none
problema con dominio active directory RRS feed

  • Pregunta

  • Hola. tengo un dominio active directory en un win2003 entreprise. El caso es que el servidor con el que se creo el dominio se daño y tengo otro como catalogo global y qdo como servidor principal, y en un tiempo no hubo problema, pero la ultima vez q se adiciono otro equipo como catalogo global, comenze a terner problemas: no puedo ingresar nuevas maquinas a dominio, excepto cuando pongo la direccion ip de 2do equipo como dns primario, o no puedo hacer cambios en las directivas  en el servidor1  sale un error "no se encuentra ruta de red" pero si hago los cambios en el 2, si funciona. Revise y puse con el ntdsutils.exe que el servidor1 sea el maestro de todas las cosas, dominio infraestructura, rid, pero aun falla, pues si el servidor2 no esta activo, se dan los errores antes dicho. Alguien tiene idea de por q se da esto?
    miércoles, 4 de agosto de 2010 16:52

Respuestas

  • Hola,

    deberias verificar que equipo tiene los roles, teniendo en cuenta que todos deben estar asignados a un servidor, si uno de ellos todavia aparece asignado el DC caido debes hacerle un seize a un DC en ejecucion. Puedes consultarlo con el comando netdom query fsmo

    Asegurate tambien de haber limpiado toda la metadata del DC caido, aqui tienes el articulo

    How to remove data in Active Directory after an unsuccessful domain controller demotion

    http://support.microsoft.com/kb/216498

    Por otro lado verifica en ambos DCs que sean Global Catalog ( en las propiedades NTDS ), verifica tambien que tengan en ejecucion el servicio DNS y este funcionando correctamente, que sea autoritativo para tu dominio interno y que cada DC se apunte a el mismo como DNS primario y al otro como Secundario. Las estaciones deberian tener configurados ambos DNS, yo pondria como primario el DC principal aunque seria indistinto. Para asegurarte de que las estaciones estan consultando al DC correcto, una vez revisada su configuracion TCP/IP ejecuta el comando ipconfig /flushdns .

    Con esto deberia ser suficiente para que el Ative Directory funcione correctamente y no tengas problemas, si tras realizar estos pasos te siguen sucediendo cosas raras entonces necesitariamos que ejecutases un dcdiag y netdiag en ambos servidores y colocases la salida de los mismos en una nueva respuesta para poder estudiarlos.

    Saludos!!


    MCITP: Server Administrator (Windows Server 2008)
    • Marcado como respuesta Ismael Borche jueves, 11 de noviembre de 2010 15:39
    miércoles, 4 de agosto de 2010 17:17
    Moderador

Todas las respuestas

  • Hola,

    deberias verificar que equipo tiene los roles, teniendo en cuenta que todos deben estar asignados a un servidor, si uno de ellos todavia aparece asignado el DC caido debes hacerle un seize a un DC en ejecucion. Puedes consultarlo con el comando netdom query fsmo

    Asegurate tambien de haber limpiado toda la metadata del DC caido, aqui tienes el articulo

    How to remove data in Active Directory after an unsuccessful domain controller demotion

    http://support.microsoft.com/kb/216498

    Por otro lado verifica en ambos DCs que sean Global Catalog ( en las propiedades NTDS ), verifica tambien que tengan en ejecucion el servicio DNS y este funcionando correctamente, que sea autoritativo para tu dominio interno y que cada DC se apunte a el mismo como DNS primario y al otro como Secundario. Las estaciones deberian tener configurados ambos DNS, yo pondria como primario el DC principal aunque seria indistinto. Para asegurarte de que las estaciones estan consultando al DC correcto, una vez revisada su configuracion TCP/IP ejecuta el comando ipconfig /flushdns .

    Con esto deberia ser suficiente para que el Ative Directory funcione correctamente y no tengas problemas, si tras realizar estos pasos te siguen sucediendo cosas raras entonces necesitariamos que ejecutases un dcdiag y netdiag en ambos servidores y colocases la salida de los mismos en una nueva respuesta para poder estudiarlos.

    Saludos!!


    MCITP: Server Administrator (Windows Server 2008)
    • Marcado como respuesta Ismael Borche jueves, 11 de noviembre de 2010 15:39
    miércoles, 4 de agosto de 2010 17:17
    Moderador
  • Ronald, necesito un poco más de claridad en tu descripción para poder comprender y ayudarte.

    Dime si lo que pongo abajo es correcto:
    - Servidor1 era el controlador de dominio original, con todos los roles + Catalogo Global + DNS
    - Se agregó un nuevo controlador de dominio (Servidor2)

    Si lo anterio es correcto responde estas preguntas:
    - El Servidor2 ¿es Catalogo Global?
    - El Servidor2 ¿tiene el servicio DNS instalado?
    - Los clientes están anotados en la zona DNS del dominio en Servidor2?
    - Los clientes ¿tienen configurado para usar como DNS a Servidor2?

     


    Guillermo Delprato - MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration --- Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos. --- Buenos Aires, Argentina
    miércoles, 4 de agosto de 2010 17:20
    Moderador
  • Contestando, el servidor1 no es el original, pero si es el que qdo en un momento dado como servidor unico, ( el original murio el equipo hace algun tiempo atras, pero igual servidor1 qdo como principal, y funcionaba ok), y estaba como catalogo global+dns

    luego si, se agrego el servidor2:
    servidor2 si es catalogo global
    servidor2 tiene dns instalado
    los clientes salen en la zona del dominio, y me aparecen en ambos equipos 1 y 2
    los clientes tienen configurado servidor1 como dns primario. solo cuando da el error de q no ingresan en dominio las maquinas nuevas se pone el servidor2 como dns, y luego se las regresa con el dns1 y funcionan ok, pero igual esta ese problema, y los otros q mencione  ya propios al manejar el active directoy

    lunes, 9 de agosto de 2010 17:47
  • Todo da para pensar que hay algún problema en el DNS de servidor1

    Revisa que servidor1 esté configurado para usar como DNS preferido a sí mismo, y a servidor2 como alternativo.
    Y análogamente en servidor2, como preferido a sí mismo, y como alternativo a servidor1

    También hay que tener información del log de DNS en el servidor que tiene problemas. Revisa si hay Advertencias o Errores, y pon el EventID, y el Origen por favor.

    Y algo importante. Ese servidor que falló ya hace tiempo ¿se removió correctamente del AD?

    How to remove data in Active Directory after an unsuccessful domain controller demotion:
    http://support.microsoft.com/kb/216498

     


    Guillermo Delprato - MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration --- Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos. --- Buenos Aires, Argentina
    lunes, 9 de agosto de 2010 18:17
    Moderador
  • Hola, si ya vi el visor de sucesos y si hay un error, 9002 error al cargar dns desde el active directory. Pero si funciona cuando hago un nslookup. Bueno en las propiedades del dominio ab.com en el servidor1 en el inicio de autoridad el servido1.ab.com es el servidor primario  cuando lo veo en el dns de el mismo, y en el servidor2 en el inicio de autoridad aparece que servidor2 es el primario.

    Si ya fue eliminado el servidor anterior. ya tambien puse que en el servidor2 el mismo sea su servidor primario y servidor1 este secundario ( estaba q el servidor1 era el primario.) en el caso de servidor1 si estaba bien eso.

     

    Tienes idea de ese error 9002?

     

     

    martes, 10 de agosto de 2010 15:28
  • Si la zona está integrada en AD, es totalmente correcto que cada servidor que tenga el servicio de DNS y sea Controlador de Dominio tenga su propio registro Inicio de Autoridad (SOA), y que éste no sea replicado.

    Por el error 9002, usando este número y el Orgen, busca en www.eventid.net que suele haber buena información.

     


    Guillermo Delprato - MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration --- Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos. --- Buenos Aires, Argentina
    martes, 10 de agosto de 2010 16:14
    Moderador
  • Ok, ya voy a buscar, pero tengo una consulta, en la primera respuesta Pep Lopez indicaba que corra unos comandos, el netdom dcdiag netdiag, pero intento usarlos y no existen, la version del 2003 estaba incorrecta, es standard R2 con sp2, no enterprise ( busque y supuestamente si deberian estar en esta version).  existe alguna manera de usar estos comando para revisar, o solo existen en la version enterprise, o tengo q instalar alguna herramienta aparte en los cds de instalacion?
    martes, 10 de agosto de 2010 21:49
  • Hola,

    revisa en la linea de comandos ya que deberias tener las 3 herramientas instaladas al tener el SP2 instalado. Las herramientas exactamente son :

    netdom ,   dcdiag   y  netdiag

    y los parametros son los que comento en el primer post.

    Verifica y comentanos!!

    Saludos


    MCITP: Server Administrator (Windows Server 2008)
    miércoles, 11 de agosto de 2010 14:19
    Moderador
  • Ronald, esos utilitarios forman parte de las "Support Tools". Las debes bajar del sito de Microsof e instalarlas. Revisa que deben estar las de "sin service pack" y "con service pack".

    Si todavía falta alguna, baja e instala también el "Resource Kit"

    Es que Pep cree que cuando compra un auto se lo entregan con el tanque completo :-) :-) :-)

     


    Guillermo Delprato - MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration --- Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos. --- Buenos Aires, Argentina
    miércoles, 11 de agosto de 2010 18:05
    Moderador
  • Hola,

    queria decir que las Support Tools vienen en los CDs originales de instalacion del Sistema Operativo, en la carpeta "Support\Tools" y por ello no era necesario descargar nada adicional pero asumi que el compañero las habia instalado ya que es un "must to".

    A veces cuando compras un coche te ponen algo de gasolina para que llegues hasta la gasolinera...

     

     

     


    MCITP: Server Administrator (Windows Server 2008)
    miércoles, 11 de agosto de 2010 18:15
    Moderador
  • Hola,

    ya revise el dcdiag esta en el la carpeta de windows/servicepackfiles los otros no estan pero ya voy a revisar los cds como indicas.

    El dcdiag ya lo corri y tenia un par de errores, de unos drivers de impresora unos, y  el que si importaba es que el ntrfs que no estaba levantado en el servidor1, lo active y ya no dio mas errores el dcdiag, y me toca comenzar a probar para ver si aun dan errores, al menos el de cambios en las directivas de grupo q no podia cambiar en el servidor1 ya no da. voy a seguir probando.

    miércoles, 11 de agosto de 2010 18:42