Hola a todos, tengo un problemilla y antes de formatear y reinstalar todo queria a ver si alguien se ha encontrado con un caso parecido...

ActiveDirectory en Windows 2003 con nombre DOMINIO.ES, nombre que asu vez está dado de alta en internet.

Los clientes se conectan al servidor a través de VPN, y el DNS SÓLO apunta a la del servidor (no hay secundária apuntando a ningun sitio ni a internet).

Al meter la máquina en dominio - ningún problema.
Al hacer logon - ningun problema
Durante la aplicación de politidas - error UserEnv 1054

Por lo que he estado viendo (y el error que aparece en eventvwr) es porque no es capas de resolver el nombre del dominio.

De hecho, si haces un telnet al pueto de LDAP (389) o de AD (53) con la dirección ip (192.168.1.1) todo lo hace correcto, pero al hacerlo por nombre (DOMINIO.ES) da time-out.

Supongo que el problema es que lo intenta resolver en internet y entonces lo reencamina a la IP pública...

Sabeis de que forma puedo limitar esto para que sólo resuelva en el DNS local?

En la configuración del DNS tengo puestos reencaminadores a los DNSs del ISP para que los clientes (XP) primero resuelva nombres locales, y en caso de no encontrarlo vayan a internet (puesto que el nombre del dominio es el mismo), y si hago una prueba de resolución de nombre por ping o tracert lo hace correcto, se va a la privada y en caso de hacerlo de GOOGLE.COM o cualquier URL / Ip pública lo hace bién, pero en LOGON de usuario a la hora de descargar las politicas, nada de nada...

Espero que me podais ayudar.
Gracias

Hola, Mi nombre es diego, tengo el mismo problema y no he podido resolverlo, si sabes de algo me cuentas porfa, no he podido aplicar politicas en el dominio por ese mismo error, igualmente si me doy cuenta de algo te informo,..

Gracias

Ya se cual es el priblema, pero aún no he podido solucionarlo.
El problema está en que cuando se inicia el proceso de descarga de la GPO, el cliente hace una comprobación del ancho de banda lanzando ping de gran tamaño y si recibe respuesta del DC se inicia, sino lo cancela con el error que nos dá.

Lo que realmente hace en enviar un ping (PING -L 2404 xxx.xxx.xxx.xxx) y en teorñia al ser el tamaño superior a 1500 que es el máximo de MTU que tiene por defecto los interfaces de red, se ha de fragmentar el paquete y enviarlo en varias partes a no ser que reciba una petición de Bit DF (Don't Fragment) y lo que hace es intentar pasar el paquete tal cual sin fragmentarlo, el problema es que no llega correcto el paquete a destino y no se inicia la comunicación.

Normalmente el que activa el bit DF es o el router origen o el router destino, y es en éstos donde se ha de revisar la configuración de DF para que no aplique.

Si aún así lo tuvieses desactivado, prueba a bajar la MTU de los interfaces correspondientes en los routers a 1404 en lugar de 1500, ya que entre cabeceras y todo el paquete podría superar de por sí los 1500.

Por lo que he estado comprobando, el tamaño de la cabecera en una comunicación en tunel en 3DS SHA1 MD5 es de 68b, asi que un paquete de 1500 realmente llegaría a destino con tamaño 1568...

Nosé, ve haciendo pruebas y ya me contarás si te ha servido de algo.