none
Recuperacion AD en 2000 server RRS feed

  • Pregunta

  • Hola,

    Estoy intentando hacer una recuperación desde cero del dominio que actualmente administro en la empresa.

    Este dominio esta compuesto por 3 DC, pero solo estoy interesado en restaurar el principal que alberga el Catalogo Global y es el controlador principal de dominio.

    El entorno de laboratorio se ha montado en un Vmware.

    La restauración la he acometido siguiendo los pasos de los articulos 263352 y 216498 (para hacer limpieza de la topologia de red con el resto de servidores).

    Todo parece que funciona dentro del Controlador restaurado, pero no es asi. No deja integrar en Active Directory ninguna máquina y practicamente no funciona nada, pero desde el entorno gráfico todo parece correcto. Las trazas que deja son las típicas en este tipo de casos (fallos ntfrs, fallos consulta dns externas,...).

    Lo peor que he encontrado es que dice que no alberga el catalogo gobal cuando si es asi.

    ¿Que puedo hacer? Estoy un poco desesperado pues llevo ya unas semanas con ello y por mas que restauro una y otra vez siempre llego a la misma situación.

    Gracias de antemano.

    Saludos.
    martes, 15 de enero de 2008 10:24

Respuestas

  • En principio a ver ... el DC que era el GC del dominio lo perdistes ... y por lo que veo los otros dos no estaban configurados como Global CAtalog ( Mala practica ).

     

    Ok en cuanto a " recuperarlo " tal vez ni siquiera haria falta ... solo debes setear alguno de los otros dos DC como Global Catalog , esto lo haces desde Sites And Services , Default First Site Name , Servidor , NTDS settings Propiedades , ahi seleccionas Global Catalog, una vez que te haya tomado el GC , el otro dc que se da;o puedes agregarlo como controlador de dominio adicional y replicara pla configuracion de los dos DC vivos.

     

    En caso que el dc que fallecio , tuviera roles FSMO debes pasarlos utilizando ntdsutil a cualquiera de los otros dos DC.

     

    Slds
    Sebastian del Rio

     

    martes, 15 de enero de 2008 16:30
    Moderador

Todas las respuestas


  • ¿Nadie sabe nada?

    Agradecería vuestra ayuda.

    Saludos.
    martes, 15 de enero de 2008 14:59
  • En principio a ver ... el DC que era el GC del dominio lo perdistes ... y por lo que veo los otros dos no estaban configurados como Global CAtalog ( Mala practica ).

     

    Ok en cuanto a " recuperarlo " tal vez ni siquiera haria falta ... solo debes setear alguno de los otros dos DC como Global Catalog , esto lo haces desde Sites And Services , Default First Site Name , Servidor , NTDS settings Propiedades , ahi seleccionas Global Catalog, una vez que te haya tomado el GC , el otro dc que se da;o puedes agregarlo como controlador de dominio adicional y replicara pla configuracion de los dos DC vivos.

     

    En caso que el dc que fallecio , tuviera roles FSMO debes pasarlos utilizando ntdsutil a cualquiera de los otros dos DC.

     

    Slds
    Sebastian del Rio

     

    martes, 15 de enero de 2008 16:30
    Moderador

  • Hola Sebastian,

    Creo que no me he explicado correctamente. Estoy montando un laboratorio con los servidores que actualmente tenemos en producción, pero en virtual (VMWARE).

    El principal problema que me he encontrado ha sido cuando he restaurado el actual controlador de dominio. Es un Windows 2000 Server con SQL (aplicación externa). Seguí el procedimiento descrito por Veritas y Microsoft, pues las copias estan hechas con Veritas 10.

    support.microsoft.com/kb/263532
    eval.veritas.com/mktginfo/enterprise/white_papers/ent-whitepaper_protecting_active_directory.pdf

    Una vez estaba restaurado el sistema, procedí a quitar el resto de servidores que ahora mismo no encuentra, pues lo he ubicado en una red virtual para no causar problemas con el que se encuentra en producción.

    Para quitar el resto de servidores, utilicé el documento que Microsoft tiene.

    support.microsoft.com/kb/216498

    Hasta aqui, todo parece estar bien. Instalé un nuevo servidor con 2000 Server para transferir la información de Active Directory a este y asi poder eliminar al restaurado. Cuando intento agregar este nuevo servidor (virtual) al dominio, me sale un error diciendo que no ubica el dominio que buscamos.

    No puedo agregar ni este ni ningun equipo.

    ¿Sabes por que ocurre esto?

    Respecto a lo del Catalogo Global, ¿cómo sé o habilito que el resto de controladores de dominio sean también servidores de Catalogo Global?

    No sabía que se podía configurar más de un servidor de Catalogo Global dentro de la misma red.

    Gracias por tu atención.

    Un saludo,

    Antonio Pérez
    miércoles, 16 de enero de 2008 9:41
  • Asegurate que ese servidor actual que esta funcionando sea catalogo global , y posea todos los roles FSMO.

    Para ver si es catalogo Global lo puedes ver de Active directory Sites And Services , Default First Site Name , Server , NTDS Settings propiedades. Ahi veras una tilde que dice GLobal Catalog.

     

    Luego cuando vas a incluir el segundo servidor en el dominio asegurate que la direccion Primaria DNS de ese segundo servidor este apuntando a tu controlador de domino actual ( O sea al que esta funcionando)

    Si incluso asi sigues con problemas, instala las support tools ejecuta un dcdiag y un netdiag y postea los resultados.

     

     

    Slds
    Sebastian del Rio

    miércoles, 16 de enero de 2008 11:30
    Moderador


  • Aqui te envio el resultado de NETDIAG.

    NetDiag

    >netdiag

    .....................................

        Computer Name: *********
        DNS Host Name: *****.******.*****
        System info : Windows 2000 Server (Build 2195)
        Processor : x86 Family 6 Model 15 Stepping 8, GenuineIntel
        List of installed hotfixes :
            KB822343
            KB823182
            KB823559
            KB823980
            KB824105
            KB824141
            KB824146
            KB825119
            KB826232
            KB828035
            KB828741
            KB828749
            KB830352
            KB832353
            KB832359
            KB834707-IE6SP1-20040929.091901
            KB835732
            KB837001
            KB839643
            KB839645
            KB840315
            KB840987
            KB841356
            KB841533
            KB841872
            KB841873
            KB842526
            KB842773
            KB867282-IE6SP1-20050127.163319
            KB870763
            KB871250
            KB873333
            KB873339
            KB883939-IE6SP1-20050428.125228
            KB885250
            KB885834
            KB885835
            KB885836
            KB888113
            KB889293-IE6SP1-20041111.235619
            KB890046
            KB890047
            KB890175
            KB890859
            KB890923-IE6SP1-20050225.103456
            KB891711
            KB891781
            KB893066
            KB893086
            KB893756
            KB893803
            KB893803v2
            KB894320
            KB896358
            KB896422
            KB896423
            KB896424
            KB896688-IE6SP1-20051004.130236
            KB896727-IE6SP1-20050719.165959
            KB897715-OE6SP1-20050503.210336
            KB899587
            KB899588
            KB899589
            KB899591
            KB900725
            KB901017
            KB901214
            KB904368
            KB904706
            KB905414
            KB905495-IE6SP1-20050805.184113
            KB905749
            KB905915-IE6SP1-20051122.175908
            KB908519
            KB908523
            KB908531
            KB911280
            KB911564
            KB911567-OE6SP1-20060316.165634
            KB912812-IE6SP1-20060322.182418
            KB912919
            KB913580
            KB914388
            KB914389
            KB916281-IE6SP1-20060526.162249
            KB917008
            KB917159
            KB917422
            KB917736
            KB917953
            KB918118
            KB918899-IE6SP1-20060725.123917
            KB920213
            KB920670
            KB920683
            KB920685
            KB920958
            KB921398
            KB921503
            KB921883
            KB922582
            KB922616
            KB922760-IE6SP1-20061018.120000
            KB923191
            KB923414
            KB923694-OE6SP1-20061106.120000
            KB923810
            KB923980
            KB924191
            KB924270
            KB924667
            KB925398_WMP64
            KB925454-IE6SP1-20061116.120000
            KB925486-IE6SP1-20060918.120000
            KB925902
            KB926122
            KB926436
            KB927891
            KB928090-IE6SP1-20070125.120000
            KB928843
            KB930178
            KB931768-IE6SP1-20070219.120000
            KB931784
            KB932168
            KB933566-IE6SP1-20070417.120000
            KB933729
            KB935839
            KB935840
            KB935966
            KB936021
            KB937143-IE6SP1-20070717.120000
            KB937894
            KB938127-IE6SP1-20070626.120000
            KB938827
            KB938829
            KB939653-IE6SP1-20070817.120000
            KB941202-OE6SP1-20070820.120000
            KB941568
            KB941672
            KB942615-IE6SP1-20071029.120000
            Q147222
            Q816093
            Q828026
            Update Rollup 1


    Netcard queries test . . . . . . . : Passed
        GetStats failed for 'Paralelo directo'. [ERROR_NOT_SUPPORTED]
        GetStats failed for 'Minipuerto WAN (PPTP)'. [ERROR_GEN_FAILURE]
        [WARNING] The net card 'Minipuerto WAN (NetBEUI, llamada saliente) #3' may n
    ot be working because it has not received any packets.
        [WARNING] The net card 'Minipuerto WAN (NetBEUI, llamada saliente) #2' may n
    ot be working because it has not received any packets.
        [WARNING] The net card 'Minipuerto WAN (NetBEUI, llamada saliente)' may not
    be working because it has not received any packets.
        [WARNING] The net card 'Minipuerto WAN (NetBEUI, llamada entrante) #2' may n
    ot be working because it has not received any packets.
        [WARNING] The net card 'Minipuerto WAN (NetBEUI, llamada entrante)' may not
    be working because it has not received any packets.
        [WARNING] The net card 'Minipuerto WAN (IP)' may not be working because it h
    as not received any packets.
        GetStats failed for 'Minipuerto WAN (L2TP)'. [ERROR_NOT_SUPPORTED]



    Per interface results:

        Adapter : Conexi¾n de ßrea local 2

            Netcard queries test . . . : Passed

            Host Name. . . . . . . . . : ********
            IP Address . . . . . . . . : 192.168.8.125
            Subnet Mask. . . . . . . . : 255.255.248.0
            Default Gateway. . . . . . :
            Primary WINS Server. . . . : 192.168.8.125
            Dns Servers. . . . . . . . : 192.168.8.125


            AutoConfiguration results. . . . . . : Passed

            Default gateway test . . . : Skipped
                [WARNING] No gateways defined for this adapter.

            NetBT name test. . . . . . : Passed

            WINS service test. . . . . : Passed


    Global results:


    Domain membership test . . . . . . : Failed
        [WARNING] Ths system volume has not been completely replicated to the local
    machine. This machine is not working properly as a DC.


    NetBT transports test. . . . . . . : Passed
        List of NetBt transports currently configured:
            NetBT_Tcpip_{CB646320-BB47-4CA7-836C-E2187BB25457}
        1 NetBt transport currently configured.


    Autonet address test . . . . . . . : Passed


    IP loopback ping test. . . . . . . : Passed


    Default gateway test . . . . . . . : Failed

        [FATAL] NO GATEWAYS ARE REACHABLE.
        You have no connectivity to other network segments.
        If you configured the IP protocol manually then
        you need to add at least one valid gateway.


    NetBT name test. . . . . . . . . . : Passed


    Winsock test . . . . . . . . . . . : Passed


    DNS test . . . . . . . . . . . . . : Passed
        PASS - All the DNS entries for DC are registered on DNS server '192.168.8.12
    5' and other DCs also have some of the names registered.


    Redir and Browser test . . . . . . : Passed
        List of NetBt transports currently bound to the Redir
            NetBT_Tcpip_{CB646320-BB47-4CA7-836C-E2187BB25457}
        The redir is bound to 1 NetBt transport.

        List of NetBt transports currently bound to the browser
            NetBT_Tcpip_{CB646320-BB47-4CA7-836C-E2187BB25457}
        The browser is bound to 1 NetBt transport.


    DC discovery test. . . . . . . . . : Failed
            [FATAL] Cannot find DC in domain '********'. [ERROR_NO_SUCH_DOMAIN]


    DC list test . . . . . . . . . . . : Failed
            '*********': Cannot find DC to get DC list from [test skipped].


    Trust relationship test. . . . . . : Skipped


    Kerberos test. . . . . . . . . . . : Skipped
            '***********': Cannot find DC to get DC list from [test skipped].


    LDAP test. . . . . . . . . . . . . : Failed
        Cannot find DC to run LDAP tests on. The error occurred was: El dominio espe
    cificado no existe o no se pudo establecer conexi¾n con Úl.

            [WARNING] Cannot find DC in domain '*********'. [ERROR_NO_SUCH_DOMAIN]


    Bindings test. . . . . . . . . . . : Passed


    WAN configuration test . . . . . . : Skipped
        No active remote access connections.


    Modem diagnostics test . . . . . . : Passed

    IP Security test . . . . . . . . . : Passed
        IPSec policy service is active, but no policy is assigned.


    The command completed successfully



    Y ahora el DCDIAG.

    DCDiag

    Domain Controller Diagnosis

    Performing initial setup:
       Done gathering initial info.

    Doing initial required tests

       Testing server: DOMINIO\SERVIDOR
          Starting test: Connectivity
             ......................... AZRAEL passed test Connectivity

    Doing primary tests

       Testing server: DOMINIO\SERVIDOR
          Starting test: Replications
             ......................... AZRAEL passed test Replications
          Starting test: NCSecDesc
             ......................... AZRAEL passed test NCSecDesc
          Starting test: NetLogons
             ......................... AZRAEL passed test NetLogons
          Starting test: Advertising
             Fatal Error:DsGetDcName (AZRAEL) call failed, error 1355
             The Locator could not find the server.
             ......................... AZRAEL failed test Advertising
          Starting test: KnowsOfRoleHolders
             ......................... AZRAEL passed test KnowsOfRoleHolders
          Starting test: RidManager
             ......................... AZRAEL passed test RidManager
          Starting test: MachineAccount
             ......................... AZRAEL passed test MachineAccount
          Starting test: Services
             ......................... AZRAEL passed test Services
          Starting test: ObjectsReplicated
             ......................... AZRAEL passed test ObjectsReplicated
          Starting test: frssysvol
             Error: No record of File Replication System, SYSVOL started.
             The Active Directory may be prevented from starting.
             There are errors after the SYSVOL has been shared.
             The SYSVOL can prevent the AD from starting.
             ......................... AZRAEL passed test frssysvol
          Starting test: kccevent
             An Error Event occured.  EventID: 0xC0000466
                Time Generated: 01/16/2008   13:12:40
                (Event String could not be retrieved)
             ......................... AZRAEL failed test kccevent
          Starting test: systemlog
             ......................... AZRAEL passed test systemlog

       Running enterprise tests on : *********.********
          Starting test: Intersite
             ......................... ********.******* passed test Intersite
          Starting test: FsmoCheck
             Warning: DcGetDcName(GC_SERVER_REQUIRED) call failed, error 1355
             A Global Catalog Server could not be located - All GC's are down.
             Warning: DcGetDcName(TIME_SERVER) call failed, error 1355
             A Time Server could not be located.
             The server holding the PDC role is down.
             Warning: DcGetDcName(GOOD_TIME_SERVER_PREFERRED) call failed, error 135
    5
             A Good Time Server could not be located.
             Warning: DcGetDcName(KDC_REQUIRED) call failed, error 1355
             A KDC could not be located - All the KDCs are down.
             ......................... ********.******* failed test FsmoCheck




    Creo que los resultados son claros. El PDC no restaura correctamente.

    A la hora de realizar el backup del PDC grabé el estado de sistema y restauré según el procedimiento que reseñé en las primeras entradas del post.

    ¿Hay que realizar backup de alguna parte más del sistema?

    Gracias por tu ayuda Sebastian.

    Saludos,

    Antonio Pérez
    miércoles, 16 de enero de 2008 12:25
  • Por lo que se ve hay varios problemas

     

    si haces en inicio ejecutar \\azrael   ves los recursos SYSVOL  y NETLOGON ?

    Por otro lado eventos en la parde de Directory Service del Event Viewer  ?

     

    miércoles, 16 de enero de 2008 12:54
    Moderador

  • No. No se ven, pero ya los he puesto a compartir. Con los mismos permisos que en el servidor de producción.

    Los eventos que aparecen en el visor de Directory Service son de fallo de sincronización KDDC.

    En fin, sigue sin funcionar. ¿Alguna idea más?

    Agradezco mucho la ayuda que me estas dando Sebastian.

    Un saludo.
    miércoles, 23 de enero de 2008 15:19
  • Sigue la siguiente nota para recrear los shares del Sysvol y NETLOGON.

     

     How to Troubleshoot Missing SYSVOL and NETLOGON Shares on Windows Server 2003 Domain Controllers
    http://www.jsifaq.com/SF/Tips/Tip.aspx?id=7394

     

     

    Slds
    Sebastian del Rio


    miércoles, 23 de enero de 2008 16:04
    Moderador