Un equipo no puede identificar la red cuando el equipo está ejecutando Windows Vista, Windows Server 2008, Windows 7 o Windows Server 2008 R2 y es un miembro de un dominio secundario

Síntomas

Tiene un equipo que está ejecutando Windows Vista, Windows Server 2008, Windows 7 o Windows Server 2008 R2. Cuando este equipo es un miembro de un dominio secundario, el equipo no puede identificar la red. Esto puede causar el firewall en el equipo se establece en el perfil público.

Además, se graban sucesos similares a los siguientes en los registros de sucesos de aplicaciones:


Nota: Error 0x54B indica que el dominio especificado no existe o no se pudo establecer contacto.

Causa

Este problema se produce porque el equipo no puede conectar con el controlador de dominio principal (PDC) del dominio del bosque después de que el equipo está unido al dominio secundario. El servicio de reconocimiento de ubicación de red (NLA) espera poder enumerar el nombre del dominio bosque para elegir el perfil de red adecuada para la conexión. El servicio hace una llamada a DsGetDcName en el nombre de raíz de bosque y emitir una consulta LDAP en el puerto UDP 389 a una controlador de dominio raíz. El servicio espera poder se conectan al PDC en el dominio del bosque para rellenar la siguiente subclave del registro:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\NetworkList\Nla\Cache\IntranetForests
Si algo impide el intento de conexión al controlador de dominio o de la resolución de nombres DNS, NLA no es capaz de establecer el perfil de red apropiada en la conexión.



Un problema similar se explica en el siguiente artículo de Microsoft Knowledge Base:
971198 cerrar sesión desde el equipo con Windows Vista tarda 5-10 minutos si no hay ninguna conectividad LDAP para el dominio raíz del bosque

Solución

Para resolver este problema, utilice uno de los métodos siguientes.

Método 1

Configurar los dispositivos de firewall para no bloquear las comunicaciones en el puerto TCP/UDP 389. Para obtener más información acerca de cómo hacerlo, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

832017 Introducción al servicio y requisitos de puertos para el sistema Windows Server

Método 2

Advertencia: pueden producirse problemas graves si modifica incorrectamente el registro mediante el Editor del registro o mediante cualquier otro método. Estos problemas pueden requerir que reinstale el sistema operativo. Microsoft no puede garantizar que estos problemas puedan resolverse. Modifique el registro bajo su propio riesgo.
  1. Configurar un equipo en el dominio secundario para conectar con el PDC del dominio raíz.
  2. Reinicie el equipo. Ahora, el equipo debe ser capaz de identificar la red. Además, el perfil del servidor de seguridad se establecerá en el perfil de dominio.
  3. Exportar la subclave del registro siguiente como un archivo en una ubicación compartida en el dominio:
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\NetworkList\Nla\Cache\IntranetForests
  4. Importar la subclave del registro que exportó en el paso 3 para los otros equipos que no se puede conectar con el PDC desde el bosque de dominios.
  5. Reinicie el equipo. Ahora, el equipo debe ser capaz de identificar la red y el perfil del servidor de seguridad se establecerá en el perfil de dominio.

Método 3

Si es suficiente para identificar el perfil de red basado en el nombre del dominio secundario, entonces mitigar el tiempo que tarda NLA durante sus reintentos agresivos podría ser el enfoque correcto.


Para implementar una configuración del registro que cambia el número de reintentos utilizado por NLA, siga estos pasos:
  1. Crear una nueva clave de registro que coincida con el dominio raíz del bosque en la ruta de acceso:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Nla\Cache\Intranet\
  2. En la clave del registro recién creado para el nombre del dominio raíz del bosque, agregue los dos valores siguientes:

    • Errores REG_DWORD con un valor de 1
    • Éxitos REG_DWORD con un valor de 0
    Esto hará que NLA ir a su menor número de reintentos y debe tener como resultado la identificación de una duración de sólo un par de minutos.

Propiedades

Id. de artículo: 980873 - Última revisión: 12 ene. 2017 - Revisión: 1

Comentarios