No se pueden unir estaciones de trabajo Win7 al dominio Win2k8

Estoy tratando de conectar una máquina con Windows 7 Ultimate a un dominio de Windows 2k8 y no funciona. Me sale este error:

Nota: Esta información está destinada a un administrador de red. Si no es el administrador de su red, notifique al administrador que recibió esta información, que se ha registrado en el archivo C: \ Windows \ debug \ dcdiag.txt.

Se consultó con éxito el DNS para el registro de recursos de ubicación de servicio (SRV) utilizado para ubicar un controlador de dominio para el dominio "ejemplo.local":

La consulta fue para el registro SRV para _ldap._tcp.dc._msdcs.example.local

La consulta identificó los siguientes controladores de dominio:
dc1.example.local
dc2.example.local

Sin embargo, no se pudo contactar a ningún controlador de dominio.

Las causas comunes de este error incluyen:

• Los registros de host (A) o (AAAA) que asignan los nombres de los controladores de dominio a sus direcciones IP faltan o contienen direcciones incorrectas.

• Los controladores de dominio registrados en DNS no están conectados a la red o no se están ejecutando.

El cliente está en una oficina conectada remotamente a través de MPLS al centro de datos donde existen nuestros controladores de dominio. Parece que no tengo nada que bloquee la conectividad a los DC, pero no tengo control total sobre el circuito MPLS, por lo que es posible que haya algo que bloquee la conectividad.

He probado varios clientes (Win7 Ultimate y WinXP SP3) en la única oficina y tengo los mismos síntomas en todos ellos.

No tengo problemas para conectarme a ninguno de los controladores de dominio, aunque, ciertamente, no he probado todos los puertos posibles. Las conexiones ICMP, LDAP, DNS y SMB funcionan bien.

El DNS del cliente apunta a los DC y "example.local" resuelve las dos direcciones IP de los DC.

Obtengo esta salida de la utilidad de línea de comandos de prueba de NetLogon:

C:\Windows\System32>nltest /dsgetdc:example.local
Getting DC name failed: Status = 1355 0x54b ERROR_NO_SUCH_DOMAIN

También he creado una red separada para emular la configuración de esa oficina que está conectada a la red DC a través de LAN-to-LAN VPN en lugar de MPLS. Unirse a computadoras con Windows 7 desde esa red remota funciona bien.

La única diferencia que puedo encontrar entre los dos entornos es la conectividad intermedia, pero no tengo ideas sobre qué probar o cómo hacerlo. ¿Qué pasos adicionales debo tomar?

(Tenga en cuenta que esta no es realmente la estación de trabajo de mi cliente y no tengo acceso directo a ella; me veo obligado a hacer un acceso remoto de manos a ella, lo que hace que algunos de los métodos obvios de solución de problemas, como la detección de paquetes, sean más difíciles. Si yo simplemente podría configurar un sistema allí en el que podría controlar remotamente, lo haría, pero las solicitudes a tal efecto han quedado sin respuesta).

Actualización del 25/08/2011:
me había DCDIAG.EXEejecutado en un cliente que intentaba unirse al dominio:

C:\Windows\System32>dcdiag /u:example\adminuser /p:********* /s:dc2.example.local

Directory Server Diagnosis

Performing initial setup:
   Ldap search capabality attribute search failed on server
   dc2.example.local, return value = 81

Parece que pudo conectarse a través de LDAP, pero lo que intentaba hacer falló. Pero no entiendo muy bien lo que estaba tratando de hacer, mucho menos cómo reproducirlo o resolverlo.

Actualización del 26/08/2011: el
uso LDP.EXEpara intentar establecer una conexión LDAP directamente con los DC produce estos errores:

ld = ldap_open ("10.0.0.1", 389);
Error <0x51>: no se pudo conectar a 10.0.0.1.
ld = ldap_open ("10.0.0.2", 389);
Error <0x51>: no se pudo conectar a 10.0.0.2.
ld = ldap_open ("10.0.0.1", 3268);
Error <0x51>: no se pudo conectar a 10.0.0.1.
ld = ldap_open ("10.0.0.2", 3268);
Error <0x51>: no se pudo conectar a 10.0.0.2.

Esto parecería señalar a las conexiones LDAP que están bloqueadas en alguna parte. (Y 0x51 == 81, que fue el error de DCDIAG.EXEla actualización de ayer). Podría jurar que probé esto TELNET.EXEhace semanas, pero ahora estoy pensando que podría haber asumido que al borrar la pantalla me decía que era esperando y no que se hubiera conectado.

Estoy rastreando problemas de conectividad LDAP ahora. Esta actualización puede convertirse en una respuesta.

Tardó una eternidad en encontrar dónde estaba sucediendo, pero resulta que había filtros dentro de la VPN que bloqueaba el tráfico LDAP (y otros). Limpié esos filtros y ahora está funcionando.

Podría haber un firewall entre la máquina Win7 y los controladores de dominio.

Si tiene acceso a nmap :

nmap -PN -p389 dc1.example.local dc2.example.local

Actualizar:

nltest /dsgetdc:example.local

nslookup -q=srv _ldap._tcp.dc._msdcs.example.local  
nslookup -q=a $prefered_host  
ldapsearch -h $IPaddress_of_A_record -x -b "" -s base (&(DNSDomain=example.local)(HOST=$localmachineshostname)(NtVer=\\\\16\\\\00\\\\00\\\\00)) netlogon

NtVer está pidiendo V5 (inicio de sesión de la versión 5), V5EX (inicio de sesión extendido de la versión 5), VCS (cc más cercano). Tomado de Win7Ent.

(ldap hexadecimal es trixy).

¿Parece que el win7 no está apuntando su DNS a un DC? ¿Quizás DHCP está apuntando DNS a los proveedores de internet DNS?

Parece que ha probado y probado todo en lo que respecta al DNS, pero ¿ha verificado que los registros A para los servidores DC / DNS existen y son correctos? ¿Qué sucede cuando ejecuta nslookup probando en ambos servidores la presencia de los registros A para ambos servidores? ¿Los DC devueltos en el mensaje de error son realmente los servidores DC / DNS correctos para el dominio?

¿Existe la posibilidad de que el cliente en la oficina remota solo ejecute IPv6 y si bien encuentra el registro SRV para DC, DNS no está configurado con registros AAAA (IPV6)?