none
Error iniciar sesión en AD secundario RRS feed

  • Pregunta

  • Buenas a Todos 

    Trabajamos en un dominio que alberga dos DC Windows server 2008r2 el Principal continene los 5 Roles FSMO.

    El problema se presenta cuando realizamos tareas de mantenimiento en el DC principal, al pararlo los clientes no pueden iniciar sesión contra el segundo controlador de dominio mostrando el siguiente evento 5719,NETLOGON

    "Este equipo no pudo establecer una sesión segura con un controlador de dominio en el dominio CONTOSO debido a lo siguiente:
    No hay servidores de inicio de sesión disponibles para atender la solicitud de inicio de sesión. 
    Esto puede derivar en problemas de autenticación. Asegúrese de que el equipo esté conectado a la red. Si el problema persiste, póngase en contacto con el administrador de dominio.  

    INFORMACIÓN ADICIONAL 
    Si este equipo es un controlador de dominio para el dominio especificado,  establece la sesión segura con el emulador del controlador de dominio primario en el dominio especificado. De lo contrario, este equipo establece la sesión segura con cualquier controlador de dominio en el dominio especificado."

    Incluso cuando intentamos acceder por escritorio remoto a otra máquina desde el mismo DC secundario nos muestra el mismo error. 

    ¿Alguna sugerencia?

    Muchas Gracias


    viernes, 27 de febrero de 2015 10:07

Respuestas

  • Hola, JaimeHernandez:

    Ampliando la respuesta facilitada por el compañero Daniel Graciá, es evidente que el problema principal se ha originado desde el apagado del DC maestro, ya que ha evidenciado algún fallo en la infraestructura de tu scenario. Por lo que interpreto, hay que hacer varias tareas:

    1.- El servidor secundario ha de ser Global Catalog (GC) para permitir los inicios de sesión. Para ello, accede desde el DC secundario a EJECUTAR => DSSITE.msc => AD SITES => SITIO PREDETERMINADO => SERVIDORES => <SERVIDOR> => CONFIGURACION NTDS => botón secundario => PROPIEDADES de NTDS => solapa GENERAL => marca la casilla GLOBAL CATALOG. Más info:

    · Descripción del catálogo global:
    https://technet.microsoft.com/es-es/library/cc730749.aspx

    2.- Las estaciones de trabajo cliente han de tener configurado el DC secundario como DNS. Lo más eficiente es hacerlo desde la consola DHCP del DC secundario (dando por hecho que tambien sean clientes DHCP). Para ello, desde el DC secundario accede a EJECUTAR => DHCPMGMT.msc => IPv4 => OPCIONES DE SERVIDOR => SERVIDORES DNS, donde podrás establecer las IP's de los servidores DNS, donde el 2º debería ser el DC secundario. Más info:

    · Adición de un servidor DNS secundario a una zona:
    https://technet.microsoft.com/es-es/library/cc816885%28v=ws.10%29.aspx

    3.- Los DC's NUNCA deben apagarse y/o desconectarse. Interpreto que a raíz de éste caso, ya entiendes el por qué. No obstante, si por causas de la vida no te saliera de "ahí" volver a conectar el DC maestro y debes subsistir con el secundario, es recomendable que éste tuviera tambien algunos de los roles FSMO necesarios para una correcta funcionalidad de la máquina. Más info:

    · Active Directory funciones FSMO en Windows:
    http://support.microsoft.com/kb/197132/es

    Desiderio Ondo || Engineer

    • Propuesto como respuesta Moderador M martes, 3 de marzo de 2015 15:40
    • Marcado como respuesta Moderador M miércoles, 4 de marzo de 2015 15:10
    viernes, 27 de febrero de 2015 12:44
  • Nada que decir, las respuestas de ambos compañeros son las indicadas.

    Si tienes dos DC-AD es para que tenga distribuidos los Roles FSMO. 

    El emulador de PDC y el maestro de RID deben estar en la misma DC, si es posible.

    El maestro de esquema y maestro de nombres de dominio también debe estar en el mismo DC.

    Para proporcionar tolerancia a fallos, debe haber por lo menos 2 controladores de dominio disponibles dentro de cada dominio del bosque.

    Además, el titular de la función de maestro de infraestructuras no debe ser también un servidor de catálogo global, ya que la combinación de estos dos roles en el mismo host provocará un comportamiento inesperado (y potencialmente perjudicial) en un entorno de varios dominios.

    Saludos,


    Edwin Duran Ospina

    • Propuesto como respuesta EDWin Duran Ospina martes, 3 de marzo de 2015 16:01
    • Marcado como respuesta Moderador M miércoles, 4 de marzo de 2015 15:10
    viernes, 27 de febrero de 2015 13:57

Todas las respuestas

  • Hola,

    Si he entendido bien, por razones de mantenimiento paráis el DC 1... ¿No transfieres antes al menos los tres Roles FSMO de dominio (PDC, RID, Infrastructure Master) ? Yo te recomiendo que antes de pararlo transfieras al menos los 3 FSMO de dominio, ya que sin ellos hay multitud de tareas que tu Dominio no podrá hacer.

    http://social.technet.microsoft.com/wiki/contents/articles/832.transferring-fsmo-roles-in-windows-server-2008.aspx 



    Daniel Graciá - Madrid / España

    MCSA 2012, MCSA 2008, MCITP Enterprise Admin
    MCTS SCOM 2007, Windows Vista Configuration
    MCSA 2003 + Security, MCSE 2003 + Security
    MCP ISA SERVER 2000,ITIL Foundation v3

    El Blog de Dani Gracia
    Dani Gracia en Twitter
    Dani Gracia en LinkedIn

    • Propuesto como respuesta Moderador M martes, 3 de marzo de 2015 15:40
    viernes, 27 de febrero de 2015 11:39
  • Hola, JaimeHernandez:

    Ampliando la respuesta facilitada por el compañero Daniel Graciá, es evidente que el problema principal se ha originado desde el apagado del DC maestro, ya que ha evidenciado algún fallo en la infraestructura de tu scenario. Por lo que interpreto, hay que hacer varias tareas:

    1.- El servidor secundario ha de ser Global Catalog (GC) para permitir los inicios de sesión. Para ello, accede desde el DC secundario a EJECUTAR => DSSITE.msc => AD SITES => SITIO PREDETERMINADO => SERVIDORES => <SERVIDOR> => CONFIGURACION NTDS => botón secundario => PROPIEDADES de NTDS => solapa GENERAL => marca la casilla GLOBAL CATALOG. Más info:

    · Descripción del catálogo global:
    https://technet.microsoft.com/es-es/library/cc730749.aspx

    2.- Las estaciones de trabajo cliente han de tener configurado el DC secundario como DNS. Lo más eficiente es hacerlo desde la consola DHCP del DC secundario (dando por hecho que tambien sean clientes DHCP). Para ello, desde el DC secundario accede a EJECUTAR => DHCPMGMT.msc => IPv4 => OPCIONES DE SERVIDOR => SERVIDORES DNS, donde podrás establecer las IP's de los servidores DNS, donde el 2º debería ser el DC secundario. Más info:

    · Adición de un servidor DNS secundario a una zona:
    https://technet.microsoft.com/es-es/library/cc816885%28v=ws.10%29.aspx

    3.- Los DC's NUNCA deben apagarse y/o desconectarse. Interpreto que a raíz de éste caso, ya entiendes el por qué. No obstante, si por causas de la vida no te saliera de "ahí" volver a conectar el DC maestro y debes subsistir con el secundario, es recomendable que éste tuviera tambien algunos de los roles FSMO necesarios para una correcta funcionalidad de la máquina. Más info:

    · Active Directory funciones FSMO en Windows:
    http://support.microsoft.com/kb/197132/es

    Desiderio Ondo || Engineer

    • Propuesto como respuesta Moderador M martes, 3 de marzo de 2015 15:40
    • Marcado como respuesta Moderador M miércoles, 4 de marzo de 2015 15:10
    viernes, 27 de febrero de 2015 12:44
  • Nada que decir, las respuestas de ambos compañeros son las indicadas.

    Si tienes dos DC-AD es para que tenga distribuidos los Roles FSMO. 

    El emulador de PDC y el maestro de RID deben estar en la misma DC, si es posible.

    El maestro de esquema y maestro de nombres de dominio también debe estar en el mismo DC.

    Para proporcionar tolerancia a fallos, debe haber por lo menos 2 controladores de dominio disponibles dentro de cada dominio del bosque.

    Además, el titular de la función de maestro de infraestructuras no debe ser también un servidor de catálogo global, ya que la combinación de estos dos roles en el mismo host provocará un comportamiento inesperado (y potencialmente perjudicial) en un entorno de varios dominios.

    Saludos,


    Edwin Duran Ospina

    • Propuesto como respuesta EDWin Duran Ospina martes, 3 de marzo de 2015 16:01
    • Marcado como respuesta Moderador M miércoles, 4 de marzo de 2015 15:10
    viernes, 27 de febrero de 2015 13:57