Cómo se encuentran los controladores de dominio en Windows

En este artículo se describe el mecanismo usado por Windows para buscar un controlador de dominio en un dominio basado en Windows.

Se aplica a: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2
Número de KB original: 247811

Resumen

En este artículo se detalla el proceso de búsqueda de un dominio por su nombre de estilo DNS y su nombre de estilo plano (NetBIOS). El nombre de estilo plano se usa para la compatibilidad con versiones anteriores. En todos los demás casos, los nombres de estilo DNS deben usarse como cuestión de directiva. En este artículo también se aborda la solución de problemas del proceso de ubicación del controlador de dominio.

Cómo busca el localizador un controlador de dominio

En esta secuencia se describe cómo el localizador encuentra un controlador de dominio:

• En el cliente (el equipo que está localizando el controlador de dominio), el localizador se inicia como una llamada a procedimiento remoto (RPC) al servicio Netlogon local. El servicio Netlogon implementa la llamada a la interfaz de programación de aplicaciones (API) Locator DsGetDcName.

• El cliente recopila la información necesaria para seleccionar un controlador de dominio. A continuación, pasa la información al servicio Netlogon mediante la llamada DsGetDcName.

• El servicio Netlogon en el cliente usa la información recopilada para buscar un controlador de dominio para el dominio especificado de una de estas dos maneras:

  • Para un nombre DNS, Netlogon consulta DNS mediante el localizador compatible con IP/DNS. Es decir, DsGetDcName llama a la llamada DnsQuery para leer los registros de recursos de servicio (SRV) y los registros "A" de DNS después de anexar el nombre de dominio a la cadena adecuada que especifica los registros SRV.

  • Una estación de trabajo que inicia sesión en un dominio basado en Windows consulta dns para registros SRV en el formato general:

    _service._protocol.DnsDomainName
    

    Los servidores de Active Directory ofrecen el servicio protocolo ligero de acceso a directorios (LDAP) a través del protocolo TCP. Por lo tanto, los clientes buscan un servidor LDAP consultando dns para obtener un registro del formulario:

    _ldap._tcp. DnsDomainName

• Para un nombre NetBIOS, Netlogon realiza la detección de controladores de dominio mediante el localizador compatible con Microsoft Windows NT versión 4.0. Es decir, mediante el uso del mecanismo específico del transporte, como WINS.

  En Windows NT 4.0 y versiones anteriores, la "detección" es un proceso para buscar un controlador de dominio para la autenticación en el dominio principal o en un dominio de confianza.

• El servicio Netlogon envía un datagrama a los equipos que registraron el nombre. Para los nombres de dominio netBIOS, el datagrama se implementa como un mensaje mailslot. En el caso de los nombres de dominio DNS, el datagrama se implementa como una búsqueda del Protocolo de datagramas de usuario LDAP (UDP). (UDP es el protocolo de transporte de datagramas sin conexión que forma parte del conjunto de protocolos TCP/IP. TCP es un protocolo de transporte orientado a conexiones).

• Cada controlador de dominio disponible responde al datagrama para indicar que está operativo actualmente y devuelve la información a DsGetDcName.

UDP permite que un programa de un equipo envíe un datagrama a un programa en otro equipo. UDP incluye un número de puerto de protocolo, que permite al remitente distinguir entre varios destinos (programas) en el equipo remoto.

• Cada controlador de dominio disponible responde al datagrama para indicar que está operativo actualmente y devuelve la información a DsGetDcName.
• El servicio Netlogon almacena en caché la información del controlador de dominio para que las solicitudes posteriores no tengan que repetir el proceso de detección. Almacenar en caché esta información fomenta el uso coherente del mismo controlador de dominio y una vista coherente de Active Directory.

Cuando un cliente inicia sesión o se une a la red, debe poder localizar un controlador de dominio. El cliente envía una consulta de búsqueda DNS a DNS para buscar controladores de dominio, preferiblemente en la propia subred del cliente. Por lo tanto, los clientes buscan un controlador de dominio consultando dns para obtener un registro del formulario:

_LDAP._TCP.dc._msdcs.domainname

Una vez que el cliente localiza un controlador de dominio, establece la comunicación mediante LDAP para obtener acceso a Active Directory. Como parte de esa negociación, el controlador de dominio identifica en qué sitio se encuentra el cliente en función de la subred IP de ese cliente.

Si el cliente se comunica con un controlador de dominio que no está en el sitio más cercano (óptimo), el controlador de dominio devuelve el nombre del sitio del cliente. Si el cliente ya ha intentado buscar controladores de dominio en ese sitio, el cliente usa el controlador de dominio que no es óptimo. Por ejemplo, el cliente envía una consulta de búsqueda DNS a DNS para buscar controladores de dominio en la subred del cliente.

De lo contrario, el cliente vuelve a hacer una búsqueda DNS específica del sitio con el nuevo nombre de sitio óptimo. El controlador de dominio usa parte de la información del servicio de directorio para identificar sitios y subredes.

Una vez que el cliente encuentra un controlador de dominio, la entrada del controlador de dominio se almacena en caché. Si el controlador de dominio no está en el sitio óptimo, el cliente vacía la memoria caché después de 15 minutos y descarta la entrada de caché. A continuación, intenta encontrar un controlador de dominio óptimo en el mismo sitio que el cliente.

Una vez que el cliente ha establecido una ruta de acceso de comunicaciones al controlador de dominio, puede establecer las credenciales de inicio de sesión y autenticación. Y si es necesario para equipos basados en Windows, puede configurar un canal seguro. A continuación, el cliente está listo para realizar consultas normales y buscar información en el directorio.

El cliente establece una conexión LDAP a un controlador de dominio para iniciar sesión. El proceso de inicio de sesión usa el Administrador de cuentas de seguridad. La ruta de acceso de comunicaciones usa la interfaz LDAP y un controlador de dominio autentica el cliente. Por lo tanto, la cuenta de cliente se comprueba y se pasa a través del Administrador de cuentas de seguridad al agente de servicio de directorio, después a la capa de base de datos y, por último, a la base de datos del motor de almacenamiento extensible (ESE).

Solución de problemas del proceso de localizador de dominio

Para solucionar problemas del proceso de localizador de dominio:

1. Compruebe Visor de eventos tanto en el cliente como en el servidor. Los registros de eventos pueden contener mensajes de error que indican que hay un problema. Para ver Visor de eventos, seleccione Inicio, Herramientasadministrativas de programas> y, a continuación, seleccione Visor de eventos. Compruebe el registro del sistema tanto en el cliente como en el servidor. Compruebe también los registros del servicio de directorio en el servidor y los registros DNS en el servidor DNS.

2. Compruebe la configuración de IP mediante el comando en un símbolo del ipconfig /all sistema.

3. Use la utilidad Ping para comprobar la conectividad de red y la resolución de nombres. Haga ping a la dirección IP y al nombre del servidor. También puede hacer ping al nombre de dominio.

4. Use la herramienta Netdiag para determinar si los componentes de red funcionan correctamente. Para enviar una salida detallada a un archivo de texto, use el siguiente comando:

   netdiag /v >test.txt
   Revise el archivo de registro, busque problemas e investigue los componentes implicados. Este archivo también contiene otros detalles de configuración de red.

5. Para solucionar problemas menores, use la herramienta Netdiag con la sintaxis siguiente:

   netdiag /fix.

6. Use el nltest /dsgetdc:domainname comando para comprobar que un controlador de dominio se puede encontrar para un dominio específico.

7. Use la NSLookup herramienta para comprobar que las entradas DNS están registradas correctamente en DNS. Compruebe que los registros de host del servidor y los registros GUID SRV se puedan resolver.

   Por ejemplo, para comprobar el registro de registros, use los siguientes comandos:
   nslookup servername. childofrootdomain. rootdomain.com
nslookup guid._msdcs. rootdomain.com

8. Si cualquiera de estos comandos no se realiza correctamente, use uno de los métodos siguientes para volver a registrar registros con DNS:

   • Para forzar el registro de registros de host, escriba ipconfig /registerdns.
   • Para forzar el registro del servicio del controlador de dominio, detenga e inicie el servicio Netlogon.

9. Para detectar problemas de controlador de dominio, ejecute la utilidad DCdiag desde un símbolo del sistema. La utilidad ejecuta muchas pruebas para comprobar que un controlador de dominio se ejecuta correctamente. Use este comando para enviar los resultados a un archivo de texto: dcdiag /v >dcdiag.txt

10. Use la herramienta Ldp.exe para conectarse y enlazar con el controlador de dominio para comprobar la conectividad LDAP adecuada.

11. Si sospecha que un controlador de dominio determinado tiene problemas, puede resultar útil activar el registro de depuración de Netlogon. Use la utilidad NLTest escribiendo este comando: nltest /dbflag:0x2000ffff. A continuación, la información se registra en la carpeta Depurar del archivo Netlogon.log.

12. Si aún no ha aislado el problema, use Monitor de red para supervisar el tráfico de red entre el cliente y el controlador de dominio.

Referencias

Para obtener más información, vea el Kit de recursos de Windows, capítulo 10, "Diagnóstico, solución de problemas y recuperación de Active Directory".