none
Domain Controller Ticket vencido para nueva oficina RRS feed

  • Pregunta

  • Buenas tardes colegas, les agradezco me puedan tirar una linea con respecto al problema qeu estoy teniendo el cual nuevo para mi.

    Estamos instalando nuevos DC para oficinas nuevas sni problemas, los cuales replican contra el DC principal que esta en casa central. En estos dias se estan instalando unos DC los cuales fueron instalados, promovidos y replicados hace mas de 2 meses.

    Dichos servidores al ponerlos en produccion NO replican contra el DC en casa central y dan errores de "acceso denegado", o al tratar de manualmente forzar la replicacion da errores como " The naming context is in the process of being removed or is not replicated from the specified server".

    Al correr un comando tan simple como net time \\DC /set /y, tira el error "System error 5 has occurred. Access is denied."

    Leyendo por todos lados veo que esto es ocacionado por el tiempo extenso transcurrido desde que se promovio y replico el DC, hast aponerlo en produccion (aproximadamente mas de 2 meses guardado en una caja).

    Hay un ticket generado para el nombre equipo que caducaria segun entiendo, apra ello segui los pasos:

    1. stop the Kerberos Key Distribution Center service and set its startup type to disabled.

    2. Remove the Kerberos ticket cache on the domain controller where you receive the errors

    3. netdom resetpwd /s:<var>server (aqui puse el nombre del DC principal en casa central)</var> /ud:<var>domain</var>\<var>User </var>/pd:*

    4. reinicie equipo

    5. inicie Kerberos Key Distribution Center service y deje en Automatic.

    Pero el problema persiste.

    Tirando un:

    REPADMIN /SHOWREPL DC (aqui pongo nombre del DC principal en oficina central), da el error:

    LDAP Error 82(0x52): Local Error
    Server Win32 Error 0(0x0):

    Descartado cualquier problemas de firewall de terceros ya que no estan instalados.

    obviamente tengo parada las dos oficinas y entenderan mi urgencia. Muchas gracias desde ya por un pronto salvavidas, saludos...


    Gaston Arbenoiz
    martes, 29 de noviembre de 2011 19:13

Respuestas

  • Gracias por la pronta respuesta Guillermo, por suerte ya quedo solucionado el problema.

    La solucion mas sana y eficaz fue despromoverlo, limpiar AD y DNS, luego promover nuevamente.

    Saludos, gracias y a las ordenes...


    Gaston Arbenoiz MCSA-MCSE-CCNA
    • Marcado como respuesta Ismael Borche miércoles, 7 de diciembre de 2011 1:48
    jueves, 1 de diciembre de 2011 16:44

Todas las respuestas

  • Estimado

    Probraste forzar la replicacion de los DC ??

    Revisa estos Links

    http://technet.microsoft.com/es-es/library/upgrade-domain-controllers-to-windows-server-2008-r2(WS.10).aspx#BKMK_Upgrade

    http://www.bujarra.com/UsoDeHerramientasDeDiagnosticoParaUnControladorDeDominio.html

     

    Saludos Cordiales


    Jose Antonio Cermeño- Caracas-Venezuela **http://jacermeno.wordpress.com "Colabora con el foro,vota si te ha servido la respuesta"
    martes, 29 de noviembre de 2011 19:39
  • Revisa este otro link

    http://ecastrom.blogspot.com/2008/01/cmo-forzar-la-replicacin-con-un.html

     


    Jose Antonio Cermeño- Caracas-Venezuela **http://jacermeno.wordpress.com "Colabora con el foro,vota si te ha servido la respuesta"
    martes, 29 de noviembre de 2011 19:41
  • Hola Gastón, no va a ser fácil el tema seguramente

    Revisa este enlace a ver si alguna de las opciones aclara

    Troubleshooting Active Directory operations that fail with error 8614: "The Active Directory cannot replicate with this server because the time since the last replication with this server has exceeded the tombstone lifetime":
    http://support.microsoft.com/kb/2020053

    Muevo el hilo al foro de Directorio Activo, que es más apropiado

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    miércoles, 30 de noviembre de 2011 12:31
    Moderador
  • Gracias por la pronta respuesta Jacermeno, leo esos link, pruebo y te cuento...
    Gaston Arbenoiz MCSA-MCSE-CCNA
    miércoles, 30 de noviembre de 2011 12:56
  • Buenas Guillermo gracias por tu pronta respouesta, esta bueno ese dato lo estoy leyendo pruebo y los pongo al tanto, gracias..
    Gaston Arbenoiz MCSA-MCSE-CCNA
    miércoles, 30 de noviembre de 2011 12:57
  • Bueno les cuento que no hay forma, este problema segun veo apunta a una unica razon y es que vencio el tombstone lifetime que en mi caso son 60 dias. Por mas que fuerze replicacion da errores de todo tipo y tamaño ya qeu el DC principal o cualquier otro DC del dominio no replica con el porque caduco el "ticket" determinado por el tombstone lifetime.

    Segun veo la unica salida a este estupido pero gran problema es despromover, limpiar Metadata en Naming Master y promover de nuevo. Espero que al promover de nuevo el server con el mismo nombre e IP no tenga que unir de nuevo las maquinas de esa subred al dominio, aunque no se si sera asi.

    Espero cualquier comentario antes de arrancar con esta grotesca solucion, saludos..


    Gaston Arbenoiz MCSA-MCSE-CCNA
    jueves, 1 de diciembre de 2011 11:58
  • Me olvidaba la otra posible solucion que se me ocurrio y es aumentar el tamaño del tombstone lifetime pero no se qeu pasaria, porqeu los 60 dias ya pasaron y el server ya "caduco", no se si cambiando a 180 dias al reiniciar el server sera "validado" por los demas domain controllers para replicar.....
    Gaston Arbenoiz MCSA-MCSE-CCNA
    jueves, 1 de diciembre de 2011 12:02
  • Ya caducó, como bien dices, aunque aumentes el tiempo, lo que ya marcó como "muerto", "está muerto" :-)

    Serviría de aquí en más.

    Respecto al otro tema, teniendo más de un DC, que se quite uno no afectará en nada las cuentas de usuarios y equipos.
    Lo que sí se pierde, son los cambios que tiene ese DC y que no fueron replicados al que quedará

    Algo que sí podría producirse es que se des-sincronize la contraseña de algunas máquinas, en ese caso habría que solucionar sólo eso
    Más info en: Resetting computer accounts in Windows:
    http://support.microsoft.com/kb/216393

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    jueves, 1 de diciembre de 2011 12:36
    Moderador
  • Gracias por la pronta respuesta Guillermo, por suerte ya quedo solucionado el problema.

    La solucion mas sana y eficaz fue despromoverlo, limpiar AD y DNS, luego promover nuevamente.

    Saludos, gracias y a las ordenes...


    Gaston Arbenoiz MCSA-MCSE-CCNA
    • Marcado como respuesta Ismael Borche miércoles, 7 de diciembre de 2011 1:48
    jueves, 1 de diciembre de 2011 16:44
  • Para estos casos, ese procedimiento "nunca falla" :-)

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    viernes, 2 de diciembre de 2011 12:00
    Moderador