Problemas con relación de confianza

¿Y si lo hacer por vez 341?
XDDDDDDDDDDDD
Creo que era Einstein que daba como definición de loco, a alguien que
repetía siempre la misma experiencia tratando de obtener resultados
diferentes :-)))

Hablando en serio ahora, asumo que puedes hacer PING, que TCP-53 está
abierto en ambos cortafuegos, que el nombre de zona está bien lo mismo que
las IPs, así que hay que investigar por otro lado
Aunque no nombras si en el log del DNS hay algún error relacionado ¿no hay?

Haz esta prueba a ver si podemos encontrar una punta para investigar. Prueba
desde un sitio con NSLOOKUP apuntando al servidor del otro lado a ver si
responde

NSLOOKUP
SERVER "IP_del_otro_sitio"
fqdn.servidor.del.otro dominio

¿Resuelve? Esto no usa TCP-53, sino UDP-53, pero nos puede dar la pista si
está respondiendo remotamente



Saludos

Guillermo Delprato
MVP-MCT-MCSE-MCSA-MCP
Buenos Aires, Argentina

NOTA. Por favor, las preguntas y comentarios en los grupos, así nos
beneficiamos todos.

Este mensaje se proporciona "como está" sin garantías de ninguna clase,
y no otorga ningún derecho. Ud. asume los riesgos This posting is
provided "AS IS" with no warranties, and confers no rights. You assume
all risk for your use.




Raül Vidiella wrote:

Creo que es la vez 340 que lo reviso, incluso le he puesto a cualquier
servidor para ver si era algun problema de permisos.
Gracias

En/na Guillermo Delprato [MS-MVP] ha escrit:

Si no puedes cargar la zona secundaria, revisa que en el DNS master
(maestro) estén permitidas las transferencias de zona

Pues aunque no te lo creas lo de apagar y volver a arrancar hay veces
que funciona, y no te hablo de lo del martillo :-).

A ver. he probado lo que me has dicho, de un lado funciona, pero del
otro da un error de timeout en la consulta al dns. En cambio funciona el
ping por nombre de servidor en ambos lados, supongo que debido a que he
rellenado el lmhost con las direcciones de los servidores. Puede dar
esto algún conflicto con la resolución de nombres por el dns ?.

Gracias por tu ayuda.


En/na Guillermo Delprato [MS-MVP] ha escrit:

¿Y si lo hacer por vez 341?
XDDDDDDDDDDDD
Creo que era Einstein que daba como definición de loco, a alguien que
repetía siempre la misma experiencia tratando de obtener resultados
diferentes :-)))

Hablando en serio ahora, asumo que puedes hacer PING, que TCP-53 está
abierto en ambos cortafuegos, que el nombre de zona está bien lo mismo que
las IPs, así que hay que investigar por otro lado
Aunque no nombras si en el log del DNS hay algún error relacionado ¿no hay?

Haz esta prueba a ver si podemos encontrar una punta para investigar. Prueba
desde un sitio con NSLOOKUP apuntando al servidor del otro lado a ver si
responde

NSLOOKUP
SERVER "IP_del_otro_sitio"
fqdn.servidor.del.otro dominio

¿Resuelve? Esto no usa TCP-53, sino UDP-53, pero nos puede dar la pista si
está respondiendo remotamente

¡Bien! no solucionado, pero si ubicado el problema

Respecto al LMHOSTS te conviene quitar la entrada, ya que LMHOSTS es para
nombres NetBIOS, y el PING de MS a veces usa NetBIOS (esto es horrible pero
es así)

Si cuando haces NSLOOKUP de un sitio al servidor DNS en el otro, entonces el
problema seguramente está en la conectividad. Prueba con PING Dir_IP_del_DNS
Debería funcionar, si no funciona entonces el problema casi seguro que está
en IP (dirección, máscara o puerta de enlace). Puede ser un lado o en el
otro. Por ejemplo, revisa que el servidor DNS remoto tenga puesta la puerta
de enlace adecuada, para poder responder


Saludos

Guillermo Delprato
MVP-MCT-MCSE-MCSA-MCP
Buenos Aires, Argentina

NOTA. Por favor, las preguntas y comentarios en los grupos, así nos
beneficiamos todos.

Este mensaje se proporciona "como está" sin garantías de ninguna clase,
y no otorga ningún derecho. Ud. asume los riesgos This posting is
provided "AS IS" with no warranties, and confers no rights. You assume
all risk for your use.




Raül Vidiella wrote:

Pues aunque no te lo creas lo de apagar y volver a arrancar hay veces
que funciona, y no te hablo de lo del martillo :-).

A ver. he probado lo que me has dicho, de un lado funciona, pero del
otro da un error de timeout en la consulta al dns. En cambio funciona
el ping por nombre de servidor en ambos lados, supongo que debido a
que he rellenado el lmhost con las direcciones de los servidores.
Puede dar esto algún conflicto con la resolución de nombres por el
dns ?.
Gracias por tu ayuda.


En/na Guillermo Delprato [MS-MVP] ha escrit:

¿Y si lo hacer por vez 341?
XDDDDDDDDDDDD
Creo que era Einstein que daba como definición de loco, a alguien que
repetía siempre la misma experiencia tratando de obtener resultados
diferentes :-)))

Hablando en serio ahora, asumo que puedes hacer PING, que TCP-53 está
abierto en ambos cortafuegos, que el nombre de zona está bien lo
mismo que las IPs, así que hay que investigar por otro lado
Aunque no nombras si en el log del DNS hay algún error relacionado
¿no hay? Haz esta prueba a ver si podemos encontrar una punta para
investigar. Prueba desde un sitio con NSLOOKUP apuntando al servidor
del otro lado a ver si responde

NSLOOKUP
SERVER "IP_del_otro_sitio"
fqdn.servidor.del.otro dominio

¿Resuelve? Esto no usa TCP-53, sino UDP-53, pero nos puede dar la
pista si está respondiendo remotamente

Concretemos. Tenemos server1.dominio1 y server2.dominio2.
Desde server1:
ping server2.dominio2.local OK
ping ip_server2 OK
nslookup

server2.dominio2.local OK
SERVER ip_server2
server2.dominio2.local OK
server1.dominio1.local FALLA

Desde server 2
ping server1.dominio1.local OK
ping ip_server1 OK
nslookup

server1.dominio1.local FALLA
SERVER ip_server1 (DNS request timed out, timeout as 2 secons, pero

parece conectar)

server1.dominio1.local (DNS request timed out, timeout as 2 secons,

caducado)

Configuración firewall
LAN =server 1
DMZ =server 2
Politicas LAN-DMZ
Todos los protocolos permitidos desde ip_server1 a ip_server2
Politicas DMZ-LAN
Todos los protocolos permitidos desde ip_server2 a ip_server3

Eliminadas las entradas LMHOST y purgada la cache.
Ip/mascaras de los servidores correctas.
DNS apuntando cada uno a si mismo.

.. no se donde revisar, se me han agotado las ideas.

Saludos
Raül Vidiella






En/na Guillermo Delprato [MS-MVP] ha escrit:

¡Bien! no solucionado, pero si ubicado el problema

Respecto al LMHOSTS te conviene quitar la entrada, ya que LMHOSTS es para
nombres NetBIOS, y el PING de MS a veces usa NetBIOS (esto es horrible pero
es así)

Si cuando haces NSLOOKUP de un sitio al servidor DNS en el otro, entonces el
problema seguramente está en la conectividad. Prueba con PING Dir_IP_del_DNS
Debería funcionar, si no funciona entonces el problema casi seguro que está
en IP (dirección, máscara o puerta de enlace). Puede ser un lado o en el
otro. Por ejemplo, revisa que el servidor DNS remoto tenga puesta la puerta
de enlace adecuada, para poder responder

Mas datos. Configuración de la zona secundaria que no carga. Ip del
servidor principal correcta (el mismo resuelve el nombre), En general
->estado pone caducado, en la zona primaria e incrementado el numero de
serie para ver si actualiza pero no lo hace, notificaciones activadas.

Gracias
Raül Vidiella