Remove From My Forums

Error al crear un cluster para Hyper-V

Debate general
0

Inicie sesión para votar

Buenas tardes, esto tratando de montar un cluster Hyper V

Tengo 4 servidores y una cabina por fibra, el caso es que los test los pasa pero al ir a crearla, me da un error , veo que es por permisos , pero es que estoy haciéndolo con el administrador así que no se, si me dais una pista

este es el error:

Error al agregar permisos especiales al objeto de equipo. Error al intentar agregar permisos 'Acceso total' para la entidad de seguridad S-1-5-21-1132633641-1278989476-2950679697-500 al objeto de equipo CN=VIRTUALCL,CN=Computers,DC=empresa,DC=org. Compruebe que el usuario que ejecuta la creación del clúster tenga permisos para actualizar el objeto de equipo en Servicios de dominio de Active Directory. El parámetro no es correcto

Todos lo servidores son 2012 R2 Datacenter y el dominio 2008 R2

Oscar Fernandez

martes, 17 de marzo de 2015 15:16

Responder

|

Citar

Todas las respuestas

0

Inicie sesión para votar

Aporto mas datos, a la hora de habilitar la herencia de permisos en directorio activo veo esto incluso con el administrador del dominio, adjunto imagen
Oscar Fernandez

martes, 17 de marzo de 2015 15:46

Responder

|

Citar
0

Inicie sesión para votar

Hola Oscar,

Creo que estás teniendo problemas con la cuenta que creaste el computer object del cluster. Mira estos pasos previos https://technet.microsoft.com/en-us/library/cc731002%28v=ws.10%29.aspx?f=255&MSPPError=-2147217396

Daniel Graciá - Madrid / España
MCSA 2012, MCSA 2008, MCITP Enterprise Admin
MCTS SCOM 2007, Windows Vista Configuration
MCSA 2003 + Security, MCSE 2003 + Security
MCP ISA SERVER 2000,ITIL Foundation v3

El Blog de Dani Gracia
Dani Gracia en Twitter
Dani Gracia en LinkedIn

martes, 17 de marzo de 2015 18:12

Responder

|

Citar
0

Inicie sesión para votar
Hola Oscar,

para intentar ayudarte me gustaría hacerte unas preguntas:

¿Los host están en dominio?
¿Puede ser que estés accediendo con el usuario administrador local de la máquina o credenciales cacheadas por algún error de comunicación con el DC?

Recibe un saludo.
miércoles, 18 de marzo de 2015 9:14

Responder

|

Citar
0

Inicie sesión para votar

Este procedimiento ya lo he realizado, pero nada, en el momento que falla es al añadir los permisos sobre el objeto.
Oscar Fernandez

miércoles, 18 de marzo de 2015 9:25

Responder

|

Citar
0

Inicie sesión para votar

si están en dominio, y la cuenta que estoy usando es la del administrador del dominio, no puede ser cacheo de credencial ya que son diferentes.

Gracias por vuestras respuestas
Oscar Fernandez

miércoles, 18 de marzo de 2015 9:27

Responder

|

Citar
0

Inicie sesión para votar

El procedimiento lo debes hacer con una cuenta con privilegios sobre el objeto cluster (computer) el problema lo tienes en tu propia infraestructura y en los permisos. En teoría con el administrador de dominio debes hacerlo de sobra ...Y si es con otra cuenta debes haber delegado sobre el objeto cluster los permisos que aparecen en la documentación.

Daniel Graciá - Madrid / España
MCSA 2012, MCSA 2008, MCITP Enterprise Admin
MCTS SCOM 2007, Windows Vista Configuration
MCSA 2003 + Security, MCSE 2003 + Security
MCP ISA SERVER 2000,ITIL Foundation v3

El Blog de Dani Gracia
Dani Gracia en Twitter
Dani Gracia en LinkedIn

miércoles, 18 de marzo de 2015 9:30

Responder

|

Citar
0

Inicie sesión para votar

Si he seguido el procedimiento a mano, he creado los objetos y aplicado la seguridad sobre ellos, pero cuando lanzo el asistente falla con el error anterior, creo que algo a pasado con la seguridad en el dominio, conoces algun sistema para volver a desplegar esa seguridad? es decir volver a aplicar los permisos en el AD?
Oscar Fernandez

miércoles, 18 de marzo de 2015 9:43

Responder

|

Citar
1

Inicie sesión para votar

En la OU en la pestaña seguridad / Permisos abajo a la derecha tienes un botón que se llama Restaurar Valores Prdeterminados ... pero has de tener mucho cuidado con eso, puedes provocar que otras cosas que funcionan dejen de hacerlo.

Por otra parte supongo que la cuenta que utilizas es miembro de los Admins del Dominio..

Daniel Graciá - Madrid / España
MCSA 2012, MCSA 2008, MCITP Enterprise Admin
MCTS SCOM 2007, Windows Vista Configuration
MCSA 2003 + Security, MCSE 2003 + Security
MCP ISA SERVER 2000,ITIL Foundation v3

El Blog de Dani Gracia
Dani Gracia en Twitter
Dani Gracia en LinkedIn

miércoles, 18 de marzo de 2015 9:49

Responder

|

Citar
0

Inicie sesión para votar

Si el administrador es miembro de Admins. si restablezco los permisos mi miedo es que el exchange empiece a hacer extraños
Oscar Fernandez

miércoles, 18 de marzo de 2015 9:51

Responder

|

Citar
0

Inicie sesión para votar
Hola de nuevo,

a lo mejor se podría hacer un workaround para que manipules los permisos de la OU de manera aislada.

La cuenta de cluster se crea en el contenedor de máquinas por defecto:

The cluster name account is created in the default container for computer accounts in Active Directory. By default this is the “Computers” container, but the domain administrator can choose to redirect it to another container or organizational unit (OU). https://technet.microsoft.com/en-us/library/cc731002(v=ws.10).aspx

Si cambias temporalmente el contenedor de objetos máquina por defecto a una OU nueva que puedas manipular podrías ejecutar los cambios en los permisos sin afectar al resto de objetos del contenedor Computers

Redirecting CN=Computers to an administrator-specified organizational unit

Log on with Domain Administrator credentials in the domain where the CN=computers container is being redirected.
Transition the domain to the Windows Server 2003 domain in the Active Directory Users and Computers snap-in (Dsa.msc) or in the Domains and Trusts (Domains.msc) snap-in. For more information about increasing the domain functional level, click the following article number to view the article in the Microsoft Knowledge Base:
322692 How to raise domain and forest functional levels in Windows Server 2003

Create the organizational unit container where you want computers that are created with earlier-version APIs to be located, if the desired organizational unit container does not already exist.

Run the Redircmp.exe file at a command prompt by using the following syntax, where <var style="margin:0px;padding:0px;box-sizing:border-box;">container-dn</var> is the distinguished name of the organizational unit that will become the default location for newly created computer objects that are created by down-level APIs:
redircmp <var style="margin:0px;padding:0px;box-sizing:border-box;">container-dn </var>container-dn
Redircmp.exe is installed in the %Systemroot%\System32 folder on Windows Server 2003-based or newer computers. For example, to change the default location for a computer that is created with earlier-version APIs such as Net User to the OU=mycomputers container in the CONTOSO.COM domain, use the following syntax:
C:\windows\system32>redircmp ou=mycomputers,DC=contoso,dc=com

https://support.microsoft.com/en-us/kb/324949?wa=wsignin1.0

No se si encaja el poder hacer esto en tu escenario pero espero que te genere alguna idea.

Un saludo!
miércoles, 18 de marzo de 2015 10:15

Responder

|

Citar
0

Inicie sesión para votar

he ido a la seguridad del dominio y he visto lo siguiente
Oscar Fernandez

miércoles, 18 de marzo de 2015 10:16

Responder

|

Citar
0

Inicie sesión para votar

Sabes si ese prefijo corresponde con tu dominio?

sabes si hubo una relación de confianza con otro dominio o un objeto en otro dominio al que se le otorgaran permisos?

miércoles, 18 de marzo de 2015 10:20

Responder

|

Citar
0

Inicie sesión para votar

si tengo una relacion de confianza
Oscar Fernandez

miércoles, 18 de marzo de 2015 10:24

Responder

|

Citar
0

Inicie sesión para votar

Con un get-aduser sobre tu usuario te será fácil saber si ese SID corresponde con el prefijo de tu dominio. Así al menos sabrás si se trata de un usuario borrado de tu dominio o de otro.

Puedes usar las opciones avanzadas para rascar la superficie e intentar averiguar cómo están afectando esos permisos de denegación.

Por otra parte existe la posibilidad del workaround (siento el formato, mejor verlo por los enlaces). Habría que ver que el cambio del contenedor por defecto (redircmp) no afecte a otros servicios aunque, en el peor de los casos, se puede volver atrás y dejarlo donde estaba.

Un saludo.

miércoles, 18 de marzo de 2015 10:49

Responder

|

Citar
0

Inicie sesión para votar

Por el SID veo que pertenecen a mi dominio, no al dominio de confianza, lo que no se por que se encuentran en ese estado
Oscar Fernandez

miércoles, 18 de marzo de 2015 11:29

Responder

|

Citar
0

Inicie sesión para votar

pertenecen o pertenecian...

C:\SW\sid>sid2user.exe S-1-5-21-1132633641-1278989476-2950679697-1826

LookupSidName failed - no such account

Oscar Fernandez

miércoles, 18 de marzo de 2015 11:37

Responder

|

Citar
0

Inicie sesión para votar

Yo apostaría por un usuario o grupo que perteneció al dominio y fué borrado

miércoles, 18 de marzo de 2015 11:39

Responder

|

Citar
0

Inicie sesión para votar

Tiene toda la pinta, conoces alguna manera de hacer limpieza de estos usuarios? por lo que veo hay un monton

gracias por tu tiempo
Oscar Fernandez

miércoles, 18 de marzo de 2015 11:41

Responder

|

Citar
1

Inicie sesión para votar

Siempre existe la posibilidad de hacerlo por script. Encontrarás opciones buscando por "how to remove orphaned sids".

También existen herramientas como powerexplorer o subinacl aunque no las he probado.

Suerte!

miércoles, 18 de marzo de 2015 11:50

Responder

|

Citar