none
Problema con el canal seguro. Trust relationship test. Cannot test secure channel for domain RRS feed

  • Pregunta

  •  

    Buenas tardes, el tema es el siguiente.

    Tengo montado una serie de servidores DC Windows 2003 server.

    Pasando las herramientas de Support Tools, me he encontrado con los siguientes errores.

    Dcdiag.exe

      Starting test: frsevent

             There are warning or error events within the last 24 hours after the

             SYSVOL has been shared.  Failing SYSVOL replication problems may cause

             Group Policy problems.

             ......................... EST6 failed test frsevent

    Netdiag.exe

    Domain membership test . . . . . . : Failed

        [WARNING] Ths system volume has not been completely replicated to the local

    machine. This machine is not working properly as a DC.

    Trust relationship test. . . . . . : Passed

        Secure channel for domain 'dominio-PJ' is to '\\SVR.dominio-pj.pj'

    El resto de servidores DC que tenemos montado no tienen ningún problema.

    Otra cosa de la que he podido ver, es que si paso el netdiag en otro servidor con Windows 2003 pero que no es controlador de dominio, me sale lo siguiente:

    Netdiag.exe

    Trust relationship test. . . . . . : Passed

        Secure channel for domain ' dominio -PJ' is to '\\est1. dominio -pj.pj'.

        Cannot test secure channel for domain 'dominio-PJ' to DC 'est6'. [ERROR_SERVICE_NOT_ACTIVE]

    Como veis me dice que no se puede comprobar el canal seguro de EST6, que es el DC con el que tengo problemas.

    La verdad es que estoy un poco perdido y no se muy bien por donde tirar para solucionar el problema.

    Gracias.


    lunes, 19 de marzo de 2012 13:04

Respuestas

  • Bien.

    Fijate en el articulo  , en  : Comprobar la configuración en la Consola de servicios

    http://support.microsoft.com/kb/327341/es    

     http://www.eventid.net/display.asp?eventid=13508&eventno=349&source=NtFrs&phase=1


    Cómo solucionar el servicio de replicacion de archivos y el Sistema de archivos distribuido 


    http://support.microsoft.com/kb/272279/es
    Controla Los puertos :

    To enable replication over dynamic RPC, configure your firewall to permit the following.
    Service Port/protocol
    RPC endpoint mapper 135/tcp, 135/udp
    Network basic input/output system (NetBIOS) name service 137/tcp, 137/udp
    NetBIOS datagram service 138/udp
    NetBIOS session service 139/tcp
    RPC dynamic assignment 1024-65535/tcp
    Server message block (SMB) over IP (Microsoft-DS) 445/tcp, 445/udp
    Lightweight Directory Access Protocol (LDAP) 389/tcp
    LDAP ping 389/udp
    LDAP over SSL 636/tcp
    Global catalog LDAP 3268/tcp
    Global catalog LDAP over SSL 3269/tcp
    Kerberos 88/tcp, 88/udp
    Domain Name Service (DNS) 53/tcp1, 53/udp
    Windows Internet Naming Service (WINS) resolution (if required) 1512/tcp, 1512/udp
    WINS replication (if required) 42/tcp, 42/udp


    Saludos Jorge Colobora con el foro: Si la respuesta es de utilidad para resolver tu duda/problema, usa la opción "Marcar como repuesta". Otros usuarios con dudas similares -en un futuro- lo agradecerán.

    miércoles, 21 de marzo de 2012 10:55
  • Ok , lo que me remites. Fijate en la respuesta del foro : http://social.technet.microsoft.com/Forums/es-ES/wsades/thread/c08610e5-03ce-4cc6-819f-975b0dbe7f8f/ Creo que es el mismo caso. Saludos

    Saludos Jorge Colobora con el foro: Si la respuesta es de utilidad para resolver tu duda/problema, usa la opción "Marcar como repuesta". Otros usuarios con dudas similares -en un futuro- lo agradecerán.

    miércoles, 21 de marzo de 2012 19:48

Todas las respuestas



  • Hola , el problema que tiene este DC que mencionas , en que consiste. Que error puedes notar y ver en el visor de sucesos?


    Saludos Jorge Colobora con el foro: Si la respuesta es de utilidad para resolver tu duda/problema, usa la opción "Marcar como repuesta". Otros usuarios con dudas similares -en un futuro- lo agradecerán.

    martes, 20 de marzo de 2012 18:46
  •  

    Buenas Jorge, gracias por adelantado.

    La verdad es que no he detectado ningún problema, lo que ocurre que haciendo la revisión pertinente a mi dominio, he comprobado este error, y me gustaría solucionarlo.

    Por la información que he encontrado tengo que generar el árbol sysvol de mi dominio.

    Las pruebas realizadas tanto active directory como dns no tengo ningún problema, me he creado usuarios, unidades organizativas, host en el DNS, etc y todo me replica bien, y más o menos rápido en los 10 servidores que tengo montado.

    Pero no obstante si me gustaría resolver el problema, y parece que de momento tengo que tirar por generar el árbol SYSVOL.

    Lo que no tengo muy claro es si el siguiente error que muestro y que puse anteriormente, esta relacionado con lo anterior, por  el contexto del error parece que si.

    Netdiag.exe

    Domain membership test . . . . . . : Failed

       [WARNING] Ths system volume has not been completely replicated to the local

    machine. This machine is not working properly as a DC.

    Error en el visor de sucesos.

    ID 13508

    El Servicio de replicación de archivos tiene problemas habilitando la replicación desde EST1 a EST6 para c:\windows\sysvol\domain utilizando el nombre DNS est1. dominio -pj.pj. FRS continuará reintentando.

     A continuación observará algunas de las razones por las que aparecerá esta advertencia.

      [1] FRS no puede resolver correctamente el nombre DNS est1.dominio-pj.pj desde este equipo.

     [2] FRS no se está ejecutando en est1. dominio-pj.pj.

     [3] La información de topología de esta replicación en Active Directory aún no ha sido replicada a todos los controladores de dominio.

      Este mensaje de registro de sucesos aparecerá una sola vez para cada conexión. Una vez que se haya resuelto el problema volverá a ver otro  mensaje de registro de sucesos indicando que la conexión se ha establecido.

    Este mismo problema, lo tengo en otros dos servidores de mi dominio.

    De todas formas Jorge, con este tipo de error no debería tener problemas con las replicas de directivas de sistemas etc..

    Saludos y gracias.

    miércoles, 21 de marzo de 2012 8:53
  • Bien.

    Fijate en el articulo  , en  : Comprobar la configuración en la Consola de servicios

    http://support.microsoft.com/kb/327341/es    

     http://www.eventid.net/display.asp?eventid=13508&eventno=349&source=NtFrs&phase=1


    Cómo solucionar el servicio de replicacion de archivos y el Sistema de archivos distribuido 


    http://support.microsoft.com/kb/272279/es
    Controla Los puertos :

    To enable replication over dynamic RPC, configure your firewall to permit the following.
    Service Port/protocol
    RPC endpoint mapper 135/tcp, 135/udp
    Network basic input/output system (NetBIOS) name service 137/tcp, 137/udp
    NetBIOS datagram service 138/udp
    NetBIOS session service 139/tcp
    RPC dynamic assignment 1024-65535/tcp
    Server message block (SMB) over IP (Microsoft-DS) 445/tcp, 445/udp
    Lightweight Directory Access Protocol (LDAP) 389/tcp
    LDAP ping 389/udp
    LDAP over SSL 636/tcp
    Global catalog LDAP 3268/tcp
    Global catalog LDAP over SSL 3269/tcp
    Kerberos 88/tcp, 88/udp
    Domain Name Service (DNS) 53/tcp1, 53/udp
    Windows Internet Naming Service (WINS) resolution (if required) 1512/tcp, 1512/udp
    WINS replication (if required) 42/tcp, 42/udp


    Saludos Jorge Colobora con el foro: Si la respuesta es de utilidad para resolver tu duda/problema, usa la opción "Marcar como repuesta". Otros usuarios con dudas similares -en un futuro- lo agradecerán.

    miércoles, 21 de marzo de 2012 10:55
  •  

    Hola de nuevo Jorge.

    Compruebo paso por paso el enlace que me has pasado http://support.microsoft.com/kb/272279/es

    No se registran estos sucesos

    Id de suceso: 13511
    Base de datos está fuera del espacio en disco.

    Id de suceso: 13522
    Directorio de ensayo está llena. Esto puede deberse a que un asociado de salida no se haya conectado durante un momento. Elimine la conexión y detenga y reinicie FRS para forzar la eliminación de los archivos de ensayo.

    1. Crear un archivo de prueba en el equipo B y comprobar su replicación al equipo a.

    Esto no se a que se refiere.

    1. Compruebe que el equipo A y el equipo B estén disponibles en la red. Como FRS utiliza el nombre de dominio completo (FQDN) de los miembros de réplica, es una primera comprobación apropiada utilizar un comando ping que especifica el nombre completo de las réplicas del problema.

    Desde el equipo A, enviar un comando ping con el FQDN del equipo B.. Desde el equipo B, enviar un comando ping a FQDN del equipo A. Compruebe que las direcciones devueltas por el comando ping son el mismo que las direcciones devueltas por una ipconfig /all comando por medio de la línea de comandos del equipo de destino.

    OK

    1. Tener acceso a la consola administrativa de servicios siguiendo estos pasos:
    1. Haga clic en Inicio y, a continuación, haga clic en Ejecutar.
    2. En el cuadro Abrir, escriba:

    Services.msc

                OK

    1. Confirme que FRS se ejecuta en ambos equipos. Si no se está ejecutando el servicio, revise el contenedor FRS del Visor de sucesos (ubicado en el archivo eventvwr.msc) en el equipo experimenta el problema.

    OK. Parece que si se esta ejecutando el servicio RPC, al memos en el services.msc

  • Comprobar la conectividad de procedimiento remoto (RPC) de llamada entre el equipo A y el equipo B. Puede ser una prueba adecuada abrirlo en el equipo B desde el equipo A (que utiliza RPC). Compruebe los registros de sucesos de FRS en ambos equipos. Si el suceso 13508 está presente, puede haber un problema con el servicio RPC en cualquier equipo o con la creación de una conexión segura entre el equipo A y el equipo B.

    OK

    1. Utilice la consola sitios y servicios para comprobar la programación de replicación en el objeto Connection. Asegúrese de que la replicación está habilitada entre el equipo A y el equipo B y que la conexión está habilitada. El objeto Connection es la conexión entrante bajo objeto NTFRS_MEMBER del equipo del desde el equipo B. Para volumen del sistema (SYSVOL), el objeto Connection reside en la carpeta Sites\Site_name\Servers\Server_name\Ntds Settings\Connection_name.

    OK

    1. Para DFS, ver los vínculos de conexión de usuarios y equipos de Active Directory (AD). Abra Usuarios y AD PC, haga clic en Ver en el menú y asegúrese de que están seleccionadas configuración avanzada. Vaya al contenedor del sistema. La ubicación de los objetos de conexión están en la carpeta System\File replicación Service\DFS volúmenes.

    OK

    <//span><//b>

    1. Comprobar o no el archivo de origen tenía ha excluido de la replicación. Confirme que el archivo no es un sistema de archivos de cifrado (EFS) cifrada, una unión (NTFS) del sistema de archivos NTFS, o excluido por un filtro de archivo o carpeta en el miembro original de réplica. Si se cumple alguna de estas situaciones, FRS no replica el archivo o directorio.

    OK

    1. Si se cumplen todas las condiciones anteriores, quizás tenga que examinar los archivos de registro que se crean para FRS. Los archivos de registro se encuentran en la carpeta % SystemRoot%\Debug. Los nombres de estos archivos están enumerados, secuencialmente, de NtFrs_001.log a NtFrs_005.log.

    En este punto adjunto un trozo del fichero que se genera

    <SndCsMain:                     2036:   877: S0: 12:15:20> :SR: Cmd 002af6e8, CxtG a395467f, WS ERROR_RETRY, To   est7.dominio-pj.pj Len:  (356) [SndFail - rpc call]

    <SndCsMain:                     2036:   904: S0: 12:15:20> :SR: Cmd 002af6e8, CxtG a395467f, WS ERROR_RETRY, To   est7.dominio-pj.pj Len:  (356) [SndFail - Send Penalty]

    <SndCsMain:                     2036:   877: S0: 12:15:20> :SR: Cmd 002ad590, CxtG ecfc7a8e, WS ERROR_RETRY, To   est1.dominio-pj.pj Len:  (356) [SndFail - rpc call]

    <SndCsMain:                     2036:   904: S0: 12:15:20> :SR: Cmd 002ad590, CxtG ecfc7a8e, WS ERROR_RETRY, To   est1.dominio-pj.pj Len:  (356) [SndFail - Send Penalty]

    <SndCsMain:                     2036:   877: S0: 12:15:20> :SR: Cmd 013b0930, CxtG d5d16dc7, WS ERROR_RETRY, To   est2.dominio-pj.pj Len:  (356) [SndFail - rpc call]

    <SndCsMain:                     2036:   904: S0: 12:15:21> :SR: Cmd 013b0930, CxtG d5d16dc7, WS ERROR_RETRY, To   est2.dominio-pj.pj Len:  (356) [SndFail - Send Penalty]

    <SndCsMain:                     2036:   877: S0: 12:15:21> :SR: Cmd 013ca2c8, CxtG 0ff42bed, WS ERROR_RETRY, To   est1.dominio-pj.pj Len:  (336) [SndFail - rpc call]

    <SndCsMain:                     2036:   904: S0: 12:15:21> :SR: Cmd 013ca2c8, CxtG 0ff42bed, WS ERROR_RETRY, To   est1.dominio-pj.pj Len:  (336) [SndFail - Send Penalty]

    <FrsHashCalcString:             1528:  4842: S0: 12:15:37> Name = S-1-5-21-3205460821-137428748-1636304759-1125

    <FrsDsFindComputer:             6388:  8796: S2: 12:16:37> :DS: Computer FQDN is cn=est6,ou=domain controllers,dc=dominio-pj,dc=pj

    <FrsDsFindComputer:             6388:  8802: S2: 12:16:37> :DS: Computer's dns name is est6.dominio-pj.pj

    <FrsDsFindComputer:             6388:  8816: S2: 12:16:37> :DS: Settings reference is cn=ntds settings,cn=est6,cn=servers,cn=nombre-predeterminado-primer-sitio,cn=sites,cn=configuration,dc=dominio-pj,dc=pj

    <ThSupWaitThread:               6860:   505: S1: 12:20:21> :S: SndCs: Waiting

    <ThSupWaitThread:               6860:   533: S1: 12:20:21> :S: SndCs: normal wait

    <ThSupWaitThread:               6860:   505: S1: 12:20:21> :S: SndCs: Waiting

    <ThSupWaitThread:               6860:   533: S1: 12:20:21> :S: SndCs: normal wait

    <ThSupWaitThread:               6860:   505: S1: 12:21:37> :S: ReplicaCs: Waiting

    <ThSupWaitThread:               6860:   533: S1: 12:21:37> :S: ReplicaCs: normal wait

    <ThSupWaitThread:               6860:   505: S1: 12:21:37> :S: ReplicaCs: Waiting

    <ThSupWaitThread:               6860:   533: S1: 12:21:37> :S: ReplicaCs: normal wait

    <FrsDsFindComputer:             6388:  8796: S2: 12:21:37> :DS: Computer FQDN is cn=est6,ou=domain controllers,dc=dominio-pj,dc=pj

    <FrsDsFindComputer:             6388:  8802: S2: 12:21:37> :DS: Computer's dns name is est6.dominio-pj.pj

    <FrsDsFindComputer:             6388:  8816: S2: 12:21:37> :DS: Settings reference is cn=ntds settings,cn=est6,cn=servers,cn=nombre-predeterminado-primer-sitio,cn=sites,cn=configuration,dc=dominio-pj,dc=pj

    <SndCsMain:                      388:   877: S0: 12:23:49> :SR: Cmd 01395c08, CxtG 0ff42bed, WS ERROR_RETRY, To   est1.dominio-pj.pj Len:  (336) [SndFail - rpc call]

    <SndCsMain:                      388:   904: S0: 12:23:49> :SR: Cmd 01395c08, CxtG 0ff42bed, WS ERROR_RETRY, To   est1.dominio-pj.pj Len:  (336) [SndFail - Send Penalty]

    <FrsDsFindComputer:             6388:  8796: S2: 12:26:37> :DS: Computer FQDN is cn=est6,ou=domain controllers,dc=dominio-pj,dc=pj

    <FrsDsFindComputer:             6388:  8802: S2: 12:26:37> :DS: Computer's dns name is est6.dominio-pj.pj

    <FrsDsFindComputer:             6388:  8816: S2: 12:26:37> :DS: Settings reference is cn=ntds settings,cn=est6,cn=servers,cn=nombre-predeterminado-primer-sitio,cn=sites,cn=configuration,dc=dominio-pj,dc=pj

    <ThSupWaitThread:               6860:   505: S1: 12:28:49> :S: SndCs: Waiting

    <ThSupWaitThread:               6860:   533: S1: 12:28:49> :S: SndCs: normal wait

    <SndCsMain:                     1104:   877: S0: 12:29:01> :SR: Cmd 013b0a18, CxtG d5d16dc7, WS ERROR_RETRY, To   est2.dominio-pj.pj Len:  (356) [SndFail - rpc call]

    <SndCsMain:                     1104:   904: S0: 12:29:01> :SR: Cmd 013b0a18, CxtG d5d16dc7, WS ERROR_RETRY, To   est2.dominio-pj.pj Len:  (356) [SndFail - Send Penalty]

    <RcsSetCxtionSchedule:           208:  7365: S0: 12:30:20> :X: ffd98403, schedule is on

    <RcsSetCxtionSchedule:           208:  7365: S0: 12:30:20> :X: e1fc2239, schedule is on

    <RcsSetCxtionSchedule:           208:  7365: S0: 12:30:20> :X: a395467f, schedule is on

    <RcsSetCxtionSchedule:           208:  7365: S0: 12:30:20> :X: ecfc7a8e, schedule is on

    <RcsSetCxtionSchedule:           208:  7365: S0: 12:30:20> :X: 83987ea8, schedule is on

    <RcsSetCxtionSchedule:           208:  7365: S0: 12:30:20> :X: d5d16dc7, schedule is on

    <RcsSetCxtionSchedule:           208:  7365: S0: 12:30:20> :X: 0ff42bed, schedule is on

    <SndCsMain:                     1104:   877: S0: 12:30:21> :SR: Cmd 002af6e8, CxtG a395467f, WS ERROR_RETRY, To   est7.dominio-pj.pj Len:  (356) [SndFail - rpc call]

    <SndCsMain:                     1104:   904: S0: 12:30:21> :SR: Cmd 002af6e8, CxtG a395467f, WS ERROR_RETRY, To   est7.dominio-pj.pj Len:  (356) [SndFail - Send Penalty]

    <SndCsMain:                     1104:   877: S0: 12:30:21> :SR: Cmd 013caab0, CxtG ecfc7a8e, WS ERROR_RETRY, To   est1.dominio-pj.pj Len:  (356) [SndFail - rpc call]

    <SndCsMain:                     1104:   904: S0: 12:30:21> :SR: Cmd 013caab0, CxtG ecfc7a8e, WS ERROR_RETRY, To   est1.dominio-pj.pj Len:  (356) [SndFail - Send Penalty]

    <SndCsMain:                     1104:   877: S0: 12:30:21> :SR: Cmd 013b0be8, CxtG d5d16dc7, WS ERROR_RETRY, To   est2.dominio-pj.pj Len:  (356) [SndFail - rpc call]

    <SndCsMain:                     1104:   904: S0: 12:30:21> :SR: Cmd 013b0be8, CxtG d5d16dc7, WS ERROR_RETRY, To   est2.dominio-pj.pj Len:  (356) [SndFail - Send Penalty]

    <SndCsMain:                     1104:   877: S0: 12:30:21> :SR: Cmd 013903b8, CxtG 0ff42bed, WS ERROR_RETRY, To   est1.dominio-pj.pj Len:  (336) [SndFail - rpc call]

    <SndCsMain:                     1104:   904: S0: 12:30:21> :SR: Cmd 013903b8, CxtG 0ff42bed, WS ERROR_RETRY, To   est1.dominio-pj.pj Len:  (336) [SndFail - Send Penalty]

    <FrsHashCalcString:             6712:  4842: S0: 12:30:37> Name = S-1-5-21-3205460821-137428748-1636304759-1125

    <SndCsMain:                     1104:   877: S0: 12:30:40> :SR: Cmd 01394d98, CxtG ecfc7a8e, WS ERROR_RETRY, To   est1.dominio-pj.pj Len:  (356) [SndFail - rpc call]

     

    Revision de puertos

    Lo único que he encontrado raro, cuando he revisado el listado de puertos que me has pasado, que el puerto 135 no lo tiene establecido, esta en modo escucha.

    Te adjunto la información recogida por la aplicación  CurrPort ((aplicativo para ver el estado de los puertos)), en uno de los servidores que tengo problemas.

    Process Name      : svchost.exe

    Process ID        : 1312

    Protocol          : TCP

    <place w:st="on"><placename w:st="on">Local</placename> <placetype w:st="on">Port</placetype></place>        : 135

    <place w:st="on"><placename w:st="on">Local</placename> <placetype w:st="on">Port</placetype></place> Name   : epmap

    Local Address     : 0.0.0.0

    <place w:st="on"><placename w:st="on">Remote</placename> <placetype w:st="on">Port</placetype></place>       :

    <place w:st="on"><placename w:st="on">Remote</placename> <placetype w:st="on">Port</placetype></place> Name  :

    Remote Address    : 0.0.0.0

    Remote Host Name  :

    State             : Listening

    Process Path      : C:\WINDOWS\System32\svchost.exe

    Product Name      : Microsoft® Windows® Operating System

    File Description  : Generic Host Process for Win32 Services

    File Version      : 5.2.3790.1830 (srv03_sp1_rtm.050324-1447)

    Company           : Microsoft Corporation

    Process Created On: 20/07/2010 9:20:49

    User Name         :

    Process Services  : RpcSs

    Process Attributes: A

    Added On          : 21/03/2012 13:30:13

    También he recogido esta misma información de otro servidor que no tengo el error, en este caso si tiene el canal establecido.

    Process Name      : svchost.exe

    Process ID        : 1500

    Protocol          : TCP

    <place w:st="on"><placename w:st="on">Local</placename> <placetype w:st="on">Port</placetype></place>        : 135

    <place w:st="on"><placename w:st="on">Local</placename> <placetype w:st="on">Port</placetype></place> Name   : epmap

    Local Address     : 192.168.x.x

    <place w:st="on"><placename w:st="on">Remote</placename> <placetype w:st="on">Port</placetype></place>       : 3677

    <place w:st="on"><placename w:st="on">Remote</placename> <placetype w:st="on">Port</placetype></place> Name  :

    Remote Address    : 192.168.x.x

    Remote Host Name  : svr.dominio-pj.pj

    State             : Established

    Process Path      : C:\WINDOWS\system32\svchost.exe

    Product Name      : Microsoft® Windows® Operating System

    File Description  : Generic Host Process for Win32 Services

    File Version      : 5.2.3790.1830 (srv03_sp1_rtm.050324-1447)

    Company           : Microsoft Corporation

    Process Created On: 26/07/2011 10:55:20

    User Name         :

    Process Services  : RpcSs

    Process Attributes: A

    Added On          : 21/03/2012 13:28:28

    Saludos y gracias.

miércoles, 21 de marzo de 2012 13:00
  • Ok , lo que me remites. Fijate en la respuesta del foro : http://social.technet.microsoft.com/Forums/es-ES/wsades/thread/c08610e5-03ce-4cc6-819f-975b0dbe7f8f/ Creo que es el mismo caso. Saludos

    Saludos Jorge Colobora con el foro: Si la respuesta es de utilidad para resolver tu duda/problema, usa la opción "Marcar como repuesta". Otros usuarios con dudas similares -en un futuro- lo agradecerán.

    miércoles, 21 de marzo de 2012 19:48