none
PROBLEMA CON PERMISOS EN AD RRS feed

  • Pregunta

  • Hola tengo un escenario con 2 Controladores de dominio WSERVER 2012 STANDAR

    dc1 192.168.50.250

    dc2 192.168.50.251

    estan replicados y dns funciona ok pero tengo un probleam que no puedo en uno (dc1) de ellos establecer permisos en ninguna carpeta porque me indica que no puede acceder al dominio

    sin embargo desde el dc2 puedo explorar dominio y añadir permisos a los recuros.Por donde puedo empezar todo la revision de verse entre server, replicarse entre ellos y demas sale ok.


    • Editado Crinierum miércoles, 9 de septiembre de 2015 8:27
    miércoles, 9 de septiembre de 2015 8:27

Respuestas

  • Hola Crinierum, cuidado que ahora estás poniendo algo diferente a la pregunta original :)

    No es lo mismo las carpetas, que la Unidades Organizativas del Dominio. Lo digo porque pones que "muestra el directorio activo"

    Ya está acotado el problema de todas formas

    Revisa la membresía en grupos de la cuenta, no descartemos lo más obvio :)

    Que pertenezca a los grupos de administradores y administradores del dominio

    La pregunta de si había sido sacado del grupo y luego vuelto a poner es porque hay un tema de permisos que hay que manejar, según el siguiente enlace

    AdminSDHolder Object Affects Delegation of Control for Past Administrator Accounts
    https://support.microsoft.com/en-us/kb/306398


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Marcado como respuesta Crinierum jueves, 10 de septiembre de 2015 6:16
    miércoles, 9 de septiembre de 2015 14:14
    Moderador

Todas las respuestas

  • En general cualquier mensaje relacionado a "no poder encontrar el Dominio" es un síntoma que no está bien configurado el uso de DNS

    De cada uno de los servidores anota qué servidor o servidores DNS tienen configurados para usar

    Cada servidor debe tener configurado en las propiedades de la conexión de red para usar únicamente a un DNS que resuelva AD

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    miércoles, 9 de septiembre de 2015 10:25
    Moderador
  • Hola, gracias de antemano por tu pronta respuesta.

    El servidor dns pienso que esta ok,

    ambos dns apuntan al dns principal dc1 y resuelve ok.

    si haces nslookup o ping al dominio responde ook el server que es

    desde directorio activo puedo añadir usuarios al grupos cambiarlos de unidad organizativa etc. pero si ho hago desde una carpeta a traves de pestaña seguridad para modificar permisos no es capaz de encontrar el dominio.

    miércoles, 9 de septiembre de 2015 10:33
  • dc1 dns principal 192.168.50.250

           dns alternativo vacio

    dc2 dnprincipal 192.168.50.250

          dns alternativo   vacio

    miércoles, 9 de septiembre de 2015 10:34
  • No está mal esa configuración, pero sería mejor si pusieras en cada uno ambos servidores DNS, principal a sí mismo y alternativo al otro, o a la inversa, funciona de ambas formas

    Vamos a tratar de ver otras alternativas

    ¿Ambos servidores son Catalogo Global?

    ¿Ambos servidores tienen instalado DNS?

    Haz el cambio propuesto de poner ambos DNSs como puse arriba y revisa si siguen los problemas

    También sería importante revisar en los visores de eventos a ver si hay algunos errores, sobre todo en DC1

    Agrego: sucede ¿con cualquier cuenta de administrador? ¿haz probado con otra cuenta?

    ¿Cambiaron los permisos por omisión en la raíz del disco?

    Si pudieras probar lo mismo pero sobre un volumen recién formateado se podría acotar el problema

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.


    miércoles, 9 de septiembre de 2015 10:58
    Moderador
  • Configuracion de tarjetas ok.

    ambos son catalogo global

    ambos tiene server dns

    cambio de dns realizadosi sucede con cualquiera

    en cualquier volumen no puede explorar usuarios del domino, he creado nuevo volumen y lo mismo.

    adjunto visor de ventos (errores significativos)

    Nombre de registro:DNS Server
    Origen:        Microsoft-Windows-DNS-Server-Service
    Fecha:         25/08/2015 4:38:16
    Id. del evento:4013
    Categoría de la tarea:Ninguno
    Nivel:         Advertencia
    Palabras clave:(131072)
    Usuario:       SYSTEM
    Equipo:        SRV-CR.************.local
    Descripción:
    El servidor DNS está esperando a que los Servicios de dominio de Active Directory (AD DS) señalen que se ha completado la sincronización inicial del directorio. El servicio del servidor DNS no puede iniciarse hasta que se haya completado la sincronización inicial porque es posible que todavía no se hayan replicado en este controlador de dominio algunos datos de DNS críticos. Si los eventos del registro de eventos de AD DS indican que hay un problema con la resolución de nombres DNS, puede agregar la dirección IP de otro servidor DNS para este dominio a la lista de servidores DNS en las propiedades de protocolo de Internet de este equipo. Este evento se registrará cada dos minutos hasta que AD DS haya señalado que la sincronización inicial se ha completado correctamente.
    XML de evento:
    <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
      <System>
        <Provider Name="Microsoft-Windows-DNS-Server-Service" Guid="{71A551F5-C893-4849-886B-B5EC8502641E}" />
        <EventID>4013</EventID>
        <Version>0</Version>
        <Level>3</Level>
        <Task>0</Task>
        <Opcode>0</Opcode>
        <Keywords>0x8000000000020000</Keywords>
        <TimeCreated SystemTime="2015-08-25T02:38:16.051656700Z" />
        <EventRecordID>210</EventRecordID>
        <Correlation />
        <Execution ProcessID="1960" ThreadID="1988" />
        <Channel>DNS Server</Channel>
        <Computer>SRV-CR.*******.local</Computer>
        <Security UserID="S-1-5-18" />
      </System>
      <EventData Name="DNS_EVENT_DS_OPEN_WAIT">
      </EventData>
    </Event>

    otro

    El servicio de replicación DFS encontró un error al comunicarse con el asociado SRV-dc2 para el grupo de replicación Domain System Volume.
     
    Dirección DNS del asociado: SRV-CRA.*********.local
     
    Datos opcionales si están disponibles:
    Dirección WINS del asociado: SRV-dc2
    Dirección IP del asociado: 192.168.50.251
     
    El servicio volverá a intentar la conexión periódicamente.
     
    Información adicional:
    Error: 9036 (Pausado para hacer una copia de seguridad o restaurar.)
    Id. de conexión: DB2AE8CA-C2EE-4DDD-B975-1D14D59C46C2
    Id. de grupo de replicación: C711B0CD-707F-4F0B-84EA-A6346AF9AF30

    miércoles, 9 de septiembre de 2015 11:41
  • Vamos descartando problemas entonces

    Si aún sucede en nuevo volumen recién creado, el problema no está en el sistema de archivos

    Teniendo la configuración de DNS que tienes, tampoco deberías tener problemas

    Y esos eventos: el primero es normal que aparezca cuando inicia un Controlador de Dominio. Y el segundo, por lo que le ha sido durante una copia de seguridad, y aunque no pones la fecha supongo que es sólo temporario

    Apunto ahora para otro lado. La cuenta que estás utilizando ¿en algún momento fue sacada del grupo de administradores, y luego vuelta a colocar? Eso es importante

    Y otra prueba más a ver si podemos encontrar el problema, crea una cuenta nueva que también sea administrador, y mira a ver si tiene el mismo problema o no

    Estoy tratando de dilucidar si el problema está en la cuenta de usuario o en la máquina en sí

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    miércoles, 9 de septiembre de 2015 12:22
    Moderador
  • Hola, haciendo con otro adminisrador si me muestra el directorio activo

    no te puedo decir si se saco de dominio, es una red heredada de otro gestor.

    el problema es por tanto de usuario. sabes como puedo solventarlo? el usuario administrador deberia estar como para que permita hacer lo mismo que el nuevo que he creado?

    miércoles, 9 de septiembre de 2015 13:45
  • Hola Crinierum, cuidado que ahora estás poniendo algo diferente a la pregunta original :)

    No es lo mismo las carpetas, que la Unidades Organizativas del Dominio. Lo digo porque pones que "muestra el directorio activo"

    Ya está acotado el problema de todas formas

    Revisa la membresía en grupos de la cuenta, no descartemos lo más obvio :)

    Que pertenezca a los grupos de administradores y administradores del dominio

    La pregunta de si había sido sacado del grupo y luego vuelto a poner es porque hay un tema de permisos que hay que manejar, según el siguiente enlace

    AdminSDHolder Object Affects Delegation of Control for Past Administrator Accounts
    https://support.microsoft.com/en-us/kb/306398


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Marcado como respuesta Crinierum jueves, 10 de septiembre de 2015 6:16
    miércoles, 9 de septiembre de 2015 14:14
    Moderador
  • Hola si me he explicado mal anteriormente.

    ahora he realizado cambio de grupo principal del administrador, estaba usuarios de dominio!!!

    o he pasado a grupo principal a administradores de dominio y y puedo manejar los permisos sin problemas.

    lo que no entiendo es como siendo la misma cuenta la de administrador en un server podia ver permisos de carpetas y modificarlos en cualquier carpeta y desde este equipo no.

    bueno pienso que solventado. agradecerte tu sabiduria y agil gestion.

    miércoles, 9 de septiembre de 2015 14:49
  • que puedo hacer para dejar constancia de tu valia?
    miércoles, 9 de septiembre de 2015 14:50
  • Sólo marca cuál de las respuestas consideras la respuesta :)

    Eso es todo

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    miércoles, 9 de septiembre de 2015 14:54
    Moderador
  • Gracias nuevamente.le estaba dando vueltas a lo mas complidcado y no he tenido la claridad de empezar desde abajo. gracias por tu profesionalidad.
    jueves, 10 de septiembre de 2015 6:17
  • Volvemos a la carga, algo se nos escapa, hoy pasa de nuevo lo mismo y administrador esta como administrador de dominio y tal como dejamos ayer.

    sin embargo con otro usuario administrador no da ningun problema

    jueves, 10 de septiembre de 2015 10:22
  • Es la primera vez que veo un problema así, estoy pensando pero no se me ocurren demasiadas ideas :(

    Primero controlar que esté en todos los grupos que los otros administradores

    Otro sería quizás investigar por el lado de GPOs ¿han hecho alguna con "Grupos restringidos? ¿o alguna de las que modifica permisos en el sistema de archivos?

    Otra posibilidad sería si el perfil del usuario estuvier corrupto, o hubiera una aplicación o servicio usando esta cuenta que provoque la corrupción del perfil

    Yo lo que haría sería crear un nuevo usuario, y migrarle todos datos al nuevo, porque si está corrupto el perfil, eso no tiene solución

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    jueves, 10 de septiembre de 2015 11:30
    Moderador
  • No hay nada especial es una instalacion bastante simple.

    pero con eso me quedo sin usuario administrador no?

    jueves, 10 de septiembre de 2015 12:30
  • No, no te quedas sin administrador, eso equivaldría a perder todo

    Simplemente creas otro usuario, que perteneza a los mismos grupos que el administrador predefinido, revisa que son 5 si mal no recuerdo

    Y de todas formas, según comentas, en el otro DC lo puedes usar. Aunque las buenas recomendaciones se utilice el administrador predefinido sólo para crear otras cuentas administrativas, y serán estas últimas las que se utilicen para el resto de las configuraciones

    Hay que tratar de no usar nunca la cuenta administrador predefinida, y además tener por lo menos otra cuenta administradora, justamente por si llegara a corromperse el perfil, o algo que la afectara

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    jueves, 10 de septiembre de 2015 13:03
    Moderador
  • ok, genial asi lo hare. pienso que no hay nada que ejecuta e adminsitrador. voy a crear nuevo usuario.

    sabes que 5 grupos esenciales debe pertenecer?

    jueves, 10 de septiembre de 2015 13:48
  • Mira en las propiedades de la cuenta original de administrador, y agrega a la nueva a los mismos :)

    Administrators, Domain Admins, Group Policy Creator Owners, Schema Admins, Enterprise Admins, y Domain Users

    Eran 6 ;)


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    jueves, 10 de septiembre de 2015 16:26
    Moderador