none
Error de relacion de confianza con equipos clientes al migrar AD de 2003 a 2012 RRS feed

  • Pregunta

  • Hola siguiendo las guías de microsoft he logrado hacer una migración de un active directory en windows server 2003 hacia un active directory en windows server 2012. Todo bien con la migración de usuarios,computadoras políticas, replicacion del DNS con sus zonas inversas, todo en la migración ya fue depurado incluso el DNS ya se modificaron los registros para el nuevo servidor. 

    Considero todo esta correctamente funcionando, pero cuando ya esta despromobido el active directory en 2003 y los equipos se quieren logear en el que esta en 2012, los equipos clientes dan error de que se ha perdido la relación de confianza con el servidor de dominio, la solucion es sencilla solo renuevo el sid de la computadora siguiendo el wizard de network id ya que no es recomendable sacar y reingresar la computadora al dominio; pero mi problema es que tengo mas de 600 computadoras en mi active directory y el 95% son activas y no puedo andar de computadora en computadora renovando los sdi para que se conecten al nuevo servidor, cabe mencionar que cuando les he renovado el sid agarran las políticas y todo funciona correctamente así que descarto un posible problema con el AD pero nose que mas hacer ya que he intentado hacer 3 veces la migración en un area de laboratorio con equipos que son mirrors del que tengo en producción actualmente para simular todos los posibles errores, pero de todos los errores que me he topado este es el unico que no le encuentro solución ya que nose en que parte puede perder la relación de confianza el equipo en la migración con el nuevo active directory.

    jueves, 26 de junio de 2014 16:10

Todas las respuestas

  • Hola Patrick_sv como estas,

    En Windows Server 2003

    Cuantos DCs tienes y con que rol ?

    En Windows Server 2012

    Cuantos DCs tienes y con que rol ?

    Como haz realizado la migración de workstations ?

    Postea el mensaje exacto que aparece, en que momento y desde donde (DC o workstation).

    Haz quitado la relacion de confinza, antes de la degradacion ?
    sábado, 28 de junio de 2014 3:25
  • Hola, mira yo solo tengo un servidor en 2003 y el tiene rol solo de domain controller y dns, siguiendo las guías de microsoft logre hacer la migración, a un servidor 2012 el cual solo tiene el rol de domain controller y dns, prácticamente ya esta replicado ya que todo esta idéntico al 2003, pero al momento de pasar los roles FSMO al 2012 las computadoras dan el mensaje de " se ha perdido la relación de confianza con el servidor de dominio"

    Sobre quitar la relación de confianza, nose a que te refieres ya que eso si no lo he hecho porque no se muestra nada de eso en las guías de microsoft.  Pues el entorno que tengo es el que te digo después de despromover el 2003 y ya los roles migrados los cuales los compruebo en el 2012 con el "netdom query fsmo" efectivamente me dice que los roles ya los tiene el 2012 pero por alguna razón las computadoras pierden la relación de confianza cuando este servidor tiene los roles.

    jueves, 3 de julio de 2014 13:56
  • Que nivel fincional de dominio y forest tienes ?

    En los workstations tienes que tener la IP del DNS nuevo, no olvidar.

    Desde el DC nuevo ejecuta:

    nslookup 
    set type=srv
    _ldap._tcp.midominio.com

    Postea el mensaje.

    jueves, 3 de julio de 2014 14:35
  • el dns efectivamente lo tienen las computadoras cliente.

    cuando ejecute el nslookup me muestra esto:

    Server: localhost

    address:127.0.0.1

    _ldap._tcp.midominio.com srv service location

    priority=0

    weight=100

    port=389

    srv hostname=dcc.midominio.com

    dcc.midominio.com=internet address=10.3.0.10

    jueves, 3 de julio de 2014 17:35
  • Verifica si los DNS tienes errores en su event viewer y postealos.
    jueves, 3 de julio de 2014 18:30
  • Pues en el event viewer no me aparece ningún error, dice que todas las zonas se han actualizado correctamente.
    viernes, 4 de julio de 2014 16:41
  • Ejecuta por server "dcdiag" y postea el mensaje.
    lunes, 7 de julio de 2014 14:55