none
De 6 Dc's, solo uno es autoritativo para el dominio,problemas de redundancia. RRS feed

  • Pregunta

  • Hola, tenemos 6 Dc, los llamaremos: DC1; DC2; DC3; DC4; DC5; DC6.

    DC1 mantiene el FSMO y el DNS está integradeo en AD en todos los Dc's.

    Pues cuando se apaga DC1 la parte servidores a través de un Nslookup lanzado en los mismos ( Servidores ) no encuentran un DC para el Dominio. El ReplMon, lanzado en los DC's, detecta que todos los Name Contests dejan de replicar. En el visor de eventos salta un eroror de que no hay un Dc autoritativo para el dominio.

    Lado clientes: puedeen acceder al dominio pero: no arranca el Script de Login que carga las unidades mapeadeas etc etc, no tienen internet ( para ello hay un reenviador configurado ) y no les funciona el correo.

    Si hago un Nslookup en un servidor va solo al DC1, ni intenta ir a los demás, con un set q=srv no encuentra un Service Locator para AD y un set q=ns no encuentra servidores de nombres, siempre van al DC1. Mismo comportamioento tienen los clientes.

    Un Nslookup al dominio va solo al DC1 y no encuentra los demás Dc's, da un time out y dice que no encuentra ni el nombre del servidor ( DC1 ) ni el dominio.

    Es una situacion bastante comleja y me doy cuenta que en un foro es comlicado llegar a una solucion, pero alguna pista me vendria muy bien.

    La que sigo ahora es que solo DC1 es visto por AD como autoritativo para el dominio raiz y apunto a un problema de DNS.

    No se como configurar el DNS para que todos los DC's sean autoritativos para el Dominio Raíz y para las zonas de busqueda directa e inversa. Estoy en la KB de Microsoft y ya he leido unos cuantos articulos pero ninguno que haya encntrado describe una situacion así y da una solucion o posible pista.

    A la espera de una ayuda.

    Gracias de antemano.


    DINO ZOFF MCSE;MCP EXCHANGE 2003;MCTS EXCHANGE 2007;MCTS W2K8;CCA CITRIX
    viernes, 3 de septiembre de 2010 6:59

Respuestas

  • Dino, NSLOOKUP no es el cliente de DNS (Resolver se llama en realidad) del equipo.

    El equipo, y más específicamente el Resolver, le va a preguntar a los DNSs que tenga configurados en la conexión de red. Este es el problema aparente que tenemos.

    En cambio NSLOOKUP, como bien dice Javier, es una utilidad aparte, aunque incluida en el sistema operativo, que permite hacerle preguntas "detalladas" a un servidor DNS (el que quieras).
    Y el uso en este caso es para acotar y ver si el problema estuviera en los DNS que no responden

    Tal como dice Javier, si dentro de la línea de comando de NSLOOKUP, escribes "server a.b.c.d" (sin comillas) a partir de ese momento el NSLOOKUP preguntará al DNS cuya IP es a.b.c.d

     


    Guillermo Delprato - Buenos Aires, Argentina
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    miércoles, 8 de septiembre de 2010 21:52
    Moderador
  • Eso es porque no tienes creadas las zonas inversas en el DNS de tus subredes (en el KB que te puse lo comentaba también)
    -------- Salu2!! Javier Inglés https://mvp.support.microsoft.com/profile=540CC20A-D91F-4E7B-A209-2CB5567431B0 MS MVP, Windows Server-Directory Services. Microsoft Active Professional 2010
    jueves, 9 de septiembre de 2010 10:26

Todas las respuestas

  • El DC que mantiene algún FSMO es crítico, y si ese DC tiene todos los FSMO y cae o se apaga, es normal que haya síntomas como los que indicas y surjan muchos problemas, de ahí que siempre se recalque que cualquier DC que sea FSMO, se tenga especial cuidado con él.

    A aprte, para determinar posibles causas o errores, verifica con un dcdiag (y un netdiag si son 2003) los resultados en los DCs para ir viendo posibles errores o síntomas que puedan ayudar más para determinar el problema. Se suponeque cada DC es además un DNS y Globlal Catalog, y se apunta a sí mismo como DNS1 y al menos a otro DC como DNS alternativo

    El tema del DNS para hacer forwarder, tienes el resto de DCs configurados para ello?


    -------- Salu2!! Javier Inglés https://mvp.support.microsoft.com/profile=540CC20A-D91F-4E7B-A209-2CB5567431B0 MS MVP, Windows Server-Directory Services. Microsoft Active Professional 2010
    viernes, 3 de septiembre de 2010 13:53
  • Hola Dino, agrego algo más a lo que comenta Javier, es algo básico pero a veces los problemas vienen por ese lado :-)

    Por un lado revisa que todos los DCs, o por lo menos alguno de los que queda en línea sea GC.

    Y fundamentalmente, que los clientes estén configurados para usar como DNS, no sólo a DC1, sino a por lo menos otro; y que en todos los DNSs estén configurados los Reenviadores a los DNSs del ISP.
    Porque si esto no fuera así, explica perfectamente el problema que describes.

    El que no esté en línea un FSMO Rol no debería afectarte de esa forma.

    También, revisa que la replicación se esté produciendo correctamente. Si no funciona el Login Script, como primera medida revisa que esté replicado en todos los DCs.

     


    Guillermo Delprato - Buenos Aires, Argentina
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    sábado, 4 de septiembre de 2010 11:09
    Moderador
  • Hola Javier, todos los Dc son CG.

    Todos los Dc's, servidores y clientes tienen DC2 como servidor DNS alternativo.

    No entiendo a que te refieres por Forwarder en este caso.....osea, si DC2 es catalogo global, que tambien es DNS, porqué todos los servidores no van a DC2 para hacer las consultas y dan los errores que te he descrito en lugar de ir a DC2 que es el alternativo, en este caso, para todos los servidores ( Dc's incluidos dependiendo del DC, osea: DC1 tiene DC1 y DC2, DC2 tiene DC2 y DC1, DC3 tiene Dc3 y DC1 y asídelante todos los demás) y clientes?

    Un Dcdiag /c /v y un Netdiag /v han dado una serie de errores de replicacion, claramente, entre DC1 u DC2, y, tambien, como es normal, que no encuentran el FSMORoleOwner y el PDC...pero por lo demás ninguna pista clara.

    Como ya he comentado antes, un replmon detecta fallo en la replicacion de todas las particiones de AD entre todos, esto, seguramente es indicativo de que tampoco el Sysvol se esté replicando y, por esto el Login Script no arranca.

    He contraolado que en los demás Dc's esté el Logine Script, y lo tienen....

    Si un cliente tiene configurado como servidores DNS DC1 y DC2....porqué, si falla DC1 no va, automaticamente a DC2?

    Los DNS tienen solo un Forwarder que es para las consultas de internet echas por los cliente del dominio interno vayan a un servidor de sola caché que se ocupa de la salida de los clientes a Internet y de cachear las consultas. No puedo hacer forwarding entre los Dc's si los clientes, nisiquiera cojen el DNS alternativo como valido....a no ser que yo no haya entendido bien a que nivel entienedes que esté configurado el reenviador......

    Muchas gracias por tu ayuda, espero poder darte mas pistas en esta semana para poder tener mas opciones.

    Como comenta tambien Guillermo, por cierto, Hola Guillermo!!, el echo de no tener FSMO un rato no tiene porqué provocar una situación tan grave.....

     

     

     


    DINO ZOFF MCSE;MCP EXCHANGE 2003;MCTS EXCHANGE 2007;MCTS W2K8;CCA CITRIX
    sábado, 4 de septiembre de 2010 15:27
  • Hola Guillermo, he contestado a Javier y, en la respuesta van tambien las dudas que tenias tu.

     

    Gracias por participar e intentar ayudar, cualquier dato necesiteis intentaré proporcionarlo en detalle...

     

    Un saludo cordial


    DINO ZOFF MCSE;MCP EXCHANGE 2003;MCTS EXCHANGE 2007;MCTS W2K8;CCA CITRIX
    sábado, 4 de septiembre de 2010 15:28
  • Dino, danos un dato más ¿cuántos dominios de AD? y cómo está creado el Abrol/Bosque.
    O sea dominio raíz y subdominio, o varios Arboles

    Porque pienso que el tema está en la resolución DNS. Cuando un error se refiere a un servidor "autoritativo" no se está refieriendo al dominio AD, sino al dominio DNS
    Un servidor DNS es "autoritativo" cuando tiene la zona localmente, y no que responde con información "cacheada"

     


    Guillermo Delprato - Buenos Aires, Argentina
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    lunes, 6 de septiembre de 2010 20:50
    Moderador
  • Pon si puedes un ipconfig /all del DC con los FSMO y otro de alguno que falle.

    A parte, pon si puedes el dcdiag y el netdiag enteros.

    Dinos si todos los DCs son GC,DNS  y topología de sites


    -------- Salu2!! Javier Inglés https://mvp.support.microsoft.com/profile=540CC20A-D91F-4E7B-A209-2CB5567431B0 MS MVP, Windows Server-Directory Services. Microsoft Active Professional 2010
    martes, 7 de septiembre de 2010 7:05
  • Hay un solo Dominio. El Dominio y el Bosque están en nivel funcional 2003 y no hay relaciones de confianza.

    Yo tambien estoy convencido que sea un problema de DNS, pero, como ya he comentado, los Hosts del entorno, incluido los Dc2,Dc3,Dc4,Dc5,Dc5...cuando se apaga DC1 no encuentran un servidor DNS nisiquiera para resolver un nslookup del dominio.

    Todos los Dc's son DNS y tienen las zonas de busqueda directa almacenadas localmente y "teoricamente" replicandose en AD en cuanto las zonas estan integradas en AD y replicando a todosl los Controladores de Dominio del dominio ( Configuracion y particion de aplicaion ).

    Me setoy comiendo literalmente la cabeza cuando, al fin y al cabo, es un entorno mu pequeño!!!!!!

    Un saludo y gracias de antemano.


    DINO ZOFF MCSE;MCP EXCHANGE 2003;MCTS EXCHANGE 2007;MCTS W2K8;CCA CITRIX
    martes, 7 de septiembre de 2010 7:09
  • Pon si puedes los datos solicitados; a parte, si DC1 está levantado, y fuerzas una réplica entre todos, y luego haces un repadmin /replsum, qué resultado da?
    -------- Salu2!! Javier Inglés https://mvp.support.microsoft.com/profile=540CC20A-D91F-4E7B-A209-2CB5567431B0 MS MVP, Windows Server-Directory Services. Microsoft Active Professional 2010
    martes, 7 de septiembre de 2010 8:44
  • Si un equipo tiene instalado el servicio DNS, entonces *debe* responder a un NSLOOKUP

    Si no responde, las posibilidades son:
    - El servicio está apagado
    - No hay conectividad de red
    - Un cortafuegos que está impidiendo la comunicación

    Cuidado con los antivirus que agregan cortafuegos propio... ;-)

     


    Guillermo Delprato - Buenos Aires, Argentina
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    martes, 7 de septiembre de 2010 17:39
    Moderador
  • Ningun fallo y ningun error.
    DINO ZOFF MCSE;MCP EXCHANGE 2003;MCTS EXCHANGE 2007;MCTS W2K8;CCA CITRIX
    miércoles, 8 de septiembre de 2010 6:51
  • Si DC1 está apagado o levantado y lanzo un nslookup en DC2, me responde DC2 corectamente, pero porqué en la ficha clliente el DNS preferido es DC2, si pusiera DC1 no me lo daría....alli está el problema de todos los host. Tienen como preferido DC1 y secundario DC2, en lugar de ir a DC2 cuando DC1 no está, dejan de resolver, todos!!
    DINO ZOFF MCSE;MCP EXCHANGE 2003;MCTS EXCHANGE 2007;MCTS W2K8;CCA CITRIX
    miércoles, 8 de septiembre de 2010 6:54
  • El nslookup por defecto conecta sólo al primer DNS del adaptador, si haces después un server DC2, deberías poder resolver con ello direcciones igualmente, puedes comprobarlo?

    http://support.microsoft.com/kb/200525


    -------- Salu2!! Javier Inglés https://mvp.support.microsoft.com/profile=540CC20A-D91F-4E7B-A209-2CB5567431B0 MS MVP, Windows Server-Directory Services. Microsoft Active Professional 2010
    miércoles, 8 de septiembre de 2010 7:01
  • Hola , una consulta mas , los clientes de los DC que estan encendidos? La configuraciopn IP de donde la toma? Si haces un ipconfig / all , la DNS que les figura cual es? Digo a que DC correspone?
    Jorge Cavallin
    miércoles, 8 de septiembre de 2010 20:15
  • Dino, NSLOOKUP no es el cliente de DNS (Resolver se llama en realidad) del equipo.

    El equipo, y más específicamente el Resolver, le va a preguntar a los DNSs que tenga configurados en la conexión de red. Este es el problema aparente que tenemos.

    En cambio NSLOOKUP, como bien dice Javier, es una utilidad aparte, aunque incluida en el sistema operativo, que permite hacerle preguntas "detalladas" a un servidor DNS (el que quieras).
    Y el uso en este caso es para acotar y ver si el problema estuviera en los DNS que no responden

    Tal como dice Javier, si dentro de la línea de comando de NSLOOKUP, escribes "server a.b.c.d" (sin comillas) a partir de ese momento el NSLOOKUP preguntará al DNS cuya IP es a.b.c.d

     


    Guillermo Delprato - Buenos Aires, Argentina
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    miércoles, 8 de septiembre de 2010 21:52
    Moderador
  • Hola, tal y como ma habeis detallado, efectivamente, al hacer un Nslookup server "nombreservidor" me da como resultado: el nomre del servidor pero "no existent domain", incluso si lo hago al DC1.

    nslookp server dc1:

    respuesta dc1: FQDN "ip" XXXX

    "no existen domain"

     

     


    DINO ZOFF MCSE;MCP EXCHANGE 2003;MCTS EXCHANGE 2007;MCTS W2K8;CCA CITRIX
    jueves, 9 de septiembre de 2010 9:43
  • Eso es porque no tienes creadas las zonas inversas en el DNS de tus subredes (en el KB que te puse lo comentaba también)
    -------- Salu2!! Javier Inglés https://mvp.support.microsoft.com/profile=540CC20A-D91F-4E7B-A209-2CB5567431B0 MS MVP, Windows Server-Directory Services. Microsoft Active Professional 2010
    jueves, 9 de septiembre de 2010 10:26