Cuando un equipo conectado por VPN no encuentra un Controlador de Dominio (DC) para unirse a Active Directory, el problema casi siempre se reduce a DNS o enrutamiento. En este artículo desgranamos la causa habitual en entornos Windows Server 2022 con RRAS, ofrecemos una matriz de verificación paso a paso y detallamos cómo corregir cada punto, desde el pool de direcciones hasta los registros de eventos.

Escenario típico

Un servidor RRAS (Routing and Remote Access Service) sobre Windows Server 2022 proporciona acceso VPN tipo IKEv2 o SSTP. Se ha configurado un Static Address Pool para entregar direcciones privadas. Los clientes ejecutan Windows 10 Pro 22H2. La VPN levanta sin errores, pero al intentar unir el equipo al dominio aparece el mensaje:

No se pudo contactar un Controlador de Dominio de Active Directory (AD DC).

Esta advertencia enmascara casi siempre un fallo de resolución de nombres o la inexistencia de una ruta a la subred donde residen los DCs.

Tabla de diagnóstico rápido

Paso	Qué verificar / configurar	Detalle práctico
1. DNS del adaptador PPP	El cliente VPN debe usar el/los DNS internos del dominio.	En la NIC PPP (Conexión VPN) comprueba que el DNS primario sea la IP del DC. Si RRAS reparte IP mediante Static Address Pool, abre RRAS → IPv4 → Static Address Pool → Edit → DNS y escribe la(s) IP(s) de tu DNS interno. Si utilizas DHCP Relay, asegúrate de reenviar las peticiones al servidor DHCP que ya entrega los servidores DNS correctos.
2. Enrutamiento hacia la red interna	El cliente debe alcanzar la subred donde vive el DC.	El /32 (255.255.255.255) que aparece en el adaptador PPP es normal en conexiones PPP; lo importante es que RRAS “inyecte” rutas específicas hacia los segmentos internos. Si el DC está, por ejemplo, en 10.0.0.0/20, crea en RRAS (o empuja al cliente) una ruta: route add 10.0.0.0 mask 255.255.240.0 <IP_RRAS> metric 1 -pUsa la puerta de enlace virtual asignada al cliente, visible con route print.
3. Usar puerta de enlace remota	Garantiza que el tráfico destinado a la LAN se entregue por el túnel.	Cliente → Propiedades de la VPN → IPv4 → Avanzadas… → habilita Usar la puerta de enlace predeterminada en la red remota o define rutas divididas (split‑tunneling) sólo a las subredes internas.
4. Resolución DNS funcional	Confirma con herramientas.	ipconfig /flushdns ipconfig /registerdns nslookup dominio.local ping dc01.dominio.localSi nslookup no devuelve la IP del DC, regresa al paso 1.
5. Puertos y cortafuegos	Kerberos, LDAP, SMB y DNS.	En la VPN y en cualquier cortafuegos intermedio deben estar abiertos como mínimo: 53/UDP‑TCP, 88/UDP‑TCP, 389/UDP‑TCP, 445/TCP, 135/TCP y rango 49152‑65535/TCP (RPC dinámico).
6. Credenciales	Necesitas derechos para unir equipos.	Utiliza una cuenta con permiso Agregar estaciones de trabajo al dominio (p. ej. Domain Admins o una delegación específica).
7. Registros de eventos	Visualiza pistas adicionales.	Cliente: Visor de eventos → Aplicación y Servicios Logs → Microsoft → Windows → DNS Client Events y System. Servidor RRAS/DC: Logs de RRAS y Directory Services.

Cómo configurar el DNS de RRAS correctamente

El error más común es olvidarse de rellenar los servidores DNS internos en la pestaña Edit Static Address Pool.

1. Abre Routing and Remote Access.
2. Navega a IPv4 → Static Address Pool.
3. Haz doble clic en el rango y pulsa Edit.
4. En la sección DNS escribe la IP de cada DC que hospede la zona interna (ej. 10.0.0.10).
5. Aplica y pide al usuario que reconecte la VPN.

Una vez hecho, la tarjeta PPP del cliente heredará el DNS correcto sin intervención manual.

Split tunneling o puerta de enlace remota: ¿qué conviene?

Ventajas del split tunneling

• Menor consumo de ancho de banda en la oficina central.
• El tráfico hacia Internet se mantiene directo, reduciendo latencia.

Desventajas

• Puede exponer la red corporativa a riesgos si el equipo se conecta a Wi‑Fi públicos inseguros.
• Requiere listar exhaustivamente todas las subredes internas (route add) en políticas de red o scripts de conexión.

Cuándo usar la puerta de enlace remota

Escoge esta opción cuando la seguridad sea prioritaria y la organización disponga de inspección de contenido o DLP centralizados. Todo el tráfico, incluido Internet, pasa por la LAN corporativa.

Profundizando en la tabla de rutas de un cliente

Después de conectar la VPN, ejecuta route print. Deberías ver algo similar:

Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
...
          0.0.0.0          0.0.0.0      10.20.30.1      10.20.30.5     25
        10.0.0.0    255.255.240.0      10.20.30.1      10.20.30.5     25

La primera línea indica una ruta por defecto (0.0.0.0/0) que obliga a todo el tráfico a pasar por la VPN. Si prefieres split tunneling, elimina esa línea con route delete 0.0.0.0 y crea sólo la ruta a 10.0.0.0/20. Para automatizarlo emplea la opción Routes en el perfil de conexión.

Diagnósticos con PowerShell

PowerShell facilita pruebas puntuales antes de intentar unir el dominio.

# Verifica LDAP sobre TCP
Test-NetConnection dc01.dominio.local -Port 389

Comprueba Kerberos

Test-NetConnection dc01.dominio.local -Port 88

Asegura SMB para sysvol y netlogon

Test-NetConnection dc01.dominio.local -Port 445

Pregunta al DNS interno por el registro SRV LDAP

Resolve-DnsName \ldap.\tcp.dc.\_msdcs.dominio.local -Type SRV 

Si todos los puertos responden y el registro SRV aparece, la infraestructura básica funciona.

Errores habituales y su remedio

DC accesible pero unión aún falla

Comprueba que la hora del cliente no difiera más de 5 minutos respecto al DC; Kerberos es estricto. Sincroniza con w32tm /resync /nowait.

Mensaje “La relación de confianza entre esta estación de trabajo y el dominio principal ha fallado”

El equipo estaba unido antes con un objeto de cuenta que excede los 30 días de rotación de contraseña (machineAccountPasswordAge). Elimina la cuenta desde Active Directory Users & Computers y repite la unión.

Configuración avanzada de RRAS

DHCP Relay en lugar de Pool estático

Si tu organización ya dispone de un servidor DHCP interior que asigna las opciones 006 DNS Servers y 015 DNS Domain Name, RRAS puede delegar la asignación de direcciones mediante DHCP Relay. Ventajas:

• Unificación de la gestión de direcciones IP.
• Estandarización de tiempos de leasing y reservas.
• Mantenimiento centralizado de rutas estáticas mediante la opción 121 (Classless Static Routes).

Para activarlo:

1. En RRAS marca Enable DHCP Relay Agent.
2. Añade la IP del servidor DHCP interior.
3. Reinicia el servicio RemoteAccess.

Filtros de puerto y control granular

RRAS permite filtrar paquetes entrantes y salientes. Si deseas limitar la superficie de ataque sólo a puertos de AD:

1. En RRAS abre Ports → Propiedades.
2. En cada protocolo (SSTP, IKEv2…) pulsa Configure.
3. Activa Inbound filters y define las reglas para 53, 88, 135, 389, 445 y el rango RPC.

Recuerda reflejar los mismos puertos en cualquier firewall perimetral.

Automatización con scripts de conexión

Para entornos con decenas de usuarios es inviable pedir que añadan rutas manualmente. Un ejemplo de script en PowerShell que se lanza tras el evento VpnConnection = Connected:

$subnets = @('10.0.0.0/20','10.0.20.0/22','10.1.0.0/24')
$gw      = (Get-NetIPConfiguration -InterfaceAlias 'VPN*').IPv4Address.IPAddress

foreach (\$net in \$subnets) {
\$ip,\$mask = \$net.Split('/')
\$maskDec  = (\[ipaddress]\((0xffffffff -lsh - \[int]\$mask))).IPAddressToString
route add \$ip mask \$maskDec \$gw metric 1
} 

Guárdalo en C:\Scripts\PostConnect.ps1 y asócialo mediante Task Scheduler a la tarea disparada por el EventID 20226 de RasClient.

Pruebas de laboratorio reproducibles

Antes de tocar un entorno productivo, monta un laboratorio en Hyper‑V:

• VM DC01: Windows Server 2022, AD DS, DNS, 10.0.0.10/20
• VM RRAS01: Windows Server 2022, RRAS, dos NICs (LAN 10.0.0.20, WAN 192.168.56.20)
• VM CLIENT01: Windows 10 22H2, NIC NAT que simula Internet

Conéctate desde CLIENT01 a RRAS01 y sigue los pasos descritos; de esta manera podrás depurar sin impacto.

Mejores prácticas adicionales

• Pon static a la dirección IPv6 del servidor RRAS para evitar que los clientes obtengan rutas erróneas a DCs si en el futuro activas IPv6 en el bosque.
• Deshabilita Enable broadcast name resolution en el perfil VPN para reducir tráfico NetBIOS.
• Monitorea con Get-RemoteAccessConnectionStatistics para saber cuántas sesiones tienen rutas estáticas aplicadas.

Conclusiones

Un cliente que no puede unirse al dominio a través de RRAS indica casi siempre que el DC es inalcanzable por DNS o por rutas. Asegurarse de que el adaptador PPP hereda los DNS internos y de que existen rutas a la(s) subred(es) de los controladores soluciona el 95 % de los casos. Con los pasos sistemáticos de esta guía —verificar DNS, publicar rutas, validar puertos y revisar registros— tu entorno quedará listo para permitir la unión al dominio sin sobresaltos.