none
Problema al abrir directiva de seguridad del dominio RRS feed

  • Pregunta

  • Buenas tardes, tengo un problema, que no se si además, me estará afectando al funcionamiento general de la red y los perfiles moviles.

    Al intentar abrir las Directivas de Seguridad del Dominio, o del controlador del Dominio, me salta el siguiente error:

    "el atributo o valor de servicio de directorios especificado no existe"

    La red consta de 4 servidores, dos con Windows Server 2003 Enterprise en cluster (controlador principal de dominio), otro mas con Windows Server 2003 Standard para Terminal Server, y un 3 Servidor, con Windows Server 2003 Standard en otra sede, que accede al dominio a través de una VPN.

    las directivas de seguridad, no abren en ninguno de los servidores, y revisando los fallos, y leyendo documentacion, he llegado hasta el Servicio de componentes, hasta las propiedades del netman. Al ver esto, compruebo que en el Servidor de Terminal Server, es en el unico esta activo el Servicio de componentes, mientras que en los servidores del cluster, y en servidor de la otra sede, no está activo. Comprobandolo, he llegado a ver que no se está ejecutando el Servicio Coordinador de transacciones distribuidas (MSDTC). Por más que he revisado los errores, y hecho algunos cambios, no consigo arrancar este servicio.

    Alguna idea al respecto, de por donde podría empezar a mirar concretamente?

     

    gracias de antemano y un saludo

    lunes, 20 de diciembre de 2010 14:57

Respuestas

Todas las respuestas

  • No se pueden poner los DCs en cluster.
    Tener dos o más DCs ya da tolerancia a fallas y además hace reparto de carga. Y mucho más económico y fácil de administrar

    Tampoco por seguridad un DC debe ser sevidor de TS

    Y por favor, escribe con otro tipo de letra porque el que usas es casi imposible leerlo de la forma normal.

     


    Guillermo Delprato - Buenos Aires, Argentina
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    lunes, 20 de diciembre de 2010 21:56
    Moderador
  • Buenos días Guillermo y gracias por la respuesta, y por supuesto, perdon por la letra, fue al copiar y pegar.

    Pues Guillermo, no se si se pueden poner o no, pero este controlador principal de dominio en cluster, lleva 8 años funcionando, y el de TS, que es tambien GC, lleva 3 años funcionando sin problemas. Pero bueno, esa no es la cuestión

    El problema reside más que nada en los perfiles moviles que usamos. desde un tiempo a esta parte, los perfiles moviles dejan la copia en el equipo local, y al cargar, da un error de que no puede cargar un archivo temporal, concretamente en la configuracion local, en los temporales de internet.

    La unica manera de conseguir que cargue de nuevo, es entrar y borrar el perfil local que queda almacenado. Evidentemente, uno de los problemas que encontre documentado, fue que no cargaba bien las politicas de grupo, con lo que me puse a revisarlo todo, y las rutas, y permisos a la carpeta sysvol están correctas. Pero cuando fui a mirar las directivas de seguridad, ahi, fue cuando vi, que no me abrian las directivas de seguridad del dominio.

    martes, 21 de diciembre de 2010 11:37
  • Por más que funcione produce múltiples inconvenientes, los puedes ver si buscas en la KB, además que no tiene sentido teniendo una solución más barata para tolerancia a fallas y que además reparte la carga, que no es el caso del cluster.

    Tener TS en un DC, es darle acceso a tus usuarios a la "caja de seguridad" donde tienes lo más valioso (el AD con todos sus usuarios y contraseñas. No es que no funcione, es comprometer la seguridad de toda la estructura.

    Volviendo al tema de la pregunta, las causas pueden ser muchas, porque al estar en cluster los DCs habría que revisar toda la configuración.
    Lo primero que haría es tratar de recordar qué cambio se hizo, a partir de lo cual se produce el problema.
    Como segunda opción, verificar los eventos relacionados en el Visor de Eventos tanto de cliente como de servidor, porque seguramente deben haber unos cuantos eventos relacionado.
    Tercero, si con lo anterior no se soluciona, ejecutar un DCDIAG en cada nodo y ver qué errores da

     


    Guillermo Delprato - Buenos Aires, Argentina
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    martes, 21 de diciembre de 2010 14:40
    Moderador
  • Buenos días guillermo:

    Aqui te pego los resultados del dcdiag en uno de los servidores....

     

    Domain Controller Diagnosis

     

    Performing initial setup:

       Done gathering initial info.

     

    Doing initial required tests

     

       Testing server: Nombre-predeterminado-primer-sitio\CENTRAL2

          Starting test: Connectivity

             ......................... CENTRAL2 passed test Connectivity

     

    Doing primary tests

     

       Testing server: Nombre-predeterminado-primer-sitio\CENTRAL2

          Starting test: Replications

             ......................... CENTRAL2 passed test Replications

          Starting test: NCSecDesc

             ......................... CENTRAL2 passed test NCSecDesc

          Starting test: NetLogons

             ......................... CENTRAL2 passed test NetLogons

          Starting test: Advertising

             ......................... CENTRAL2 passed test Advertising

          Starting test: KnowsOfRoleHolders

             ......................... CENTRAL2 passed test KnowsOfRoleHolders

          Starting test: RidManager

             ......................... CENTRAL2 passed test RidManager

          Starting test: MachineAccount

             ......................... CENTRAL2 passed test MachineAccount

          Starting test: Services

             ......................... CENTRAL2 passed test Services

          Starting test: ObjectsReplicated

             ......................... CENTRAL2 passed test ObjectsReplicated

          Starting test: frssysvol

             ......................... CENTRAL2 passed test frssysvol

          Starting test: frsevent

             There are warning or error events within the last 24 hours after the

             SYSVOL has been shared.  Failing SYSVOL replication problems may cause

             Group Policy problems.

             ......................... CENTRAL2 failed test frsevent

          Starting test: kccevent

             ......................... CENTRAL2 passed test kccevent

          Starting test: systemlog

             ......................... CENTRAL2 passed test systemlog

          Starting test: VerifyReferences

             ......................... CENTRAL2 passed test VerifyReferences

     

       Running partition tests on : ForestDnsZones

          Starting test: CrossRefValidation

             ......................... ForestDnsZones passed test CrossRefValidation

     

          Starting test: CheckSDRefDom

             ......................... ForestDnsZones passed test CheckSDRefDom

     

       Running partition tests on : DomainDnsZones

          Starting test: CrossRefValidation

             ......................... DomainDnsZones passed test CrossRefValidation

     

          Starting test: CheckSDRefDom

             ......................... DomainDnsZones passed test CheckSDRefDom

     

       Running partition tests on : Schema

          Starting test: CrossRefValidation

             ......................... Schema passed test CrossRefValidation

          Starting test: CheckSDRefDom

             ......................... Schema passed test CheckSDRefDom

     

       Running partition tests on : Configuration

          Starting test: CrossRefValidation

             ......................... Configuration passed test CrossRefValidation

          Starting test: CheckSDRefDom

             ......................... Configuration passed test CheckSDRefDom

     

       Running partition tests on : DOMINIO

          Starting test: CrossRefValidation

             ......................... DOMINIO passed test CrossRefValidation

          Starting test: CheckSDRefDom

             ......................... DOMINIO passed test CheckSDRefDom

     

       Running enterprise tests on : DOMINIO

          Starting test: Intersite

             ......................... DOMINIO passed test Intersite

          Starting test: FsmoCheck

             ......................... DOMINIO passed test FsmoCheck

    miércoles, 22 de diciembre de 2010 9:36
  • De lo que has puesto ya se nota que hay problemas de replicación del Sysvol

    ---------------
    Starting test: frsevent

             There are warning or error events within the last 24 hours after the

             SYSVOL has been shared.  Failing SYSVOL replication problems may cause

             Group Policy problems.

             ......................... CENTRAL2 failed test frsevent
    ----------------

    Así que hay que ir al Event Viewer y ver cuáles son los problemas detectados.
    Pon el número de evento y el origen de los eventos relacionados con el tema

     


    Guillermo Delprato - Buenos Aires, Argentina
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    miércoles, 22 de diciembre de 2010 10:28
    Moderador
  • Muy buenas ... 

    Perdona la tardanza pero lo he tenido que dejar un poco de lado estos dias. Principalmente, cuando abro el complemento de directivas de seguridad del dominio, me lanza el siguiente suceso.

    Suceso 10016, origen DCOM

    La configuracion de permisos que depende de la aplicacion no condede èrmisos de activacion local para la aplicacion de Servidor COM con CLSID {0C0A3666-30C9-11D0-8F20-00805F2CD064} AL SID {S-1-5-21-2885128675-285626312-3621279713-500} de DOMINIO\Administrador del usuario. Este permiso de seguridad se puede modificar mediante la herramienta administrativa Servicios de componentes.

    lunes, 27 de diciembre de 2010 15:41
  • El evento de DCOM es otro problema diferente
    Revisa en el enlace siguiente cuál puede aplicar:
    http://support.microsoft.com/search/default.aspx?mode=a&query=eventid%2010016%20dcom&catalog=LCID%3d1033&1033comm=1&ast=25%2c28%2c30%2c31&res=10&spid=3198&range=

    También hay que solucionar el problema de replicación del Sysvol. Como puse antes hay que ver los eventos relacionados específicamente a esto. O revisa:
    http://support.microsoft.com/search/default.aspx?mode=a&query=sysvol+replication&spid=3198&catalog=LCID%3D1033&1033comm=1&ast=25&ast=28&ast=30&ast=31&res=10

    Parece que los problemas son varios con esa instalación ...

     


    Guillermo Delprato - Buenos Aires, Argentina
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    • Marcado como respuesta Ismael Borche jueves, 6 de enero de 2011 16:13
    martes, 28 de diciembre de 2010 10:24
    Moderador
  • Hola Sico

    Hay algún avance en la solución de este problema?

    Saludo

    Ismael Borche - LATAM Forum Support Engineer
    Microsoft Corporation
    jueves, 30 de diciembre de 2010 14:36
  • Buenas Ismael, lo que hay es poco tiempo....

    Lo estuve mirando un poco por encima, pero necesito mirarlo más en profundidad..

    En cuanto vea algo, lo posteare....gracias a los dos y un saludo

    jueves, 30 de diciembre de 2010 16:46
  • Hola Sico

    Gracias por la información. Yo voy marcar la contestación de Guillermo Delprato como respuesta, y si tuvieres alguna duda o si persiste el problema volva a contestarnos.

    Saludos


    Ismael Borche - LATAM Forum Support Engineer
    Microsoft Corporation
    martes, 4 de enero de 2011 15:08