none
Problema de sincronizacion del directorio activo. RRS feed

  • Pregunta

  • Bueno sin motivo conocido, en una empresa donde tengo dos servidores con windows server 2003 R2 SP, dejan de sincronizar y los equipos no loguean en la red. Se corrompio el kerberos y corrimos el siguiente comando para que los equipos que no se veia en la red, comenzaran a verse:

    Solución

    Todos estos errores indican que el equipo local (el que muestra los errores) no tiene un tiquet Kerberos válido para identificarse en el dominio.  Para solucionarlo (ya sea un DC o cualquier otro equipo de la red), debemos proceder de la siguiente forma:

    Reseteamos la contraseña del equipo:

    1- Localizamos el DC de la red que asume la función de PDC

    2- Detenemos y establecemos en Manual el servicio 'Centro de distribución de claves Kerberos'

    3- Nos desplazamos al equipo local (el que muestra los problemas) y verificamos que tenemos instaladas las Herramientas de soporte (Support Tools)

    4- Abrimos una consola de comandos en el equipo local y ejecutamos lo siguiente:

        netdom resetpwd /server:otro_DC /userd:dominio\administrador /passwordd:contraseña de administrador

        * 'otro_DC' indica cualquier otro DC de la red que esté funcionando correctamente. Este nos podrá proporcionar un nuevo tíquet.

    5- Reiniciamos el equipo local. Una vez reiniciado, obtendrá un nuevo tíquet por parte del DC indicado.

    6- Iniciamos de nuevo el servicio 'Centro de distribución de claves Kerberos' en el FSMO PDC y lo establecemos a automático

    Luego nos genero una serie de sucesos asociados a datos persistentes, pero la realidad es que correindo los comandos que me indican las paginas de soporte de microsoft, me muestra como si no existieran datos persistentes que ensicien el directorio activo. Ya no se como seguir. Copio los eventos que me indica el visor de sucesos y espero que si alguno conoce la solucion pueda ayudarme. Desde ya muchas gracias.

    --------------------------------------------------------------------------------------------------------------------------------------------------

    Tipo de suceso: Error
    Origen del suceso: NTDS Replication
    Categoría del suceso: (5)
    Id. suceso: 2042
    Fecha:  22/11/2012
    Hora:  14:55:28
    Usuario:  NT AUTHORITY\ANONYMOUS LOGON
    Equipo: SERVDATOS
    Descripción:
    Ha transcurrido mucho tiempo desde que este equipo se replicó por última vez con el equipo de origen indicado. El tiempo entre replicaciones con este origen ha excedido el período de vida de objetos de desecho. La replicación con este origen se ha detenido.
    El motivo de que la replicación no pueda continuar es que las vistas de objetos eliminados de ambos equipos posiblemente son diferentes. Es posible que el equipo de origen siga teniendo copias de objetos que se han eliminado (y enviado a la recolección de elementos no utilizados) en este equipo. Si se les permitiera replicarse, el equipo de origen devolvería objetos ya eliminados.

    -------------------------------------------------------------------------------------------------------------------------------------------------

    Tipo de suceso: Advertencia
    Origen del suceso: NTDS Replication
    Categoría del suceso: (5)
    Id. suceso: 1586
    Fecha:  22/11/2012
    Hora:  14:55:25
    Usuario:  NT AUTHORITY\ANONYMOUS LOGON
    Equipo: SERVDATOS
    Descripción:
    El control de replicación de Windows NT 4.0 o anterior con el maestro emulador PDC no ha tenido éxito.
     
    Podría producirse una sincronización completa de la base de datos del Administrador de cuentas de seguridad (SAM) en los controladores de dominio que utilizan Windows NT 4.0 y anterior si la función del maestro emulador PDC se transfiere al controlador de dominio local antes del próximo control con éxito.
     
    Se intentará el proceso de control de nuevo dentro de cuatro horas. 
     
    -----------------------------------------------------------------------------------------------------------------------------------------------------

    Tipo de suceso: Error
    Origen del suceso: NTDS Replication
    Categoría del suceso: (5)
    Id. suceso: 1864
    Fecha:  22/11/2012
    Hora:  11:40:22
    Usuario:  NT AUTHORITY\ANONYMOUS LOGON
    Equipo: SERVDATOS
    Descripción:
    Éste es el estado de replicación para la siguiente partición del directorio en el controlador de dominio local.
     
    Partición del directorio:
    DC=rc,DC=com,DC=ar
     
    El controlador de dominio local no recibió recientemente información de replicación de varios controladores de dominio.   A continuación puede ver el número de controladores de dominio, separados en los siguientes intervalos.
     
    Más de 24 horas:
    1
    Más de una semana:
    1
    Más de un mes:
    1
    Más de dos meses:
    1
    Más de un período de vida de desecho:
    1
    Período de vida de desecho (días):
    60
     Los controladores de dominio que no replican a tiempo pueden encontrar errores. Pueden perder cambios de contraseña y no podrían realizar la autenticación. Un DC que no se replica en el período de vida de desecho puede perder la información de eliminación de algunos objetos y bloquear automáticamente  su futura replicación hasta que se reconcilie.
     
    Para identificar los controladores de dominio por el nombre, instale las herramientas de soporte incluidas en el CD  de instalación y ejecute dcdiag.exe.
    También puede utilizar la herramienta de soporte repadmin.exe para mostrar las latencias de replicación de los controladores de dominio del bosque. El comando es "repadmin /showvector /latency <partition-dn>".

    -----------------------------------------------------------------------------------------------------------------------------------------------------

    Tipo de suceso: Advertencia
    Origen del suceso: NTDS Replication
    Categoría del suceso: (5)
    Id. suceso: 2093
    Fecha:  22/11/2012
    Hora:  11:40:22
    Usuario:  NT AUTHORITY\ANONYMOUS LOGON
    Equipo: SERVDATOS
    Descripción:

    El servidor remoto propietario de una función FSMO no responde.  Este servidor no se ha replicado con el propietario de función FSMO recientemente.
     
    No se podrá realizar ninguna operación que requiera ponerse en contacto con un maestro de  operaciones FSMO hasta que esta condición se corrija.
     
    Función FSMO: CN=RID Manager$,CN=System,DC=rc,DC=com,DC=ar
    Nombre completo (DN) del servidor FSMO: CN=NTDS Settings,CN=SERVAPP,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=rc,DC=com,DC=ar
    Umbral de latencia (horas): 24
    Tiempo transcurrido desde la última replicación correcta (horas): 105257 
     
    -----------------------------------------------------------------------------------------------------------------------------------------------------

    Tipo de suceso: Error
    Origen del suceso: NTDS Replication
    Categoría del suceso: (5)
    Id. suceso: 1864
    Fecha:  21/11/2012
    Hora:  11:40:22
    Usuario:  NT AUTHORITY\ANONYMOUS LOGON
    Equipo: SERVDATOS
    Descripción:
    Éste es el estado de replicación para la siguiente partición del directorio en el controlador de dominio local.
     
    Partición del directorio:
    DC=rc,DC=com,DC=ar
     
    El controlador de dominio local no recibió recientemente información de replicación de varios controladores de dominio.   A continuación puede ver el número de controladores de dominio, separados en los siguientes intervalos.
     
    Más de 24 horas:
    1
    Más de una semana:
    1
    Más de un mes:
    1
    Más de dos meses:
    1
    Más de un período de vida de desecho:
    1
    Período de vida de desecho (días):
    60
     Los controladores de dominio que no replican a tiempo pueden encontrar errores. Pueden perder cambios de contraseña y no podrían realizar la autenticación. Un DC que no se replica en el período de vida de desecho puede perder la información de eliminación de algunos objetos y bloquear automáticamente  su futura replicación hasta que se reconcilie.
     
    Para identificar los controladores de dominio por el nombre, instale las herramientas de soporte incluidas en el CD  de instalación y ejecute dcdiag.exe.
    También puede utilizar la herramienta de soporte repadmin.exe para mostrar las latencias de replicación de los controladores de dominio del bosque. El comando es "repadmin /showvector /latency <partition-dn>".

    -----------------------------------------------------------------------------------------------------------------------------------------------------

    Tipo de suceso: Advertencia
    Origen del suceso: NTDS KCC
    Categoría del suceso: (1)
    Id. suceso: 1308
    Fecha:  20/11/2012
    Hora:  8:46:46
    Usuario:  NT AUTHORITY\ANONYMOUS LOGON
    Equipo: SERVDATOS
    Descripción:
    El Comprobador de coherencia de réplica (KCC) ha detectado numerosos errores en los sucesivos intentos de replicación con el siguiente controlador de dominio.
     
    Intentos:
    212
    Controlador de dominio:
    CN=NTDS Settings,CN=SERVAPP,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=rc,DC=com,DC=ar
    Período de tiempo (minutos):
    852 
     
    -----------------------------------------------------------------------------------------------------------------------------------------------------

    Tipo de suceso: Error
    Origen del suceso: NTDS Replication
    Categoría del suceso: (22)
    Id. suceso: 1645
    Fecha:  19/11/2012
    Hora:  19:08:19
    Usuario:  NT AUTHORITY\ANONYMOUS LOGON
    Equipo: SERVDATOS
    Descripción:
    Active Directory no realizó una llamada a procedimiento remoto (RPC) autenticada a otro controlador de dominio porque el nombre principal de servicio (SPN) deseado para el controlador de dominio de destino no está registrado en el controlador de dominio del Centro de distribución principal (KDC) que resuelve el SPN.
     
    Controlador de dominio de destino:
    2f833193-e1e7-4a1a-9c39-ad4de6ce522d._msdcs.rc.com.ar
    SPN:
    E3514235-4B06-11D1-AB04-00C04FC2DCD2/2f833193-e1e7-4a1a-9c39-ad4de6ce522d/rc.com.ar@rc.com.ar 

    jueves, 22 de noviembre de 2012 20:49

Respuestas

  • Hola Fernando, tienes problemas de todo tipo en esa instalación :-(

    Lo primero a solucionar sería conseguir que los Controladores de Dominio vuelvan a replicar, y por el error 2042 eso muestra que hace más de 180 días que no replican, así que los problemas que pueden haber son no muchos, sino muchísimos

    Personalmente elegiría al DC más actualizado, limpiaría el AD de todos los DCs restantes, y los reinstalaría y los volvería a poner como Controladores de Dominio.
    Pienso que puede ser más rápido que tratar de ir solucionando cada uno de los problemas que tienes. Además por la falta de replicación aunque se arregle seguramente habrán datos irrecuperables.

    De todas formas si querés intentar algo, revisá este artículo:
    http://www.radians.com.ar/blog/?p=1410

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Windows Server - Todos los Paso a Paso
    MVP [Directory Services] - MCT - MCSE - MCSA
    MCSA Windows Server 2012
    MCSA Windows Server 2008 MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory / Network Configuration / Applications Configuration / Server Virtualization / Windows 7 Configuration / Windows 7 & Office 2010 Deployment / Vista Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    jueves, 22 de noviembre de 2012 22:28
    Moderador