Se produce un error en la autenticación cuando un cliente externo intenta iniciar sesión un servidor de Windows Server 2008 mediante un controlador de dominio de sólo lectura en una red perimetral

Seleccione idioma Seleccione idioma
Id. de artículo: 977510 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

En esta página

Síntomas

Un cliente externo intenta iniciar sesión un servidor que ejecuta Windows Server 2008 en una red perimetral (también conocida como DMZ, zona desmilitarizada y subred oculto). Cuando el servidor intenta autenticar al cliente externo mediante un controlador de dominio de sólo lectura (RODC) en la red perimetral, se produce un error de autenticación.

Nota Si el servidor tiene permiso para autenticar al cliente externo mediante un controlador de dominio interno (DC), la autenticación es correcta.

Causa

Este problema se produce cuando el cliente externo no sabe qué sitio primero introduce en la red perimetral. Cuando esto ocurre, el cliente externo realiza una consulta de Sistema de nombres de dominio (DNS) genérica para el registro de recursos SRV _msdcs.domain.com para un controlador de dominio a los que se puede conectar el cliente. De forma predeterminada, los RODC no registre cualquier información de DNS genérica. En su lugar, los RODC sólo registrar información de DNS específica del sitio. Por lo tanto, la función DsGetDCName nunca devuelve un RODC en la lista de controladores de dominio para el dominio.

Nota Si no hay resultados se generan a partir de la consulta DNS, la función de DCLocator que llama la función DSGetDCName retrocede NetBIOS nombre de función de resolución de (WINS y difusiones). Sin embargo, si WINS está configurado y se bloquean las difusiones, a continuación, este mecanismo de reserva también errores.

Si las reglas de firewall permite que el cliente externo conectarse al menos un controlador de dominio de lectura y escritura (RWDC), se redirige el cliente externo en el RODC. Este comportamiento se produce en cuanto el RWDC determina que el cliente externo está en sitio del RODC.

NotaCuando esto ocurre ambos equipos deben estar en la red perimetral.

Solución

Para resolver este problema, debe realizar el RODC reconocible de una consulta DNS genérica.

Nota Puede minimizar el efecto de seguridad de registrar los registros DNS genéricos cambiando el valor LDAPSrvPriority del RODC en el sitio de corrección para asegurarse de que otros controladores de dominio de sólo lectura disponible o en los controladores de dominio de lectura y escritura son preferidos. Para obtener más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
306602Cómo optimizar la ubicación de un controlador de dominio o catálogo global que reside fuera del sitio del cliente
Para que pueda detectar el RODC, especifique el valor de DWORD RegisterSiteSpecificDnsRecordsOnly en el registro. Este valor DWORD determina si el RODC intenta registrar registros DNS genéricos.
Contraer esta tablaAmpliar esta tabla
Ubicación del registro:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters
Nombre de valor:RegisterSiteSpecificDnsRecordsOnly
Tipo de valor:DWORD

RegisterSiteSpecificDnsRecordsOnly

Este valor DWORD especifica que sólo los registros de alias (CName) y registro específicos del sitio. El valor predeterminado para un RODC es 1 (verdadero). Si establece este valor en 0 (falso), el RODC intenta registrar todos los registros DNS. Esto incluye registros específicos de sitio no.

Nota Si establece este valor DWORD en 0, debe conceder el permiso de escritura necesarios en las zonas DNS relevantes para poder registrar todos los registros DNS al RODC.

Más información

Para obtener más información acerca de cómo determinar las ubicaciones de RODC en la red perimetral, visite el sitio de Blog de TechNet de Microsoft siguiente:
http://blogs.technet.com/instan/archive/2009/03/24/troubleshooting-rodc-s-troubleshooting-rodc-location-in-the-dmz.aspx

Propiedades

Id. de artículo: 977510 - Última revisión: martes, 24 de noviembre de 2009 - Versión: 1.1
La información de este artículo se refiere a:
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008 R2
  • Windows Web Server 2008
Palabras clave: 
kbmt kbtshoot kbexpertiseinter kbsurveynew kbprb KB977510 KbMtes
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.
Haga clic aquí para ver el artículo original (en inglés): 977510

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com