Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se proporciona ayuda para resolver los retrasos que se producen cuando se requieren miembros del dominio para comunicarse con los controladores de dominio en dominios remotos.
Número de KB original: 4550655
Síntomas
Supongamos que tiene un entorno de Active Directory que tiene uno o varios bosques y que cada bosque tiene uno o varios árboles de dominio. En este entorno, un árbol de dominio es una raíz de nombre DNS que es independiente de la raíz del bosque.
Tiene equipos miembros en todos los dominios de todos los bosques. También tiene una directiva de seguridad de red que limita la comunicación de los equipos a los servidores y elementos del mismo nivel que son necesarios para la función empresarial de los equipos y también a los usuarios que trabajan con esa función empresarial.
En este escenario, observará que los miembros del dominio acceden a controladores de dominio (CONTROLADORES de dominio) en dominios distintos del dominio del que son miembros. Pueden acceder a los servidores que son diferentes del servidor al que los usuarios inician sesión. Esta comunicación puede estar restringida por las reglas de firewall que ha establecido.
Esta actividad provoca retrasos y errores frecuentes cuando el equipo miembro intenta acceder incorrectamente a los puertos de servidor de los otros controladores de dominio.
Cuando se produce este problema, recibirá un mensaje de error basado en el protocolo que se usa, como se indica a continuación:
- RPC: código de error 1722 (RPC_S_SERVER_UNAVAILABLE)
- LDAP: código de error 85 (LDAP_TIMEOUT)
- WinSock: código de error 10060 (WSAETIMEDOUT)
Análisis y causa
Normalmente, se espera que el equipo y los usuarios usen principalmente controladores de dominio del mismo dominio del que son miembros. También pueden conectarse a catálogos globales para búsquedas en todo el bosque en su propio bosque o en bosques remotos.
Sin embargo, los miembros del dominio a veces llegan fuera de su propio dominio. Pueden hacerlo en función de su configuración. También pueden hacerlo después de detectar la estructura general del bosque y, a continuación, enviar solicitudes a todos los dominios que detectaron.
Ejemplos de estos requisitos de comunicación:
La configuración puede ser la configuración de directiva de grupo que está vinculada al ámbito de la configuración de directiva para los miembros del dominio. O bien, puede ser la configuración de directiva en el sitio de Active Directory en el que está el equipo.
Puede haber aplicaciones que quieran buscar o sincronizar objetos de todos los dominios que encuentran. Por ejemplo, la detección de topologías de SharePoint.
También hay el grupo de aplicaciones que buscan un objeto raíz de dominio mediante búsquedas LDAP y que permiten y reciben referencias de continuación. Esto significa que redirigen las referencias a todos los NCs secundarios (particiones de aplicación y dominios secundarios). Por lo tanto, requieren acceso a los controladores de dominio secundarios.
Los retrasos que experimenta dependen del número de dominios, de los controladores de dominio a los que se hace referencia y del número de reintentos realizados por una aplicación. El retraso puede tardar muchos minutos. Algunas aplicaciones también agotan el tiempo de espera antes de que todos los controladores de dominio y dominios hayan devuelto errores con frecuencia suficiente. En el análisis, es posible que vea la consulta LDAP original marcada como correcta porque recibieron resultados del dominio en el que se inició la consulta. Sin embargo, la consulta sigue retrasada porque está esperando a que se completen las referencias.
Recomendaciones
Microsoft no tiene documentación sobre cómo determinar qué controladores de dominio de ningún dominio de ningún bosque del ámbito de la empresa se usan en función de una configuración determinada. Tampoco hay reglas para controlar a qué controladores de dominio se puede acceder. Esto se aplica a Windows y a todas las aplicaciones de Microsoft.
Debe esperar que cualquier miembro del dominio llegue a todos los controladores de dominio de todos los bosques. Si desea restringir los miembros del dominio, debe usar un enfoque de prueba y error. Si encuentra que se producen retrasos porque se ha contactado con controladores de dominio adicionales, debe adoptar reglas de firewall que permitan el acceso a esos controladores de dominio.
Si no está seguro de qué puertos están disponibles o bloqueados por el firewall, use la herramienta PortQry para probar la configuración. Para obtener más información, consulte Nuevas características y funcionalidades en PortQry versión 2.0.