none
Problemas controlador dominio después migracion a win2k8 RRS feed

  • Pregunta

  • Hola, les voy a plantera el problema que tengo a ver si podemos darle solución entre todos.

    La configuración inicial es heredada de otrso administradores por eso el dns es .com

    Mi escenario:

    1PDC en un site.

    Configuración IP de Windows

       Nombre de host. . . . . . . . . : dcotpma
       Sufijo DNS principal  . . . . . : dominioxx.com
       Tipo de nodo. . . . . . . . . . : híbrido
       Enrutamiento IP habilitado. . . : no
       Proxy WINS habilitado . . . . . : no
       Lista de búsqueda de sufijos DNS: dominioxx.com

    Adaptador de Ethernet Conexión de área local:

       Sufijo DNS específico para la conexión. . : dominioxx.com
       Descripción . . . . . . . . . . . . . . . : HP NC326i PCIe Dual Port Gigabit
    Server Adapter
       Dirección física. . . . . . . . . . . . . : 78-E3-B5-E7-19-C4
       DHCP habilitado . . . . . . . . . . . . . : no
       Configuración automática habilitada . . . : sí
       Dirección IPv4. . . . . . . . . . . . . . : 100.0.150.1(Preferido)
       Máscara de subred . . . . . . . . . . . . : 255.255.255.0
       Puerta de enlace predeterminada . . . . . : 100.0.150.100
       Servidores DNS. . . . . . . . . . . . . . : 100.0.150.1
       Servidor WINS principal . . . . . . . . . : 100.0.150.1
       NetBIOS sobre TCP/IP. . . . . . . . . . . : habilitado

    1 DC miembro en otro sitio remoto.

    Configuración IP de Windows

       Nombre del host . . . . . . . : srvmagalluf
       Sufijo DNS principal  . . . . : dominioxx.com
       Tipo de nodo. . . . . . . . . : híbrido
       Enrutamiento habilitado . . . : No
       Proxy WINS habilitado . . . . : No
       Lista de búsqueda sufijo DNS  : dominioxx.com

    Adaptador Ethernet Conexión de área local:

       Sufijo conexión específica DNS: dominioxx.com
       Descripción . . . . . . . . . : Intel(R) PRO/1000 MT Network Connection
       Dirección física. . . . . . . : 00-0E-0C-3E-71-9F
       DHCP habilitado . . . . . . . : No
       Dirección IP. . . . . . . . . : 100.0.200.1
       Máscara de subred . . . . . . : 255.255.255.0
       Puerta de enlace predet.. . . : 100.0.200.100
       Servidores DNS. . . . . . . . : 100.0.200.1
       Servidor WINS principal . . . : 100.0.150.1

    El caso  es que he sustituido el PDC que tenía windows 2003 sp2 con  todos los roles por una máquina nueva win2k8r2

    La migración fue correcta, se traspasaron los roles y el AD, Dns, el caso es que cambié el nombre del servidor para dejarlo

    con el mismo nombre anterior para que el cambio fuese transparente para los usuarios, con el comando netdom cree un alias, lo converti en primario y al dia siguiente borre el nombre provisional. también cambié la dirección ip para ponerle la misma que tenia el viejo Dc.

    Ahora parece que todo funciona bien, los usuarios pueden uniciar sesión, los shares y permissions están como estaban, parece un cambio transparente para los user, pero el problema me viene cada vez que al reiniciar el servidor, tarda mucho, y el servicio dns no arranca enseguida porque dice que depende de AD, no puede iniciar hasta que este no transfiera la zona al otro servidor, y como no esta el dns no puede resolver al otro servidor y así hasta que arranca despues de 10 min y parece que todo funciona, la sensación es que el servidor no es controlador de dominio completo porque no ha podido replicarse la zona, me devuelve el id 2092 ActiveDirectory_DomainService

    Este servidor es propietario del siguiente rol FSMO, pero no la considera válida. Para la partición que contiene el FSMO, este servidor no se replicó correctamente con ninguno de sus asociados desde que se reinició. Los errores de replicación están impidiendo la validación de este rol.

     

    Las operaciones que requieran ponerse en contacto con un maestro de operaciones FSMO producirán errores hasta que se corrija esta condición.

     

    Rol FSMO: DC=dominioxx,DC=com

     

    Otro event id es 4013

    El servidor DNS está esperando a que los Servicios de dominio de Active Directory (AD DS) señalen que se ha completado la sincronización inicial del directorio. El servicio del servidor DNS no puede iniciarse hasta que se haya completado la sincronización inicial porque es posible que todavía no se hayan replicado en este controlador de dominio algunos datos de DNS críticos. Si los eventos del registro de eventos de AD DS indican que hay un problema con la resolución de nombres DNS, puede agregar la dirección IP de otro servidor DNS para este dominio a la lista de servidores DNS en las propiedades de protocolo de Internet de este equipo. Este evento se registrará cada dos minutos hasta que AD DS haya señalado que la sincronización inicial se ha completado correctamente.

    La sensación que tengo es que el dns no esta arrancado y por lo tanto todos los demas servcios no funcionan.

    Les dejo el resultado de algunos test de DCDIAG

    Diagnóstico del servidor de directorio

    Realizando instalación inicial:
       Intentando encontrar el servidor principal...
       Servidor principal = dcotpma
       * Se identificó el bosque de AD.
       Recopilación de información inicial finalizada.

    Realizando pruebas requeridas iniciales

       Probando servidor: PALMA\DCOTPMA
          Iniciando prueba: Connectivity
             ......................... DCOTPMA superó la prueba Connectivity

    Realizando pruebas principales

       Probando servidor: PALMA\DCOTPMA
          Iniciando prueba: Advertising
             ......................... DCOTPMA superó la prueba Advertising
          Iniciando prueba: FrsEvent
             Existen eventos de advertencia o de error en las últimas 24 horas
             después de compartir SYSVOL. Los problemas de replicación de SYSVOL
             incorrecta pueden ocasionar problemas de la directiva de grupo.
             ......................... DCOTPMA superó la prueba FrsEvent
          Iniciando prueba: DFSREvent
             ......................... DCOTPMA superó la prueba DFSREvent
          Iniciando prueba: SysVolCheck
             ......................... DCOTPMA superó la prueba SysVolCheck
          Iniciando prueba: KccEvent
             ......................... DCOTPMA superó la prueba KccEvent
          Iniciando prueba: KnowsOfRoleHolders
             ......................... DCOTPMA superó la prueba KnowsOfRoleHolders
          Iniciando prueba: MachineAccount
             ......................... DCOTPMA superó la prueba MachineAccount
          Iniciando prueba: NCSecDesc
             ......................... DCOTPMA superó la prueba NCSecDesc
          Iniciando prueba: NetLogons
             ......................... DCOTPMA superó la prueba NetLogons
          Iniciando prueba: ObjectsReplicated
             ......................... DCOTPMA superó la prueba ObjectsReplicated
          Iniciando prueba: Replications
             ......................... DCOTPMA superó la prueba Replications
          Iniciando prueba: RidManager
             ......................... DCOTPMA superó la prueba RidManager
          Iniciando prueba: Services
             ......................... DCOTPMA superó la prueba Services
          Iniciando prueba: SystemLog
             Evento de advertencia. Id. de evento: 0x8000001D
                Hora de creación: 12/09/2011   14:41:32
                Cadena de eventos:
                El centro de distribución de claves (KDC) no encuentra un certificad
    o adecuado para usarlo en inicios de sesión de Tarjeta inteligente o no se pudo
    comprobar el certificado de KDC. Es posible que el inicio de sesión de Tarjeta i
    nteligente no funcione correctamente si no se soluciona este problema. Para corr
    egir este problema, compruebe el certificado de KDC existente con certutil.exe o
     inscriba un nuevo certificado KDC.
             Evento de advertencia. Id. de evento: 0x000003F6
                Hora de creación: 12/09/2011   14:41:51
                Cadena de eventos:
                Se agotó el tiempo de espera para la resolución del nombre dcotpma.m
    oyaemery.com después de que ninguno de los servidores DNS configurados respondie
    se.
             Evento de error. Id. de evento: 0xC0FF05DC
                Hora de creación: 12/09/2011   14:43:45
                Cadena de eventos:
                El servicio SNMP detectó un error al tener acceso a la clave del Reg
    istro SYSTEM\CurrentControlSet\Services\SNMP\Parameters\TrapConfiguration.
             Evento de advertencia. Id. de evento: 0x00000012
                Hora de creación: 12/09/2011   14:43:47
                Cadena de eventos:
                El servidor de licencias de Escritorio remoto "DCOTPMA" no se ha act
    ivado, por lo que solo emitirá licencias temporales. Para emitir licencias perma
    nentes, se debe activar el servidor de licencias de Escritorio remoto.
             Evento de error. Id. de evento: 0xC00038D6
                Hora de creación: 12/09/2011   14:43:59
                Cadena de eventos:
                El servicio de espacio de nombres DFS no pudo inicializar la informa
    ción de confianza entre bosques en este controlador de dominio, pero volverá a i
    ntentar la operación periódicamente. El código devuelto está en los datos de reg
    istro.
             Evento de advertencia. Id. de evento: 0x00002724
                Hora de creación: 12/09/2011   14:44:04
                Cadena de eventos:
                Este equipo tiene al menos una dirección IPv6 asignada dinámicamente
    . Para conseguir un funcionamiento fiable del servidor DHCPv6, es recomendable u
    sar sólo direcciones IPv6 estáticas.
             Evento de advertencia. Id. de evento: 0x0000000C
                Hora de creación: 12/09/2011   14:44:04
                Cadena de eventos:
                Proveedor de hora NtpClient: este equipo está configurado para usar
    la jerarquía de dominios para determinar su origen de la hora, pero es el emulad
    or del controlador de dominio principal de Active Directory para el dominio raíz
     del bosque, por lo que no hay un equipo por encima de él en la jerarquía de dom
    inios que pueda usarse como origen de la hora. Se recomienda configurar un servi
    cio de hora confiable en el dominio raíz o configurar manualmente el controlador
     de dominio principal de Active Directory para que se sincronice con un origen d
    e la hora externo. De lo contrario, este equipo funcionará como origen de la hor
    a autoritativo en la jerarquía de dominios. Si un origen de la hora externo no e
    stá configurado o este equipo no lo usa, puede deshabilitar NtpClient.
             Evento de error. Id. de evento: 0x00000469
                Hora de creación: 12/09/2011   14:44:08
                Cadena de eventos:
                No se puede procesar la directiva de grupo debido a que no se puede
    conectar a un controlador de dominio a través de la red. Esta condición puede se
    r temporal. Se podría generar un mensaje de operación correcta una vez que el eq
    uipo se conecte al controlador de dominio y la directiva de grupo se procese cor
    rectamente. Póngase en contacto con el administrador si no ve un mensaje de oper
    ación correcta en un algún par de horas.
             Evento de advertencia. Id. de evento: 0x000003F6
                Hora de creación: 12/09/2011   14:44:12
                Cadena de eventos:
                Se agotó el tiempo de espera para la resolución del nombre dominioxx
    .com después de que ninguno de los servidores DNS configurados respondiese.
             Evento de error. Id. de evento: 0xC00038D6
                Hora de creación: 12/09/2011   14:44:26
                Cadena de eventos:
                El servicio de espacio de nombres DFS no pudo inicializar la informa
    ción de confianza entre bosques en este controlador de dominio, pero volverá a i
    ntentar la operación periódicamente. El código devuelto está en los datos de reg
    istro.
             Evento de error. Id. de evento: 0x00000423
                Hora de creación: 12/09/2011   14:44:30
                Cadena de eventos:
                El servicio DHCP no pudo examinar un servicio de directorios para ob
    tener autorización.
             Evento de error. Id. de evento: 0x00000423
                Hora de creación: 12/09/2011   14:44:44
                Cadena de eventos:
                El servicio DHCP no pudo examinar un servicio de directorios para ob
    tener autorización.
             Evento de error. Id. de evento: 0x00000469
                Hora de creación: 12/09/2011   14:44:45
                Cadena de eventos:
                No se puede procesar la directiva de grupo debido a que no se puede
    conectar a un controlador de dominio a través de la red. Esta condición puede se
    r temporal. Se podría generar un mensaje de operación correcta una vez que el eq
    uipo se conecte al controlador de dominio y la directiva de grupo se procese cor
    rectamente. Póngase en contacto con el administrador si no ve un mensaje de oper
    ación correcta en un algún par de horas.
             Evento de error. Id. de evento: 0xC00038D6
                Hora de creación: 12/09/2011   14:44:53
                Cadena de eventos:
                El servicio de espacio de nombres DFS no pudo inicializar la informa
    ción de confianza entre bosques en este controlador de dominio, pero volverá a i
    ntentar la operación periódicamente. El código devuelto está en los datos de reg
    istro.
             Evento de error. Id. de evento: 0xC00038D6
                Hora de creación: 12/09/2011   14:45:20
                Cadena de eventos:
                El servicio de espacio de nombres DFS no pudo inicializar la informa
    ción de confianza entre bosques en este controlador de dominio, pero volverá a i
    ntentar la operación periódicamente. El código devuelto está en los datos de reg
    istro.
             Evento de error. Id. de evento: 0xC00038D6
                Hora de creación: 12/09/2011   14:45:48
                Cadena de eventos:
                El servicio de espacio de nombres DFS no pudo inicializar la informa
    ción de confianza entre bosques en este controlador de dominio, pero volverá a i
    ntentar la operación periódicamente. El código devuelto está en los datos de reg
    istro.
             Evento de error. Id. de evento: 0xC00038D6
                Hora de creación: 12/09/2011   14:46:15
                Cadena de eventos:
                El servicio de espacio de nombres DFS no pudo inicializar la informa
    ción de confianza entre bosques en este controlador de dominio, pero volverá a i
    ntentar la operación periódicamente. El código devuelto está en los datos de reg
    istro.
             Evento de advertencia. Id. de evento: 0x000727AA
                Hora de creación: 12/09/2011   14:46:20
                Cadena de eventos:
                El servicio WinRM no pudo crear los siguientes SPN: WSMAN/dcotpma.mo
    yaemery.com; WSMAN/dcotpma.
             Evento de error. Id. de evento: 0xC00038D6
                Hora de creación: 12/09/2011   14:46:42
                Cadena de eventos:
                El servicio de espacio de nombres DFS no pudo inicializar la informa
    ción de confianza entre bosques en este controlador de dominio, pero volverá a i
    ntentar la operación periódicamente. El código devuelto está en los datos de reg
    istro.
             Evento de advertencia. Id. de evento: 0x00001695
                Hora de creación: 12/09/2011   14:46:49
                Cadena de eventos:
                Error en el registro dinámico o en la eliminación de uno o más regis
    tros DNS asociados al dominio DNS  'dominioxx.com.'. Estos registros son utiliza
    dos por otros equipos para localizar a este servidor como un controlador de domi
    nio (si el dominio especificado es un dominio de Active Directory) o como un ser
    vidor LDAP (si el dominio especificado es una partición de aplicación).
             Evento de error. Id. de evento: 0xC00038D6
                Hora de creación: 12/09/2011   14:47:09
                Cadena de eventos:
                El servicio de espacio de nombres DFS no pudo inicializar la informa
    ción de confianza entre bosques en este controlador de dominio, pero volverá a i
    ntentar la operación periódicamente. El código devuelto está en los datos de reg
    istro.
             Evento de error. Id. de evento: 0xC00038D6
                Hora de creación: 12/09/2011   14:47:36
                Cadena de eventos:
                El servicio de espacio de nombres DFS no pudo inicializar la informa
    ción de confianza entre bosques en este controlador de dominio, pero volverá a i
    ntentar la operación periódicamente. El código devuelto está en los datos de reg
    istro.
             Evento de error. Id. de evento: 0xC00038D6
                Hora de creación: 12/09/2011   14:48:03
                Cadena de eventos:
                El servicio de espacio de nombres DFS no pudo inicializar la informa
    ción de confianza entre bosques en este controlador de dominio, pero volverá a i
    ntentar la operación periódicamente. El código devuelto está en los datos de reg
    istro.
             Evento de error. Id. de evento: 0xC00038D6
                Hora de creación: 12/09/2011   14:48:30
                Cadena de eventos:
                El servicio de espacio de nombres DFS no pudo inicializar la informa
    ción de confianza entre bosques en este controlador de dominio, pero volverá a i
    ntentar la operación periódicamente. El código devuelto está en los datos de reg
    istro.
             ......................... DCOTPMA no superó la prueba SystemLog
          Iniciando prueba: VerifyReferences
             ......................... DCOTPMA superó la prueba VerifyReferences


       Ejecutando pruebas de partición en: ForestDnsZones
          Iniciando prueba: CheckSDRefDom
             ......................... ForestDnsZones superó la prueba
             CheckSDRefDom
          Iniciando prueba: CrossRefValidation
             ......................... ForestDnsZones superó la prueba
             CrossRefValidation

       Ejecutando pruebas de partición en: DomainDnsZones
          Iniciando prueba: CheckSDRefDom
             ......................... DomainDnsZones superó la prueba
             CheckSDRefDom
          Iniciando prueba: CrossRefValidation
             ......................... DomainDnsZones superó la prueba
             CrossRefValidation

       Ejecutando pruebas de partición en: Schema
          Iniciando prueba: CheckSDRefDom
             ......................... Schema superó la prueba CheckSDRefDom
          Iniciando prueba: CrossRefValidation
             ......................... Schema superó la prueba CrossRefValidation

       Ejecutando pruebas de partición en: Configuration
          Iniciando prueba: CheckSDRefDom
             ......................... Configuration superó la prueba CheckSDRefDom
          Iniciando prueba: CrossRefValidation
             ......................... Configuration superó la prueba
             CrossRefValidation

       Ejecutando pruebas de partición en: dominioxx
          Iniciando prueba: CheckSDRefDom
             ......................... dominioxx superó la prueba CheckSDRefDom
          Iniciando prueba: CrossRefValidation
             ......................... dominioxx superó la prueba
             CrossRefValidation

       Ejecutando pruebas de empresa en: dominioxx.com
          Iniciando prueba: LocatorCheck
             ......................... dominioxx.com superó la prueba LocatorCheck
          Iniciando prueba: Intersite
             ......................... dominioxx.com superó la prueba Intersite

    repadmin /showrepl

    Repadmin: ejecutando el comando /showrepl en el DC completo localhost
    PALMA\DCOTPMA
    Opciones de DSA: IS_GC
    Opciones de sitio: (none)
    GUID del objeto DSA: 5aa02161-6566-42a6-a799-5aaa089ea3dc
    Id. de invocación de DSA: 58063f90-7560-4474-bd7e-fc94364edf17

    ==== VECINOS DE ENTRADA ======================================

    DC=dominioxxx,DC=com
        MAGALLUF\SRVMAGALLUF vía RPC
            GUID del objeto DSA: 9235ec6e-a6aa-4014-8287-6d496f7e53b9
            El último intento, efectuado el 2011-12-09 15:11:39, se completó correct
    amente.

    CN=Configuration,DC=dominioxxx,DC=com
        MAGALLUF\SRVMAGALLUF vía RPC
            GUID del objeto DSA: 9235ec6e-a6aa-4014-8287-6d496f7e53b9
            El último intento, efectuado el 2011-12-09 15:11:39, se completó correct
    amente.

    CN=Schema,CN=Configuration,DC=dominioxxx,DC=com
        MAGALLUF\SRVMAGALLUF vía RPC
            GUID del objeto DSA: 9235ec6e-a6aa-4014-8287-6d496f7e53b9
            El último intento, efectuado el 2011-12-09 15:11:39, se completó correct
    amente.

    DC=DomainDnsZones,DC=dominioxxx,DC=com
        MAGALLUF\SRVMAGALLUF vía RPC
            GUID del objeto DSA: 9235ec6e-a6aa-4014-8287-6d496f7e53b9
            El último intento, efectuado el 2011-12-09 15:11:39, se completó correct
    amente.

    DC=ForestDnsZones,DC=dominioxxx,DC=com
        MAGALLUF\SRVMAGALLUF vía RPC
            GUID del objeto DSA: 9235ec6e-a6aa-4014-8287-6d496f7e53b9
            El último intento, efectuado el 2011-12-09 15:11:39, se completó correct
    amente.

    netdom query fsmo


    Maestro de esquema          dcotpma.domioxx.com
    Maestro nomencl. dominios   dcotpma.dominioxx.com
    PDC                         dcotpma.dominioxx.com
    Administrador de grupos RID dcotpma.dominioxx.com
    Maestro de infraestructura  dcotpma.dominioxx.com
    El comando se completó correctamente.

    Espero no haberme extendido mucho.

    Saludos y gracias.


    • Editado Piritel viernes, 9 de diciembre de 2011 15:07
    viernes, 9 de diciembre de 2011 15:04

Respuestas

  • Hola,

    Chequea los siguientes links:

    http://support.microsoft.com/kb/316685/en-us
    http://support.microsoft.com/kb/2001093
    http://technet.microsoft.com/en-us/library/cc735842(WS.10).aspx

    Tengo algunas dudas de como hiciste los pasos para mantener el nombre e IP del equipo.., con el manejo de roles hay que tener algunos cuidados con estas tareas y mas aun si hablamos del DNS Principal de la estructura, consejo, si puedes poner otro Domain Controller en la estructura mejor, asi tienes tambien la redundancia que te ofrece Active Directory y no dependes de un solo Server, ahora si ya tienes a mas de un Domain Controller, reparte los roles FSMO para que no este en un solo Servidor.-

    Salu2


    Leonardo Ponti
    MCTS: Microsoft Certified Technology Specialist
    MPN: Microsoft Partner Network
    MCC: Microsoft Community Contributor 2011
    MCSE: Microsoft Certified Systems Engineer (Windows Server 2003)
    MCSA: Microsoft Certified Systems Administrator (Windows Server 2003)
    MVA: Microsoft Virtual Academy
    MAP: Microsoft Active Professional (2010/2011)

    Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los riesgos.
    This posting is provided "AS IS" with no warranties, and confer no rights. You assume all risk for your use.
    viernes, 9 de diciembre de 2011 23:51
    Moderador

Todas las respuestas

  • Hola,

    Chequea los siguientes links:

    http://support.microsoft.com/kb/316685/en-us
    http://support.microsoft.com/kb/2001093
    http://technet.microsoft.com/en-us/library/cc735842(WS.10).aspx

    Tengo algunas dudas de como hiciste los pasos para mantener el nombre e IP del equipo.., con el manejo de roles hay que tener algunos cuidados con estas tareas y mas aun si hablamos del DNS Principal de la estructura, consejo, si puedes poner otro Domain Controller en la estructura mejor, asi tienes tambien la redundancia que te ofrece Active Directory y no dependes de un solo Server, ahora si ya tienes a mas de un Domain Controller, reparte los roles FSMO para que no este en un solo Servidor.-

    Salu2


    Leonardo Ponti
    MCTS: Microsoft Certified Technology Specialist
    MPN: Microsoft Partner Network
    MCC: Microsoft Community Contributor 2011
    MCSE: Microsoft Certified Systems Engineer (Windows Server 2003)
    MCSA: Microsoft Certified Systems Administrator (Windows Server 2003)
    MVA: Microsoft Virtual Academy
    MAP: Microsoft Active Professional (2010/2011)

    Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los riesgos.
    This posting is provided "AS IS" with no warranties, and confer no rights. You assume all risk for your use.
    viernes, 9 de diciembre de 2011 23:51
    Moderador
  • Hola muchas gracias por responder, voy a ver esos links y comento.

    El cambio de nombre lo hice añadiendo un alias con el comando netdom, esperé un dia para que se replicase todo bien

    luego convertí ese alias a primario, al dia siguiente borré el nombre viejo.

    En otra oficina remota tengo otro DC miembro Catalogo Global para dar servicio a los user de la otra sede,

    están unidos por VPN, el Dns replicado.

    Saludos

    sábado, 10 de diciembre de 2011 18:08