio sin conexión, pero eso está fuera del alcance de este artículo.

Resuelva problemas de conexión de red

Si ve este mensaje de error, necesitará comenzar a realizar algunas soluciones de problemas de red.

  1. Verifique que su adaptador de red esté habilitado y pueda conectarse a otros recursos de red.
  2. Verifique que tenga configuradas una dirección IP y servidores DNS.

Puedes verificar una dirección IP y servidores DNS ejecutando ipconfig /all.

Si tienes una dirección IP y puedes alcanzar otros recursos de red, necesitarás probar la conexión entre la computadora y el servidor DNS.

Para hacerlo, puedes usar el comando ping y el cmdlet Test-Connection de PowerShell. Prueba la conectividad con el(los) servidor(es) DNS utilizando cualquiera de estas dos utilidades. Si se permite el tráfico del Protocolo de Mensajes de Control de Internet (ICMP) en la red, deberías recibir una respuesta. Si hay un error o se produce un tiempo de espera, es probable que tengas algún problema de red, como enrutamiento. Habla con tu equipo de redes para resolver el problema y luego intenta unirte nuevamente.

Verifica la conectividad DNS

Si has confirmado que tu conexión de red está funcionando, luego deberás asegurarte de que tu computadora pueda conectarse mediante TCP/53 al servidor DNS.

Intenta usar el cmdlet de PowerShell Resolve-DNSName con el FQDN del dominio al que estás intentando unirte. Esto debería devolver uno o más registros de servidor DNS:

PS C:\> Resolve-DNSName carisbrookelabs.local


Name                                           Type   TTL   Section	IPAddress
----                                       	----   ---   -------	---------
carisbrookelabs.local                      	A  	600   Answer 	10.0.0.103
carisbrookelabs.local                      	A  	600   Answer 	10.0.0.102
carisbrookelabs.local                      	A  	600   Answer 	10.0.0.101

Si recibes un error, entonces vale la pena verificar que no haya nada bloqueando el tráfico IP en el puerto 53 (el puerto utilizado para el tráfico DNS) entre tu máquina y los servidores DNS.

Puedes realizar una comprobación simple de conectividad en el puerto 53 usando el cmdlet Test-NetConnection (no confundir con el cmdlet Test-Connection):

PS C:\> Test-NetConnection -Port 53 -ComputerName <DNSSERVERHERE>
True

Obtendrás una respuesta de True si la conexión es exitosa, o False si falla. Un fallo podría deberse a un firewall de red o basado en el host en el servidor DNS.

0x0000232B RCODE_NAME_ERROR

Este error significa que pudo encontrar el servidor DNS pero no se encontró el registro SRV. Este error requiere un poco más de solución de problemas.

Asegúrate de Usar el FQDN del Dominio

Parece simple, pero verifica que el nombre que escribiste coincida con el nombre de dominio completamente calificado (FQDN) del dominio al que intentas unirte. Esto solo debe ser un nombre de dominio, no un nombre de servidor. Por ejemplo, usa carisbrookelabs.local y no WIN-3467RQTHJH5.carisbrookelabs.local.

Si hay alguna duda, verifica el nombre de dominio de un cliente de dominio existente. Puedes encontrar el nombre de dominio apropiado ejecutando este comando de PowerShell en un cliente de dominio existente.

PS51> (Get-CimInstance Win32_ComputerSystem).Domain
carisbrookelabs.local

Si intentas usar el nombre NETBIOS (contoso) versus el FQDN (contoso.local), la computadora podría encontrar el dominio pero Windows tratará el nombre como un FQDN de todos modos.

Si escribes un nombre NETBIOS y no tienes una infraestructura WINS configurada, obtendrás el error que estamos tratando de solucionar. Siempre utiliza un FQDN en lugar de un nombre NETBIOS.

Typing an FQDN in the Computer/Domain Changes dialog

Verifica los registros DNS

Para este paso, vas a utilizar nuevamente el comando Resolve-DNSName. Esta vez utilizando el registro DNS exacto que no se obtuvo cuando intentaste unir tu máquina al dominio. Cópialo y pégalo desde el archivo dcdiag.txt mencionado en la introducción, o la copia del texto de error que tomaste anteriormente. Esto evitará cualquier error tipográfico con guiones bajos y guiones.

Tu comando debería lucir algo así: 

PS C:\> Resolve-DNSName _ldap._tcp.dc._msdcs.carisbrookelabs.local


Name                    	Type TTL   Section	PrimaryServer           	NameAdministrator       	SerialNumber
----                    	---- ---   -------	-------------           	-----------------       	------------
_msdcs.carisbrookelabs.loca SOA  3600  Authority  WIN-3467RQTHJH5.carisbrooke hostmaster.carisbrookelabs. 419
l                                             	labs.local              	local

Utiliza la herramienta gratuita Specops Password Auditor para escanear tu Active Directory e identificar vulnerabilidades relacionadas con contraseñas, incluyendo más de 930 millones de contraseñas comprometidas conocidas. ¡Descárgalo hoy!

Si obtienes El nombre DNS no existe como respuesta a este comando, entonces tu problema está con DNS.

  • Asegúrate de estar utilizando el servidor DNS correcto
  • Asegúrate de que los registros relevantes no hayan sido eliminados

Si obtienes una respuesta positiva a Resolve-DNSName _msdcs.<nombre de dominio> pero recibes un El nombre DNS no existe de Resolve-DNSName _ldap._tcp.dc._msdcs.<nombre de dominio>, entonces faltan los registros.

Vuelva a registrar los registros DNS del controlador de dominio utilizando el comando ipconfig /registerdns en cada DC. Puede tomar unos minutos para que los registros aparezcan.

Una vez que puedas confirmar la presencia del registro DNS requerido utilizando Resolve-DNSName, deberías estar listo para continuar.

Resumen

En este artículo, has aprendido algunos pasos para probar cuando se soluciona el error “No se pudo contactar con un controlador de dominio de Active Directory“. Es imposible cubrir cada escenario en un artículo como este, pero espero que el proceso funcione para ti y te ponga en el camino correcto!

Lectura adicional

Source:
https://adamtheautomator.com/an-active-directory-domain-controller-could-not-be-contacted/