¿Por qué no puedo unir un servidor Win2008R2 a un dominio de Directorio Activo?

Hola a todos.

Recientemente se nos planteó un caso de este tipo en soporte. En este caso era debido a que los DCs Windows Server 2003 se estaban “comportando” como Windows NT. Aquí tenéis toda la histora:

Entorno:

• Dominio con 3 DCs Windows Server 2003 (SP2) y múltiples BDCs Windows NT4.0
• Modo functional Windows 2003 Interim
  • How to raise domain and forest functional levels in Windows Server 2003
  • Functional Levels Background Information
• Servidores miembro Windows Server 2003

Problema:

• No se podía unir equipos Windows Server 2008R2 al dominio como servidores miembro
• Al intentar unirse especificando el nombre FQDN del dominio se recibía el error:

An Active Directory Domain Controller (AD DC) for the domain DOMINIO.COM could not be contacted. Ensure that the domain name is typed correctly

• Al intentar unirse especificando el nombre NETBIOS del dominio se recibía el error:

The following error occurred attempting to join the domain DOMINIO: The specified domain either does not exist or could not be contacted

• El problema se repetía al intentar unir equipos Windows Server 2003 al mismo dominio mediante el nombre FQDN, pero NO ASÍ por mediante el nombre NETBIOS donde SÍ lograban unirse correctamente al mismo dominio.

A su vez, determinamos que los mismos servidores Win2008R2 SÍ podían unirse correctamente utilizando el nombre FQDN a otros dominios del mismo entorno

• Durante nuestra investigación obtuvimos y analizamos trazas de red del tráfico entro los equipos Win2008R2 y los DCs

Observamos que, en principio, los DCs respondían “correctamente” a las peticiones de los clientes (no había cortes de tráfico ni errores en las comunicaciones entre los prospectivos servidores miembros 2008R2 y los DCs). A pesar de ver que recibían “respuestas” por parte de los DCs, los equipos Win2008R2 persistían en repetir las mismas peticiones para localizar información del dominio al que se querían unir, hasta finalmente fallar con los errores ya citados

Investigación

El problema finalmente tenía 2 matices:

1)

• A pesar de ser Win2003, los 3 DCs del dominio, a ojos de los clientes “actuaban” como servidores Windows NT4.
• Tenían configurados una clave de registro NT4Emulator,   que existe (como medida temporal) para evitar que se sobrecarguen los nuevos DCs de tipo directorio activo durante la migración de un dominio de tipo Windows NT4 a directorio activo
• La descripción y la funcionalidad de la clave de registro se encuentran en el siguiente artículo:

298713 How to prevent overloading on the first domain controller during domain upgrade

The NT4Emulator parameter specifies whether this domain controller will emulate the behavior of an Windows NT 4.0-based domain controller. By default, the domain controller does not emulate this behavior. Emulation of the Windows NT 4.0 behavior is desirable when the first domain controller that is running Windows 2000 or a later version of Windows is promoted to a primary domain controller in a Windows NT 4.0 domain that has many Windows 2000-based clients. Unless you emulate the Windows NT 4.0 behavior, all the Windows 2000-based clients will target the Windows-based domain controller and potentially overload it. This parameter is ignored on computers that are not domain controllers.

• Respecto a este caso concreto, observamos los comportamientos descritos en rojo

If this parameter is set to TRUE, the following scenario occurs on a domain controller:

• • Incoming LDAP locator pings are ignored unless the ping comes from an admin computer. (See the "Neutralizing Windows NT 4.0 Emulation for Some Computers" section.)
  • The flags that are negotiated during the incoming security channel setup will be set to what an Windows NT 4.0-based domain controller can support unless the channel setup comes from an admin computer.

• Ambos puntos explicaban por qué los clientes Win2008R2 repetían sus peticiones a pesar de recibir “respuesta”, tanto en los intentos de unirse al dominio mediante nombre FQDN como mediante nombre Netbios

2)

• A su vez el hecho de que los servidores Win2008R2 no se unieran al dominio pero los equipos Win2003 sí  (a través de NETBIOS )se explica en el siguiente artículo:

940268 Error message when you try to join a Windows Vista, Windows Server 2008, Windows 7, or Windows Server 2008 R2-based computer to a Windows NT 4.0 domain: "Logon failure: unknown user name or bad password"

• En resumen, los DCs se comportaban como máquinas NT4, y Win7/Win2008R2 no pueden unirse a un dominio de tipo NT4.

Resolución

• Pudimos unir los equipos Windows Server 2008R2 correctamente al dominio tras crear el valor de registro NeutralizeNT4Emulator que les permitía contactar con los DCs Windows Server 2003 y que éstos les respondiesen “correctamente”

Tolu Igbon