none
Error al crear un cluster para Hyper-V RRS feed

  • Debate general

  • Buenas tardes, esto tratando de montar un cluster Hyper V

    Tengo 4 servidores y una cabina por fibra, el caso es que los test los pasa pero al ir a crearla, me da un error , veo que es por permisos , pero es que estoy haciéndolo con el administrador así que no se, si me dais una pista

    este es el error:

    Error al agregar permisos especiales al objeto de equipo. Error al intentar agregar permisos 'Acceso total' para la entidad de seguridad S-1-5-21-1132633641-1278989476-2950679697-500 al objeto de equipo CN=VIRTUALCL,CN=Computers,DC=empresa,DC=org. Compruebe que el usuario que ejecuta la creación del clúster tenga permisos para actualizar el objeto de equipo en Servicios de dominio de Active Directory. El parámetro no es correcto

    Todos lo servidores son 2012 R2 Datacenter y el dominio 2008 R2 


    Oscar Fernandez

    martes, 17 de marzo de 2015 15:16

Todas las respuestas

  • Aporto mas datos, a la hora de habilitar la herencia de permisos en directorio activo veo esto incluso con el administrador del dominio, adjunto imagen

    Oscar Fernandez

    martes, 17 de marzo de 2015 15:46
  • Hola Oscar,

    Creo que estás teniendo problemas con la cuenta que creaste el computer object del cluster. Mira estos pasos previos https://technet.microsoft.com/en-us/library/cc731002%28v=ws.10%29.aspx?f=255&MSPPError=-2147217396



    Daniel Graciá - Madrid / España

    MCSA 2012, MCSA 2008, MCITP Enterprise Admin
    MCTS SCOM 2007, Windows Vista Configuration
    MCSA 2003 + Security, MCSE 2003 + Security
    MCP ISA SERVER 2000,ITIL Foundation v3

    El Blog de Dani Gracia
    Dani Gracia en Twitter
    Dani Gracia en LinkedIn

    martes, 17 de marzo de 2015 18:12
  • Hola Oscar,

    para intentar ayudarte me gustaría hacerte unas preguntas:

    • ¿Los host están en dominio?
    • ¿Puede ser que estés accediendo con el usuario administrador local de la máquina o credenciales cacheadas por algún error de comunicación con el DC?

    Recibe un saludo.

    miércoles, 18 de marzo de 2015 9:14
  • Este procedimiento ya lo he realizado, pero nada, en el momento que falla es al añadir los permisos sobre el objeto.

    Oscar Fernandez

    miércoles, 18 de marzo de 2015 9:25
  • si están en dominio,  y la cuenta que estoy usando es la del administrador del dominio, no puede ser cacheo de credencial ya que son diferentes.

    Gracias por vuestras respuestas


    Oscar Fernandez

    miércoles, 18 de marzo de 2015 9:27
  • El procedimiento lo debes hacer con una cuenta con privilegios sobre el objeto cluster (computer) el problema lo tienes en tu propia infraestructura y en los permisos. En teoría con el administrador de dominio debes hacerlo de sobra ...Y si es con otra cuenta debes haber delegado sobre el objeto cluster los permisos que aparecen en la documentación.



    Daniel Graciá - Madrid / España

    MCSA 2012, MCSA 2008, MCITP Enterprise Admin
    MCTS SCOM 2007, Windows Vista Configuration
    MCSA 2003 + Security, MCSE 2003 + Security
    MCP ISA SERVER 2000,ITIL Foundation v3

    El Blog de Dani Gracia
    Dani Gracia en Twitter
    Dani Gracia en LinkedIn

    miércoles, 18 de marzo de 2015 9:30
  • Si he seguido el procedimiento a mano, he creado los objetos  y aplicado la seguridad sobre ellos, pero cuando lanzo el asistente falla con el error anterior, creo que algo a pasado con la seguridad en el dominio, conoces algun sistema para volver a desplegar esa seguridad? es decir volver a aplicar los permisos en el AD?

    Oscar Fernandez

    miércoles, 18 de marzo de 2015 9:43
  • En la OU en la pestaña seguridad / Permisos abajo a la derecha tienes un botón que se llama Restaurar Valores Prdeterminados ... pero has de tener mucho cuidado con eso, puedes provocar que otras cosas que funcionan dejen de hacerlo.

    Por otra parte supongo que la cuenta que utilizas es miembro de los Admins del Dominio..



    Daniel Graciá - Madrid / España

    MCSA 2012, MCSA 2008, MCITP Enterprise Admin
    MCTS SCOM 2007, Windows Vista Configuration
    MCSA 2003 + Security, MCSE 2003 + Security
    MCP ISA SERVER 2000,ITIL Foundation v3

    El Blog de Dani Gracia
    Dani Gracia en Twitter
    Dani Gracia en LinkedIn

    miércoles, 18 de marzo de 2015 9:49
  • Si el administrador es miembro de Admins. si restablezco los permisos mi miedo es que el exchange empiece a hacer extraños

    Oscar Fernandez

    miércoles, 18 de marzo de 2015 9:51
  • Hola de nuevo,

    a lo mejor se podría hacer un workaround para que manipules los permisos de la OU de manera aislada.

        • La cuenta de cluster se crea en el contenedor de máquinas por defecto:

        The cluster name account is created in the default container for computer accounts in Active Directory. By default this is the “Computers” container, but the domain administrator can choose to redirect it to another container or organizational unit (OU). https://technet.microsoft.com/en-us/library/cc731002(v=ws.10).aspx

        • Si cambias temporalmente el contenedor de objetos máquina por defecto a una OU nueva que puedas manipular podrías ejecutar los cambios en los permisos sin afectar al resto de objetos del contenedor Computers

        Redirecting CN=Computers to an administrator-specified organizational unit

        1. Log on with Domain Administrator credentials in the domain where the CN=computers container is being redirected.
        2. Transition the domain to the Windows Server 2003 domain in the Active Directory Users and Computers snap-in (Dsa.msc) or in the Domains and Trusts (Domains.msc) snap-in. For more information about increasing the domain functional level, click the following article number to view the article in the Microsoft Knowledge Base:
          322692 How to raise domain and forest functional levels in Windows Server 2003
        3. Create the organizational unit container where you want computers that are created with earlier-version APIs to be located, if the desired organizational unit container does not already exist.
    • Run the Redircmp.exe file at a command prompt by using the following syntax, where <var style="margin:0px;padding:0px;box-sizing:border-box;">container-dn</var> is the distinguished name of the organizational unit that will become the default location for newly created computer objects that are created by down-level APIs:
      redircmp <var style="margin:0px;padding:0px;box-sizing:border-box;">container-dn </var>container-dn
      Redircmp.exe is installed in the %Systemroot%\System32 folder on Windows Server 2003-based or newer computers. For example, to change the default location for a computer that is created with earlier-version APIs such as Net User to the OU=mycomputers container in the CONTOSO.COM domain, use the following syntax:
      C:\windows\system32>redircmp ou=mycomputers,DC=contoso,dc=com

      https://support.microsoft.com/en-us/kb/324949?wa=wsignin1.0

      No se si encaja el poder hacer esto en tu escenario pero espero que te genere alguna idea.

      Un saludo!

    miércoles, 18 de marzo de 2015 10:15
  • he ido a la seguridad del dominio y he visto lo siguiente

    Oscar Fernandez

    miércoles, 18 de marzo de 2015 10:16
  • Sabes si ese prefijo corresponde con tu dominio?

    sabes si hubo una relación de confianza con otro dominio o un objeto en otro dominio al que se le otorgaran permisos?

    miércoles, 18 de marzo de 2015 10:20
  • si tengo una relacion de confianza

    Oscar Fernandez

    miércoles, 18 de marzo de 2015 10:24
  • Con un get-aduser sobre tu usuario te será fácil saber si ese SID corresponde con el prefijo de tu dominio. Así al menos sabrás si se trata de un usuario borrado de tu dominio o de otro.

    Puedes usar las opciones avanzadas para rascar la superficie e intentar averiguar cómo están afectando esos permisos de denegación.

    Por otra parte existe la posibilidad del workaround (siento el formato, mejor verlo por los enlaces). Habría que ver que el cambio del contenedor por defecto (redircmp) no afecte a otros servicios aunque, en el peor de los casos, se puede volver atrás y dejarlo donde estaba.

    Un saludo.


    miércoles, 18 de marzo de 2015 10:49
  • Por el SID veo que pertenecen a mi dominio, no al dominio de confianza, lo que no se por que se encuentran en ese estado

    Oscar Fernandez

    miércoles, 18 de marzo de 2015 11:29
  • pertenecen o pertenecian...

    C:\SW\sid>sid2user.exe S-1-5-21-1132633641-1278989476-2950679697-1826

    LookupSidName failed - no such account


    Oscar Fernandez

    miércoles, 18 de marzo de 2015 11:37
  • Yo apostaría por un usuario o grupo que perteneció al dominio y fué borrado
    miércoles, 18 de marzo de 2015 11:39
  • Tiene toda la pinta, conoces alguna manera de hacer limpieza de estos usuarios? por lo que veo hay un monton

    gracias por tu tiempo


    Oscar Fernandez

    miércoles, 18 de marzo de 2015 11:41
  • Siempre existe la posibilidad de hacerlo por script. Encontrarás opciones buscando por "how to remove orphaned sids".

    También existen herramientas como powerexplorer o subinacl aunque no las he probado.

    Suerte!

    miércoles, 18 de marzo de 2015 11:50