none
Falla en Directorio Activo RRS feed

  • Pregunta

  • Estimados,

    Tengo el siguiente problema:

    tengo 6 Active directory en 5 Site

    Site uno

    ad-01.dominio.com (Este contenia todos los roles FSMO)

    ad-02.dominio.com

    Site dos

    Ad-03.dominio.com

    Site 3

    Ad-04.dominio.com

    Site 4

    Ad-05.dominio.com

    Site 5

    Ad-06.dominio.com

    El Ad-01 se daño... Murio...

    Pasamor los roles de FSMO al Ad-02 por medio de seize.

    Ahora viene el siguiente tema:

    La maquina la despromovimos y la volvimos a promover y cuado ingresamos al Equipo nos sale el siguiente error:

    No abre absolutamente nada. Ni el Server manger, Ni las consolas de las herramientas administrativas, nada es nada.

    Entonces hicimos una maquina nueva de la plantilla que nosotros tenemos de Windows Server 2012 le pusimos el mismo nombre, la misma IP y al mismo Site y nos dio el mismo error.

    Luego le cambiamos el nombre e hicimos otra maquina con la misma plantilla, la misma direccion IP y el mismo Site y nos dio el mismo error.

    Ahora cambiamos a otro nombre, otra IP con otra maquina de la plantilla que nosotros tenemos de Windows server y al mismo site. Y nos da el mismo error.

    Ahora se hizo una maquina totalmente nueva sin plantilla, con otro nombre y direccion IP nueva en el mismo site.

    Y nos da el mismo error.

    Que puede ser que cuando promovemos una maquina como Domain Controller se pierden los permisos.

    NOTA: si ingresamos la maquina como miembro del dominio no pasa esto.

    NOTA:Cada que se elimina un AD se hace limpieza de metadata con la herramienta ntdsutil.

    Saludos,


    Edwin Duran Ospina Si la respuesta ha Colaborado con tu solución, favor marcarla como correcta.


    lunes, 25 de abril de 2016 21:34

Respuestas

  • Estimados,

    Gracias por las respuestas.

    El tema fue solucionado.

    Dado que por ningún motivo nos dejaba acceder a nada, porque cada cosa que abríamos, nos daba el error.

    El motivo era que la maquina virtual esta en un VMWare, y en ese host virtualizador, el cliente tiene que se use las Tools de VMWare, y dentro de ella esta que sincronice con el Host NPS Server. este Host fue el servidor que murio y con la misma IP. Por lo tanto siempre iba a buscar a ese host y como no encontraba el Rol PDC, pasaba eso.

    Se cambio el Servidor NPS Server al servidor que nosotros habíamos pasado los roles y funciono correctamente.

    Saludos y Gracias,


    Edwin Duran Ospina Si la respuesta ha Colaborado con tu solución, favor marcarla como correcta.

    miércoles, 27 de abril de 2016 16:32

Todas las respuestas

  • Hola EDWin, primero revisa si se han eliminado los rastros en los 3 lugares necesarios, como indica esta nota

    Windows Server 2012 (R2): Crear un Dominio – Quitar un Controlador de Dominio que No Se Puede “Despromover” y Reemplazarlo | WindowServer:
    https://windowserver.wordpress.com/2015/01/13/windows-server-2012-r2-crear-un-dominio-quitar-un-controlador-de-dominio-que-no-se-puede-despromover-y-reemplazarlo/

     

    La otra es usando el procedimiento recomendado por la KB, revísalo nuevamente por las dudas

    How to remove data in Active Directory after an unsuccessful domain controller demotion:
    https://support.microsoft.com/en-us/kb/216498

    Porque si creando una máquina nueva, sin plantilla ni cambiando valores, la posibilidad que queda es que el "daño" esté en la infraestructura existente

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    lunes, 25 de abril de 2016 22:02
    Moderador
  • Hola "EDWin Duran Ospina" como estas,

    Verifica en cada DC que no exista el DC despromovido:

    CN=NTDS Settings,CN=server,CN=Servers,CN=site,CN=Sites,CN=Configuration,DC=domain

    Verifica los logs:

    %systemroot%\debug\dcpromo.log
    %systemroot%\debug\dcpromoui.log

    Aplica:

    Demoting Domain Controllers and Domains (Level 200)
    https://technet.microsoft.com/en-us/library/jj574104.aspx

    AD DS Installation and Removal Wizard Page Descriptions
    https://technet.microsoft.com/en-us/library/hh831457.aspx

    Observa:

    DB Upgrade/DC Promotion/DC Demotion
    https://technet.microsoft.com/en-us/library/cc756637(v=ws.10).aspx

    Domain Controller Demotion
    https://technet.microsoft.com/en-us/library/cc756564(v=ws.10).aspx

    Ejecuta "repadmin /replsummary".

    Espero sea de ayuda. Saludos.

    martes, 26 de abril de 2016 3:18
  • Buen dia Guillermo.

    Lei el link numero uno. El procedimiento se hizo tal como indica el link.

    De igual manera se procedio tambien como se indica el segundo link.

    Te informo que todo el procedimiento, desde el primer dia, el cliente lo escalo con el area Gold de Microsoft, y ellos fueron lo que ejecutaron todas las acciones. Ahora dado que no se puede agregar ningun controlador nuevo, porque siempre que se agrega uno nuevo queda con la negacion de los permisos que te he informado el error.

    Algun otro apoyo?

    Mil gracias,


    Edwin Duran Ospina Si la respuesta ha Colaborado con tu solución, favor marcarla como correcta.

    martes, 26 de abril de 2016 12:18
  • Estimado,

    Ignacio.

    Tambien vi los link, todos los procedimientos han sido seguidos por parte de Microsoft.

    El problema es que al subir el equipo al dominio e instalarle el rol y promocionarlo como Domain Controller, termina bien, reiniciar y cuando quiero ingresar he perdido todos los permisos.

    Que mas puede ser, debido que ya lo hemos hecho con nombres diferentes, por lo cual no deberia afecta, ademas le cambiamos la direccion IP hemos hecho maquinas desde plantillas y maquinas desde cero con la instalacion del CD. Lo urgente es que necesitamos agregar mas controladores de dominio y ya no deja agregar ningun. ;(S

    Si me pueden apoyar en algo mas se los agradezco.

    Ya hemos revisado con el equipo de Microsoft tanto los link de Guillermo e Ignacio.

    Mil gracias,


    Edwin Duran Ospina Si la respuesta ha Colaborado con tu solución, favor marcarla como correcta.

    martes, 26 de abril de 2016 13:03
  • En primera instancia si lo hizo el soporte Gold de Microsoft, no habría que dudar para nada, pero últimamente estoy bastante desconfiado de todo el mundo :)

    No me quedaría tranquilo hasta verificar con NTDSUTIL que realmente no está el "viejo" DC

    Entiendo que lo hace con un administrador con todos lo privilegios necesarios, pero si no lo haz hecho, probaría el procedimiento de promoción con la cuenta por omisión de Administrator

    Una opción más que haría es con los eventos relacionados buscar con "Source" y "EventID". Es muy raro que algo suceda solamente en un único caso

    Y si nada de lo anterior funciona, entonces si tienen un soporte Gold de Microsoft, ir por ahí, supongo que son los únicos que pueden llegar a dar una solución

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Propuesto como respuesta Moderador M martes, 26 de abril de 2016 15:38
    martes, 26 de abril de 2016 13:37
    Moderador
  • Cordino con Guillermo, desde cada DC ingresa a Event Viewer y verifica solo los errores y postea el # de event id y el source.
    Otra cosa, observa bien antes de reiniciar el log de promoción DC y las GPOs.
    Intenta con otro usuario que no sea el propio "Administrator".
    Intenta promover el DC apuntando a otro DNS.

    miércoles, 27 de abril de 2016 14:01
  • Estimados,

    Gracias por las respuestas.

    El tema fue solucionado.

    Dado que por ningún motivo nos dejaba acceder a nada, porque cada cosa que abríamos, nos daba el error.

    El motivo era que la maquina virtual esta en un VMWare, y en ese host virtualizador, el cliente tiene que se use las Tools de VMWare, y dentro de ella esta que sincronice con el Host NPS Server. este Host fue el servidor que murio y con la misma IP. Por lo tanto siempre iba a buscar a ese host y como no encontraba el Rol PDC, pasaba eso.

    Se cambio el Servidor NPS Server al servidor que nosotros habíamos pasado los roles y funciono correctamente.

    Saludos y Gracias,


    Edwin Duran Ospina Si la respuesta ha Colaborado con tu solución, favor marcarla como correcta.

    miércoles, 27 de abril de 2016 16:32