none
Problema relación de confianza RRS feed

  • Pregunta

  • Hola a todos,

    tengo un AD con dos DC (server 2008) y me está sucediendo que muchos de los PCS del dominio tanto si son xp como si son windows 7 x64 no están pudiendo entrar en el dominio. Me está dando errores de relaciónd de confianza. En uno de los xp lo he sacado del dominio y una vez metido en el dominio de nuevo ha podido entrar.

    Creo recordar que hace un par de años me sucedió algo parecido debido a un exceso en el número de licencias, que debía ser tal problema ya que tengo suficientes licencias.

    Otro problema que había notado últimamente era un tema de que había pcs que los cambiaba de nombre pero al hacerles un ping o mirando el ipconfig seguían teniendo el nombre antiguo. ¿No se si tal vez debiera hacer una limpieza de los pcs del dominio y así puedo solucionar el problema?

    ¿Alguien me puede ayudar?

    Gracias de antemano.

    miércoles, 18 de abril de 2012 7:45

Respuestas

  • Creo que tienes dos problemas distintos, aunque relacionados.

    El primero, qué error exacto te da en el Visor de sucesos?

    Y para el segundo, revisa que en la zona DNS los equipos a los que cambias el nombre se registren correctamente.


    Saludos,

    Marc
    Microsoft Cetified System Administrator 2003
    Microsoft Cetified System Engineer 2003
    Microsoft Certified Solutions Associate 2008 Core
    Microsoft Certified IT Professional: Enterprise Administrator, Enterprise Messaging Administrator, Lync Server Administrator 2010
    MCC: Microsoft Community Contributor
    Citrix CCA
    Visita mi blog en ITPro.es
    MCP Virtual Bussines Card

    miércoles, 18 de abril de 2012 9:59
    Moderador
  • Para los IDs, mejor también añade el "Source" u origen del mismo ID.

    Respecto al renombrar equipos, no debería haber problema en hacerlo dado que como dices cada uno tiene si ID que no varía con el cambio de nombre, aunque siempre es mejor quitar los equipos "viejos" del dominio, borrar esa cuenta, renombrarlos y añadirlos de nuevo.


    Saludos,

    Marc
    Microsoft Certified System Administrator 2003
    Microsoft Certified System Engineer 2003
    Microsoft Certified Solutions Associate 2008 Core
    Microsoft Certified IT Professional: Enterprise Administrator, Enterprise Messaging Administrator, Lync Server Administrator 2010
    MCC: Microsoft Community Contributor
    Citrix CCA
    Visita mi blog en ITPro.es
    MCP Virtual Bussines Card

    miércoles, 18 de abril de 2012 13:39
    Moderador
  • droig, cuando dices "reutilizo pcs" ¿a qué te refieres exactamente ¿copia de imágenes?

    Si es así, esa es la causa del problema, pues aunque tengan diferente nombres son la misma para AD, pues tienen el mismo SID (Security ID, similar a un número de documento)

    Si se usan imágenes clonadas, es imprescindible que antes de unirlas al Dominio ejecutes SYSPREP.EXE con la opción de Generalizar



    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP - MCT - MCSE - MCSA
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    miércoles, 18 de abril de 2012 14:45
    Moderador
  • Cada Id. de suceso, tiene además un Origen (Source)

    Para poder averiguar sobre el suceso se necesitan ambos de cada uno, ya que el mismo ID se utiliza con diferentes orígenes y tiene significado distinto.

     



    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP - MCT - MCSE - MCSA
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    miércoles, 18 de abril de 2012 15:40
    Moderador
  • ¡Ahora si! :)

    Deberías sacar el equipo "viejo" del Dominio, y eliminar su cuenta, antes de ingresar al nuevo

    También conviene revisar que en el DNS no quede registrado el nombre con la antigua dirección, ya que dependiendo cómo se haya registrado, puede ser que el nuevo no pueda sobre-escribir la registración anterior

     



    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP - MCT - MCSE - MCSA
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    miércoles, 18 de abril de 2012 15:42
    Moderador
  • Debes borrar el equipo (la cuenta) del AD y con esto tienes parte de la solución.

    La otra, es activar en las zonas DNS el "Aging" y el "Scavenging" para que se borren los registros de IPs de equipos antiguos (por defecto está en 7 días) y evitar los problemas de resolución. Pero... la pregunta antes de hacer esto es "quién da las IPs en el dominio"? Un servidor DHCP? Y qué cuenta se usa para conceder IPs (autorización en el AD) - no me refiero a la cuenta de servicio


    Saludos,

    Marc
    Microsoft Certified System Administrator 2003
    Microsoft Certified System Engineer 2003
    Microsoft Certified Solutions Associate 2008 Core
    Microsoft Certified IT Professional: Enterprise Administrator, Enterprise Messaging Administrator, Lync Server Administrator 2010
    MCC: Microsoft Community Contributor
    Citrix CCA
    Visita mi blog en ITPro.es
    MCP Virtual Bussines Card

    jueves, 19 de abril de 2012 8:07
    Moderador
  • Por un lado es en Usuarios y Equipos de Active Directory, eliminar la cuenta del equipo

    Y la segunda, es revisar en el servidor DNS, ver si quedó el registro A (Host) de la máquina y borrarlo también, para evitar que se pueda producir un problema al re-utilizar el mismo nombre



    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP - MCT - MCSE - MCSA
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    jueves, 19 de abril de 2012 11:32
    Moderador
  • Hola Marc, el problema que le veo a utilizar Aging/Scavenging es que le demorará varios días, y seguramente la máquina la reemplaza en el mismo día.

    Borrándolo a mano, ya sé que es más trabajo, pero se asegura no tener problemas; y no creo que lo haga en "cientos" de máquinas al día :)

     



    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP - MCT - MCSE - MCSA
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    jueves, 19 de abril de 2012 11:34
    Moderador
  • Sí, cierto.

    Mi respuesta era más como una solución "a largo plazo" para ir manteniendo el DNS más o menos "limpio", no para el caso concreto de un equipo que se quita y se añade el mismo día :)


    Saludos,

    Marc
    Microsoft Certified System Administrator 2003
    Microsoft Certified System Engineer 2003
    Microsoft Certified Solutions Associate 2008 Core
    Microsoft Certified IT Professional: Enterprise Administrator, Enterprise Messaging Administrator, Lync Server Administrator 2010
    MCC: Microsoft Community Contributor
    Citrix CCA
    Visita mi blog en ITPro.es
    MCP Virtual Bussines Card

    jueves, 19 de abril de 2012 14:07
    Moderador
  • En la consola de administración DNS, en la zona que corresponde a tu dominio (nombreDominio.sufijo), buscas el registro A (Host) correspondiente a la máquina que vas a quitar, y pulsas Suprimir

    :)

     



    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP - MCT - MCSE - MCSA
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    jueves, 19 de abril de 2012 15:24
    Moderador

Todas las respuestas

  • Creo que tienes dos problemas distintos, aunque relacionados.

    El primero, qué error exacto te da en el Visor de sucesos?

    Y para el segundo, revisa que en la zona DNS los equipos a los que cambias el nombre se registren correctamente.


    Saludos,

    Marc
    Microsoft Cetified System Administrator 2003
    Microsoft Cetified System Engineer 2003
    Microsoft Certified Solutions Associate 2008 Core
    Microsoft Certified IT Professional: Enterprise Administrator, Enterprise Messaging Administrator, Lync Server Administrator 2010
    MCC: Microsoft Community Contributor
    Citrix CCA
    Visita mi blog en ITPro.es
    MCP Virtual Bussines Card

    miércoles, 18 de abril de 2012 9:59
    Moderador
  • Por ejemplo en uno de los xp la relación de errores coincidente con el problema es la siguiente (si te parece te detallo sólo la relación de errores y no la descripción):

    Id. suceso: 1053
    Id. suceso: 1508
    Id. suceso: 1502
    Id. suceso: 1515
    Id. suceso: 1511
    Id. suceso: 1053
    Id. suceso: 15
    Id. suceso: 4356

     En lo segundo que comentas creo que los problemas me están viniendo porque reutilizo pcs, les cambio, el nombre, etc. Creo que cada pc del dominio tiene como un id (perdona si me equivoco) y de algún modo ahí esta viniendo el lío.

    Como experto/s que sois en el tema, os pregunto, ¿qué política puedo seguir en estos caso?. Quiero decir para que no tenga ese cruce de nombres de equipos y pcs.

    Muhas gracias.

    miércoles, 18 de abril de 2012 13:11
  • Para los IDs, mejor también añade el "Source" u origen del mismo ID.

    Respecto al renombrar equipos, no debería haber problema en hacerlo dado que como dices cada uno tiene si ID que no varía con el cambio de nombre, aunque siempre es mejor quitar los equipos "viejos" del dominio, borrar esa cuenta, renombrarlos y añadirlos de nuevo.


    Saludos,

    Marc
    Microsoft Certified System Administrator 2003
    Microsoft Certified System Engineer 2003
    Microsoft Certified Solutions Associate 2008 Core
    Microsoft Certified IT Professional: Enterprise Administrator, Enterprise Messaging Administrator, Lync Server Administrator 2010
    MCC: Microsoft Community Contributor
    Citrix CCA
    Visita mi blog en ITPro.es
    MCP Virtual Bussines Card

    miércoles, 18 de abril de 2012 13:39
    Moderador
  • droig, cuando dices "reutilizo pcs" ¿a qué te refieres exactamente ¿copia de imágenes?

    Si es así, esa es la causa del problema, pues aunque tengan diferente nombres son la misma para AD, pues tienen el mismo SID (Security ID, similar a un número de documento)

    Si se usan imágenes clonadas, es imprescindible que antes de unirlas al Dominio ejecutes SYSPREP.EXE con la opción de Generalizar



    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP - MCT - MCSE - MCSA
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    miércoles, 18 de abril de 2012 14:45
    Moderador
  • No perdón. No lo que hago es que recirculo los pcs en el dominio.

    Me explico. Lo único que hago es recircular los pcs, es decir, a un usuario que ya tiene un pc le voy a poner otro que ya existe (lógicamente se lo cambio por otro mejor) y le instalo los programas que ya existen. Le quito su pc y le pongo el nuevo. A ese nuevo le cambio el nombre por el que tenía su antiguo pc. Pero la verdad es que no lo doy de baja en el dominio previamente ni nada por el estilo.

    Por eso creo que por ahí puede venir mi problema. Porque no los administro correctamente. Luego me esta pasando que tengo muchos cruces incorrectos de ips y nombres de equipo. Es decir, a veces hago ping a un host y me sale una ip que realmente no tiene o a la inversa.

    Cualquier sugerencia es buena para que mañana por la mañana no tenga gente que no pueda entra en el dominio y para que en el futuro gestione correctamente la red.

    Gracias.

    miércoles, 18 de abril de 2012 15:07
  • Marc,

    puedes ser un poco más explicito con con la gestión de los IDS.

    Gracias.

    miércoles, 18 de abril de 2012 15:13
  • Cada Id. de suceso, tiene además un Origen (Source)

    Para poder averiguar sobre el suceso se necesitan ambos de cada uno, ya que el mismo ID se utiliza con diferentes orígenes y tiene significado distinto.

     



    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP - MCT - MCSE - MCSA
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    miércoles, 18 de abril de 2012 15:40
    Moderador
  • ¡Ahora si! :)

    Deberías sacar el equipo "viejo" del Dominio, y eliminar su cuenta, antes de ingresar al nuevo

    También conviene revisar que en el DNS no quede registrado el nombre con la antigua dirección, ya que dependiendo cómo se haya registrado, puede ser que el nuevo no pueda sobre-escribir la registración anterior

     



    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP - MCT - MCSE - MCSA
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    miércoles, 18 de abril de 2012 15:42
    Moderador
  • Como forma de proceder a partir de ahora cuando vayamos a quitar un equipo del dominio lo sacaremos previamente del dominio (cosa que no hacíamos hasta ahora) y luego lo borraremos del dominio si todavía existe allí.  Sólo una duda más, ¿es suficiente con borrar el nombre o hay que quitar algo más?. Perdona pero la última parte en la que hablas de que "no quede registrado el nombre con la antigua dirección" no acabo de entender a que te refieres con la antigua dirección.

    Gracias por todos los consejos.

    jueves, 19 de abril de 2012 7:10
  • APLICACION

    Origen del suceso: Userenv
    Id. suceso: 1053

    Origen del suceso: Userenv
    Id. suceso: 1508

    Origen del suceso: Userenv
    Id. suceso: 1502

    Origen del suceso: Userenv
    Id. suceso: 1515

    Origen del suceso: Userenv
    Id. suceso: 1511

    Origen del suceso: Userenv
    Id. suceso: 1053

    Origen del suceso: AutoEnrollment
    Id. suceso: 15

    Origen del suceso: EventSystem
    Id. suceso: 4356


    SISTEMA

    Origen del suceso: NETLOGON
    Id. suceso: 5721

    Origen del suceso: LSASRV
    Id. suceso: 40961

      

    jueves, 19 de abril de 2012 7:20
  • APLICACION

    Origen del suceso: Userenv
    Id. suceso: 1053

    Origen del suceso: Userenv
    Id. suceso: 1508

    Origen del suceso: Userenv
    Id. suceso: 1502

    Origen del suceso: Userenv
    Id. suceso: 1515

    Origen del suceso: Userenv
    Id. suceso: 1511

    Origen del suceso: Userenv
    Id. suceso: 1053

    Origen del suceso: AutoEnrollment
    Id. suceso: 15

    Origen del suceso: EventSystem
    Id. suceso: 4356


    SISTEMA

    Origen del suceso: NETLOGON
    Id. suceso: 5721

    Origen del suceso: LSASRV
    Id. suceso: 40961

    jueves, 19 de abril de 2012 7:50
  • Debes borrar el equipo (la cuenta) del AD y con esto tienes parte de la solución.

    La otra, es activar en las zonas DNS el "Aging" y el "Scavenging" para que se borren los registros de IPs de equipos antiguos (por defecto está en 7 días) y evitar los problemas de resolución. Pero... la pregunta antes de hacer esto es "quién da las IPs en el dominio"? Un servidor DHCP? Y qué cuenta se usa para conceder IPs (autorización en el AD) - no me refiero a la cuenta de servicio


    Saludos,

    Marc
    Microsoft Certified System Administrator 2003
    Microsoft Certified System Engineer 2003
    Microsoft Certified Solutions Associate 2008 Core
    Microsoft Certified IT Professional: Enterprise Administrator, Enterprise Messaging Administrator, Lync Server Administrator 2010
    MCC: Microsoft Community Contributor
    Citrix CCA
    Visita mi blog en ITPro.es
    MCP Virtual Bussines Card

    jueves, 19 de abril de 2012 8:07
    Moderador
  • Por un lado es en Usuarios y Equipos de Active Directory, eliminar la cuenta del equipo

    Y la segunda, es revisar en el servidor DNS, ver si quedó el registro A (Host) de la máquina y borrarlo también, para evitar que se pueda producir un problema al re-utilizar el mismo nombre



    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP - MCT - MCSE - MCSA
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    jueves, 19 de abril de 2012 11:32
    Moderador
  • Hola Marc, el problema que le veo a utilizar Aging/Scavenging es que le demorará varios días, y seguramente la máquina la reemplaza en el mismo día.

    Borrándolo a mano, ya sé que es más trabajo, pero se asegura no tener problemas; y no creo que lo haga en "cientos" de máquinas al día :)

     



    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP - MCT - MCSE - MCSA
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    jueves, 19 de abril de 2012 11:34
    Moderador
  • Hola, por ejemplo, en este momento estamos dando de baja algunos equipos para cambiarles los nombres.

    Lo que estamos haciendo es sacarlos del dominio primero y luego los borramos de Usuario y equipos de Active Directory.

    Guillermo, ¿dónde busco cuando dices "revisar en el servidor DNS, ver si quedó el registro A (Host) de la máquina y borrarlo también"?

    El Aging/Scavenging lo llegué a activar hace tiempo pero me daba un poco de miedo usarlo. Creo recordar que lo puse a un par de semanas pero por lo que sea no llego a funcionar. No sé estimar exactamente cuantos equipos tenemos en la red pero no muchos, tal vez unos 150. En mi humilde opinión si somos cuidadosos en hacer las cosas ordenadamente no deberíamos tener muchos problemas.

    Tenemos una subred 0 en la cual las ips las ponemos fijas. Luego tenemos una subred 5 en las que damos las ips vía dhcp. En le caso del dhcp básicamente son pórtatiles y dispositivos móviles. Una parte de ellas ya las tenemos reservadas con la mac de los portátiles.

    jueves, 19 de abril de 2012 13:25
  • Sí, cierto.

    Mi respuesta era más como una solución "a largo plazo" para ir manteniendo el DNS más o menos "limpio", no para el caso concreto de un equipo que se quita y se añade el mismo día :)


    Saludos,

    Marc
    Microsoft Certified System Administrator 2003
    Microsoft Certified System Engineer 2003
    Microsoft Certified Solutions Associate 2008 Core
    Microsoft Certified IT Professional: Enterprise Administrator, Enterprise Messaging Administrator, Lync Server Administrator 2010
    MCC: Microsoft Community Contributor
    Citrix CCA
    Visita mi blog en ITPro.es
    MCP Virtual Bussines Card

    jueves, 19 de abril de 2012 14:07
    Moderador
  • En la consola de administración DNS, en la zona que corresponde a tu dominio (nombreDominio.sufijo), buscas el registro A (Host) correspondiente a la máquina que vas a quitar, y pulsas Suprimir

    :)

     



    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP - MCT - MCSE - MCSA
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    jueves, 19 de abril de 2012 15:24
    Moderador
  • Guillermo, en la consola del DNS, dentro del dominio, el único lugar donde veo los equipos es en Reverse Lookup Zones > 0.168.192.in-addr.arpa. Imagino que de aquí tendré que borrarlo.. y con esto será suficiente.

    Gracias y saludos.

    viernes, 20 de abril de 2012 6:56
  • ¿Y no tienes la zona correspondiente a tu Dominio??? (En la carpeta Forward Lookup Zones)

    ¿A qué DNS están apuntando tus máquinas?

     



    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP - MCT - MCSE - MCSA
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    viernes, 20 de abril de 2012 12:11
    Moderador
  • Sí perdona no se cómo lo mire.

    Queda claro.

    Muchas gracias.

    viernes, 20 de abril de 2012 12:51