none
Traspaso de FSMO entre servidores (migración y eliminación de controlador de dominio) RRS feed

  • Pregunta

  •  

    Hola,

     Tengo un red con 1 servidor SBS 2003 (DC1) y 2 nuevos servidores windows server 2003 standard 64 bits (DC2 y DC3) en el mismo dominio. Uno de los standard con exchange 2007 (DC2).

    El servidor SBS (DC1) será dado de baja por lo que se traspasó el catalogo global al nuevo DC2 y todos los roles y ya es servidor DHCP y DNS, deshabilitandolos del DC1.

    Al apagar el servidor DC1 no hay usuario que entre en la red (no es posible autenticarse). El servidor exchange 2007 (en DC2) da un mensaje de que no encuentra el dominio en el bosque y por supuesto tampoco el GC (ya pasaba cuando deshabilito el GC del DC1 por lo que he dejé activado el GC en los dos servidores).

     

    1º Los dos servidores cumplen con GC.

    2º Sé que el SBS solo admite ser el DC mas alto del Sitio (posible origen del problema)

    3º Las Politicas de Sistema fallan en el nuevo.

    4º Todos los usuarios apuntan al nuevo servidor DC2 como servidor DNS.

     

    Ejecutando "dcdiag" con DC1 funcionando los errores que me da son:

     

    Warning: DsGetName returnes information for \\DC1.dominio.local, when we were trying to reach DC2.

    Server is not responding or is not considered suitable.

    The DC DC2 is advertising itself as a DC and having a DS.

    The DC DC2 is advertising as an LDAP server.

    The DC DC2 is advertising as having a writeable directory.

    The DC DC2 is advertising as a Key Distribution Center.

    The DC DC2 is advertising as a time server.

    The DS DC2 is advertising as a GC.

    .....................................DC2 failed test Advertising.

     

    otro:

      DC2 failed test frsevent.

      DC2 failed test systemlog.

     

    Y me pasa el test CheckSecurityError Ok pero dándome:

         Found KDC DC1 for domain domain.local in site Nombre-predeter.........

     

    En test FsmoCheck

     

    GC Name es DC1.

    PDC Name es DC2.

    Time server Name y Preferred es DC1.

    KDC name es DC1.

     

    ¿Qué puede estar pasando? No puedo retirar el servidor DC1 aún y es un servidor que me dado diferentes problemas de hardware. El ultimo problema es que descubre otro DC en la red y se apaga a la hora de dar el mensaje (SBCore).

     

    ¿Es posible que se deba al tener un SBS 2003 y servidores 2003 Standard en el mismo dominio?

    ¿Cómo soluciono los errores para dejar solos los DC2 y DC3 sin depender del DC1?

     

    Gracias de antemano y un saludo.

    jueves, 12 de abril de 2007 12:05

Respuestas

  • No, mira toda la estructura de sysvol y reconstruye en el servidor afectado segun lo que observaste, ejemplo:

    \\Servidor14\sysvol\foro.microsoft.com\  --> tu servidor antiguo

    Esta ruta debe ser identica en tu nuevo DC, sino, crea las carpetas con los permisos necesarios y todo...

    Saludos

    MV
    viernes, 20 de abril de 2007 12:55
  • Hola a todos y especialmente a Manuel,

     

    Resolví ya el tema.

    Reconstruí los sysvol (haciendo copia antes de su contenido, claro) de los dos servidores y se resolvió el tema.

    Aplicando el Id. de artículo 315457. Así de sencillo.

    Pude aplicar nuevas políticas de grupo, trasladar el Catalogo Global, etc.

     

    Gracias por todo.

    jueves, 3 de mayo de 2007 14:15

Todas las respuestas

  • CarlosR

    Recuerda que son 5 los roles cuando tienes una foresta creada (en realidad son 6), si traspasaste los 3 roles mediante AD, que sucedió con los otros 2?

    Favor, mediante NTDSUTIL, hace un listado de roles y adjunta para saber que servidor por rol.

    No es recomendable tener 2GC en un mismo sitio...

    Saludos

    Mv


    jueves, 12 de abril de 2007 15:49
  • Gracias por contestar Manuel.

     

    Esta es la salida con ntdsutil

    donde:

    DC1   es   "serverbcn"   (SBS)

    DC2   es   "newsrvbcn"   (windows 2003)

     

    select operation target:  list roles for connected server

    Server "\\serverbcn.domainbrbcn.local" knows about 5 roles

    Schema - CN=NTDS Settings,CN=NEWSRVBCN,CN=Servers,CN=Nombre-predeterminado-primer-sitio,CN=Sites,CN=Configuration,DC=domainbrbcn,DC=local

    Domain - CN=NTDS Settings,CN=NEWSRVBCN,CN=Servers,CN=Nombre-predeterminado-primer-sitio,CN=Sites,CN=Configuration,DC=domainbrbcn,DC=local

    PDC - CN=NTDS Settings,CN=NEWSRVBCN,CN=Servers,CN=Nombre-predeterminado-primer-sitio,CN=Sites,CN=Configuration,DC=domainbrbcn,DC=local

    RID - CN=NTDS Settings,CN=NEWSRVBCN,CN=Servers,CN=Nombre-predeterminado-primer-sitio,CN=Sites,CN=Configuration,DC=domainbrbcn,DC=local

    Infrastructure - CN=NTDS Settings,CN=NEWSRVBCN,CN=Servers,CN=Nombre-predeterminado-primer-sitio,CN=Sites,CN=Configuration,DC=domainbrbcn,DC=local

     

    Lo de tener 2 GC que me recomiendas ya que el que tiene el serverbcn cuando lo desactivo no funciona nada y es un servidor que en cualquier momento se apaga y no vuelve a arrancar. de todas formas este server lo tengo que retirar ya.

     

    Saludos

     

    viernes, 13 de abril de 2007 8:12
  • Estimado

    Todos los roles estan en tu server nuevo NEWSRVBCN, ahora, fijate si esta bien configurado a nivel de Site and services (debe ser similar a servidor serverbcn)

    Cuales son los errores que observas o qué deja de funcionar?

    Saludos

    PS.ahora que
    serverbcn no tiene ningun rol, logicamente, deberia andar todo bien

    MV
    viernes, 13 de abril de 2007 15:36
  • Hola Manuel

     

    Site and Services es idéntico entre servidores. La configuración no es compleja ya que solo tiene un site.

    Otros errores que tengo en visor de sucesos es:

     

    En Newbrbcn:          De "Autoenrollment"

                                       Id de suceso:13

                                       Automatic certificate enrollment for local system failed to enroll for one Domain Controller Certificate (0x80070005). Access is denied.

     

    Sigo investigando pero se me escapa algo.

     

    ¿Es posible que exista un lugar en AD donde sólo haga referencia a serverbcn para encontrar el GC aunque esté seleccionado en "Site and Services" el newsrvbcn? ¿donde mirar y cómo acceder (adsiedit,etc)?

     

    Un saludo.

     

     

    viernes, 13 de abril de 2007 16:32
  • Basicamente lo que encuentras en ADSIEDIT es lo mismo que ves en AD console. Estas usando algun tipo de certificado digital, esto lo pregunto por el mensaje de error que adjuntas?...

    [Mira, lo otro que puedes hacer es sacar una copia via NTBACKUP (systemstates) del domino que quieres dar de baja y montarlo en otro servidor... obviamente esto es mas engorroso, considerando que piensas partir de "cero" en cuanto a directorio.]

    Por otro lado, cuando bajas el servidor serverbcn y haces un set l o set u en los usuarios, en qué controlador de dominio inician sesión?, que dicen los log de eventos en los usuarios?, que dice el log de netlogon?

    Saludos

    MV

    viernes, 13 de abril de 2007 18:35
  • Hola Manuel,

     

    Cuando apago el servidor los usuarios no se logonan ya que no encuentran ni siquiera el dominio.

    Entrando en el servidor newsrvbcn y accediendo a "usuarios y equipos de active directory" no me habre el dominio ya que dice que no lo encuentra.

    Lo mismo pasa con "dominios y confianzas de active directory" que no encuentra el dominio.

     

    Y sí, había una entidad emisora de certificados que ya no se utiliza.

     

    Otro error que se me habia pasado por alto es:

    Con Netdiag me da error en:

    Domain membership test . . . . . . : Failed
        [WARNING] Ths system volume has not been completely replicated to the local
    machine. This machine is not working properly as a DC.

     

    ¿Cómo se resuelve?

     

     

     

    Saludos
    lunes, 16 de abril de 2007 7:57
  • En el servidor donde estan todos los roles, puedes entrar localmente al SYSVOL? (ejm: \\serverX\SYSVOL\dominio.com\)
    Puedes hacer estos mismo desde alguna estacion de trabajo?
    Que tipo de certificado era?

    Desde la maquina antigua, agrega la maquina nueva como GC en sites and services", ademas, verifica que la zona de tu dominio este replicada en el nuevo DC, verifica que el MSDCS tenga como NAME SERVER ambos servidores, asi como tambien, la zona de tu domino debe tener ambos servidores como NAME SERVER.
    Verifica que la maquina nueva tenga su propia IP como DNS primario y obviamente, verifica que que la zona sea integrada en active directory.

    Saludos

    MV


    lunes, 16 de abril de 2007 17:46
  • Los roles ya están en el nuevo servidor y sí que puedo acceder desde otra máquina o estación de trabajo.

    El certificado se usada para los accesos de un cliente desde internet.

     

    La máquina nueva ya está agregada en sites and services como GC, tiene las zonas replizadas, los dos servidores los tiene como NS, también está integrada en AD, etc, etc.

     

    Todo parece que esté correcto.

     

    Qué opinas de los errores que salen

    con DCDIAG:

     

          Starting test: Advertising

             Warning: DsGetDcName returned information for \\serverbcn.domain.local, when we were trying to reach NEWSRVBCN.

             Server is not responding or is not considered suitable.

             ......................... NEWSRVBCN failed test Advertising

     

    y con netdiag:

    Domain membership test . . . . . . : Failed

        [WARNING] Ths system volume has not been completely replicated to the local

    machine. This machine is not working properly as a DC.

     

    martes, 17 de abril de 2007 10:14
  • vaya que extraño, tus DC actuales vienen de una migracion de NT?, aplica el ultimo Service Pack para windows 2003.

    El servidor nuevo tiene en la NIC su IP como preferred dns server?, si no la tiene procura ponerla y registrar manualmente DNS.

    Puedes entrar al SYSVOL de tu dominio en el servidor nuevo, local y remotamente?, si no puedes hacerlo tienes que reconstruirlo.

     

    Te adjunto otros pasos que pueden ayudarte:

     

  • If it isn't already, the subnet should be assigned to a site.  This is done through the Active Directory Sites & Services snap-in (dssite.msc).
  • Next, the server should be moved into the appropriate site.  To do this, right-click on the server object in Active Directory Sites & Services and choose move.  Select the site that this Domain Controller is to be moved to, and choose OK.
  • Configure the server with the new TCP/IP settings and shut down
  • Register the new details in DNS.  To do this, the following commands will need to be executed from the command line:
    C:\>ipconfig /flushdns
    C:\>net stop netlogon
    C:\>net start netlogon
    C:\>ipconfig /registerdns
  • Allow for replication, or initiate replication using either Active Directory Sites & Services or Replication Monitor.
    When replication is complete, the DNS resolver can be set to use the local server's address, if the Domain Controller is a DNS server, or a DNS server local to the site if not.   

     

    Saludos

     

    MV

martes, 17 de abril de 2007 13:46
  • Todo esto ya lo he hecho.

     

    De todas formas los servidores fueron instalados por otra persona y tras una consulta me han comentado que la compartición de sysvol de hizo a mano.

    No sé si esto influye siendo un windows 2003 R2 ya que el sistema de replicación ha cambiado en esta versión.

    ¿Qué diferencia existe entre windows\sysvol\sysvol\domainbrbcn.local (mi dominio) y windows\sysvol\domain? Tal vez sea una pregunta básica pero no me habia encontrado problemas con sysvol (si este es el caso)

    ¿Si ésto es un fallo cómo lo solvento? Recomiendas hacer un backup del sysvol del antiguo servidor y restaurarlo en el nuevo?.

     

    Un saludo.

    jueves, 19 de abril de 2007 11:15
  • Como te comentaba, el punto estaba en reconstruir el sysvol tal y como lo hizo el tecnico. Lo normal es que es sysvol sea identico entre ambos servidores del mismo dominio, (sysvol actúa mediante DFS), si no son iguales y considerando que son DC bajo un mismo dominio, tienes que reconstruirlo o homologarlo identico al dominio antiguo.
    Hace backup de ambos dominios, esto debería ser una costumbre de buenas practicas.

    Saludos

    MV
    jueves, 19 de abril de 2007 15:15
  • Hola Manuel

    Reinicié los servidores repitiendo los pasos de transferencia de roles y de GC y no sirvió de nada.

     

    Tenía entendido que la versión "windows server 2003 R2" ya no utiliza el DFS para el sysvol, ahora sólo se encarga el FRS.

    Haré Backup de los dos DC (del SystemState) antes de nada pero sabes si existe alguna opción de restaurar sólo el sysvol en el nuevo DC o es una incongruencia.

    En cuanto a la igualdad entre los sysvol tenía mis dudas de si por ser un SBS difiere de un Windows standard.

     

    Saludos

    jueves, 19 de abril de 2007 15:52
  • Hola Carlos

    Pero en ningun momento mencionaste que es R2 ¿?, la restauracion es en forma manual (salvo cuando restauras mediante un backup de system state), acerca de tu ultima pregunta...no existen diferencias segun lo que he visto..

    Salu2

    MV
    jueves, 19 de abril de 2007 19:37
  • Disculpa por lo del "R2" pero al principio no le di importancia.

    Cuando hablas de en forma manual supongo que te refieres a un "COPY".

     

    Saludos.

     

    viernes, 20 de abril de 2007 8:33
  • No, mira toda la estructura de sysvol y reconstruye en el servidor afectado segun lo que observaste, ejemplo:

    \\Servidor14\sysvol\foro.microsoft.com\  --> tu servidor antiguo

    Esta ruta debe ser identica en tu nuevo DC, sino, crea las carpetas con los permisos necesarios y todo...

    Saludos

    MV
    viernes, 20 de abril de 2007 12:55
  • Hola a todos y especialmente a Manuel,

     

    Resolví ya el tema.

    Reconstruí los sysvol (haciendo copia antes de su contenido, claro) de los dos servidores y se resolvió el tema.

    Aplicando el Id. de artículo 315457. Así de sencillo.

    Pude aplicar nuevas políticas de grupo, trasladar el Catalogo Global, etc.

     

    Gracias por todo.

    jueves, 3 de mayo de 2007 14:15
  • Bien, me alegro que todo este en orden

     

    Nos vemos

     

    MV

    viernes, 4 de mayo de 2007 2:28

  • Hola a todos y especialmente a Manuel,

     

    Resolví ya el tema.

    Reconstruí los sysvol (haciendo copia antes de su contenido, claro) de los dos servidores y se resolvió el tema.

    Aplicando el Id. de artículo 315457. Así de sencillo.

    Pude aplicar nuevas políticas de grupo, trasladar el Catalogo Global, etc.

     

    Gracias por todo.

    Tengo el mismo, problema podria consultarte a tu correo electronico, por que hago lo q me indica el articulo sin embargo me marca el siguiente error en el visor de sucesos:

     

    El Servicio de replicación de archivos tiene problemas habilitando la replicación desde srv2 a srv13 para c:\windows\sysvol\domain utilizando el nombre DNS srv1.miempresa.com FRS continuará reintentando. 
    A continuación observará algunas de las razones por las que aparecerá esta advertencia.

     [1] FRS no puede resolver correctamente el nombre DNS srv1.miempresa.com desde este equipo. 
     [2] FRS no se está ejecutando en srv1.miempresa.com 
    [3] La información de topología de esta replicación en Active Directory aún no ha sido replicada a todos los controladores de dominio.

    Este mensaje de registro de sucesos aparecerá una sola vez para cada conexión. Una vez que se haya resuelto el problema volverá a ver otro mensaje de registro de sucesos indicando que la conexión se ha establecido.

    Para obtener más información, vea el Centro de ayuda y soporte técnico en

    domingo, 26 de septiembre de 2010 17:24