Equipos que se salen del Dominio

Publicado por Leonardo Ojedael

A todos alguna vez nos ocurrió de ver equipos que se salen del Dominio, devolviéndonos un cartel de que se perdió la relación de confianza.

Hablemos un poco sobre este tema

En un ambiente de Active Directory los equipos durante su arranque se autentican en el Dominio, casi como lo hace cualquier cuenta de usuario.

Cada equipo usa su nombre propio con el agregado de un signo $ al final. Por ejemplo, uno de mis equipos es DC01, utiliza la cuenta DC01$.

El por qué usa este carácter diferenciador es un poco larga, pero los viejos Dominios con Windows NT no diferenciaban en su estructura (hoy seria el Esquema) un usuario de una maquina, Así que este carácter era lo que usaba el sistema operativo para diferenciarlos.

Esta contraseña de la cuenta de máquina periódicamente se cambia. A lo largo de las diferentes versiones de sistema operativo cambió varias veces, pero actualmente es de 30 días. O sea que cada ese período la máquina cambia su contraseña. Si puede “avisarle” al Controlador de Dominio entonces mejor, pero si no puede, también lo hace

Inclusive a partir de Windows Server 2008, para ayudar a paliar estos problemas, los Controladores de Dominio, no sólo mantienen la última versión de la contraseña, sino también la anterior

Pero de todas formas, a veces sucede el problema

¿Por qué sucede el problema?

Primero enumeremos algunas de las condiciones que pueden provocarla:

  • Máquinas que hace más de 30 días estuvieron sin conectividad con un Controlador de Dominio de su Dominio. Puede ser porque estuvieron apagadas o fuera de la red.
  • Máquinas recuperadas desde una copia de seguridad (Backup) antiguo.
  • Máquinas con sistema operativo de escritorio recuperadas desde un punto de restauración.
  • Máquinas virtuales recuperadas desde un punto de restauración (“Snapshot”) del sistema de virtualización.
  • Máquinas con dirección de DNS incorrecta. Por ejemplo por no estar configuradas para usar *solamente* el o los servidores DNS que resuelven el Dominio. Nunca, nunca, nunca los del ISP o el “Router”.
  • Máquinas clonadas sin el correspondiente proceso de SYSPREP.

Y seguramente podríamos comentar aún más

¿Cómo lo soluciona la mayoría?

Bueno la mayoría usa un procedimiento que consiste en:

  • Sacar el equipo del Dominio a Grupo de Trabajo.
  • Reiniciar.
  • Borrar la cuenta de equipo en el Dominio.
  • Volver a unir el equipo al Dominio.
  • Reiniciar.

Si bien es el método mas común, es el peor de todos los procedimientos, porque además del tiempo que conlleva (reiniciar el equipo dos veces) cuando se une nuevamente el equipo al dominio se le asigna un nuevo SID.

Sin entrar en detalles, el SID es análogo a un número de documento. El sistema muestra en la interfaz gráfica nombres de máquinas, usuarios y grupos, pero internamente utiliza sus correspondientes SIDs. Análogamente a un número de documento de persona, nunca ese número es reutilizado.

Como consecuencia, la máquina, que es la misma, para el Domino es otra totalmente diferente, aunque se llame igual y esté configurada exactamente igual, y sea el mismo hardware, por lo tanto si se están ejecutando servicios con la cuenta de equipo, o se ha agregado el equipo a algún grupo para darle ciertos privilegios, todos eso se pierde irremediablemente.

Entonces ¿Cómo lo solucionamos?

Aproveché a hacer esta nota, dado que me sucedió en mi laboratorio con un servidor Core (El procedimiento será el mismo para cualquier equipo, tenga UI o sea Core).

Recuerden que DEBEMOS contar con la cuenta de Administrador Local habilitada.

  • Al intentar loguearme con mi usuario de Dominio sobre el servidor, me devolvió el mensaje de error, por lo cual le di click en Ok:

  • Así que inicié sesión con la cuenta de Administrador local sobre el equipo:

  • En el caso de que lo hagan sobre un equipo con UI, deberán ejecutar un CMD como Administrador (obviamente en este caso no es necesario porque Server Core ya lo abre como Admin), ejecutaremos el comando “NETDOM RESETPWD /Server:NombreDC /UserD:DOMINIO\Administrador /Password:Contraseña del administrador de DOMINIO” Luego daremos Enter:

  • Les tiene que devolver el mensaje de que se corrió de forma correcta el comando:

  • Harán un log off de la cuenta de Administrador Local (en mi caso lo haré por comando):

  • Probaremos iniciar sesión con nuestro usuario de Dominio:

  • Como se puede observar, ya podemos iniciar sesión de forma correcta con nuestro usuario de Dominio:

 

Sin reiniciar el Servidor pudimos iniciar sesión, sin cambio de SID y muy rápidamente.

Espero que les sea de utilidad.

 

!Saludos!

 

 

 

 

Deja una respuesta