none
Ayuda para eliminar o reparar controlador en Windows 2008 SMB RRS feed

  • Pregunta

  • Tengo un controlador de dominio en Win 2008 small business 2008, hace unos meses agregue un controlador de dominio secundario en Win 2008 std, y estuvieron funcionando bien, se sincronizaban sin problema.

    El dia de ayer movieron la hora del Domain Controller y desde ahi empece a tener problemas, aunque se regreso la hora correcta al DC, el Secundario no se sincroniza.

    EL secundario si ve por IP al C$ del DC, pero por nombre me aparaece un error de inicio de sesion, el secundario si ve por ping por ip y nomvre al DC.

    TRato de despromover el secundario y me dice error de inicio de sesion, no puedo despromoverlo ni tampoco puedo sincronisarlo, ya revice la configuracion DNS del secundario con el respaldo de una maquina virtual del mismo y estan igual.

    EN el visor de eventos me aparece este error:

    El cliente Kerberosrecibió un error KRB_AP_ERR_MODIFIED del servidor servidor1$. El nombre de destino usado es cifs/Servidor1. Esto indica que el servidor de destino no descifró el vale proporcionado por el cliente. Esto puede suceder cuando el nombre principal del servidor (SPN) de destino está registrado en una cuenta distinta de la que usa el servicio de destino. Asegúrese de que el SPN de destino esté registrado únicamente en la cuenta usada por el servidor. Este error también puede producirse cuando el servicio de destino usa una contraseña para la cuenta de servicio de destino distinta de la que tiene el centro de distribución de claves (KDC) Kerberos para la cuenta de servicio de destino. Asegúrese de que se hayan actualizado el servicio del servidor y el KDC de modo que usen la contraseña actual. Si el nombre de servidor no es completo y el dominio de destino (MAQ.LOCAL) es distinto del dominio del cliente (MAQ.LOCAL), compruebe si estos dos dominios tienen cuentas de servidor con el mismo nombre o use el nombre completo para identificar el servidor.

    El problema es con los usuarios que se logean al secundario, aunque les cambie al DC en el logonserver se van al secundario.

    Necesito apagar el secundario para que los usuarios inicien sesion en el DC y funciona todo, lo que quiero es eliminar por completo el secundario del DC.

    Alguien que me pueda ayudar?

    martes, 10 de abril de 2012 22:15

Respuestas

  • Para despromover de forma forzada el DC secundario, podes utilizar:

    dcpromo /forceremoval

    Aca te dejo un documento de la kb de Microsoft:

    http://support.microsoft.com/kb/332199/es

    Una vez despromovido, asegurate de cumplir con los siguientes items

    • Quitar del dominio la cuenta de equipo.
    • Comprobar que los registros DNS, como A, CNAME, y SRV, se han eliminado, y eliminarlos si aún existen.
    • Comprobar que los objetos miembro FRS (FRS y DFS) se han eliminado, y eliminarlos si aún existen.   Para obtener más información, haga clic en el número de artículo siguiente para   verlo en Microsoft Knowledge Base:
      296183                                         (http://support.microsoft.com/kb/296183/                        )        Introducción a los objetos de Active Directory que son usados por FRS
    • Si el equipo degradado es miembro de algún grupo de seguridad, elimínelo de estos grupos.
    • Eliminar cualquier referencia DFS al servidor degradado, como vínculos o réplicas de la raíz.
    • Uno de los controladores de dominio restantes debe asumir la función de maestro de operaciones (conocida también como operación de maestro único flexible, o FSMO) o las funciones que anteriormente ejercía el controlador de dominio degradado forzosamente. Para obtener más   información, haga clic en el número de artículo siguiente para verlo en   Microsoft Knowledge Base:
      255504                                         (http://support.microsoft.com/kb/255504/                        )        Usar Ntdsutil.exe para asumir o transferir las funciones FSMO en un controlador de dominio
    • Si el controlador de dominio que está degradando es un servidor DNS o un servidor de catálogo global, debe crear un nuevo servidor GC o DNS que satisfaga el equilibrio de carga, la tolerancia a errores y los valores de configuración del bosque.
    • Cuando utilice el comando remove selected server de NTDSUTIL, se eliminará el objeto NTDSDSA, el objeto principal de las conexiones entrantes dirigidas al controlador de dominio que se degradó forzosamente. El comando no elimina los objetos de servidor principal que aparecen en el complemento Sitios y servicios. Utilice el complemento de MMC Sitios y servicios de Active Directory para eliminar el objeto de servidor si el controlador de dominio no se va a degradar en el bosque con el mismo nombre de equipo.

    Moretti Maximiliano MCTS - MCITP MorettiMaxi.com.ar

    martes, 10 de abril de 2012 23:35
  • Hola Juan Carlos, vamos por partes

    La autenticación Kerberos es sensible a fecha/hora por lo cual hay que tener mucho cuidado al cambiar la fecha en forma manual. Cuando se produce un error como el que comentas, normalmente se arregla con un reinicio, en este caso del segundo DC, para obligarlo a que sincronize la hora con el primero que seguramente es el "Emulador PDC" y por lo tanto el "time server" del Dominio

    Que los clientes contacten sólo al segundo DC depende de varios factores, pero si el primero no responde los clientes iran al segundo DC, aunque además hay otros factores como orden de resolución de DNS, información "cacheada", que uno demore más que otro en responder, etc.

    Lo que no me queda claro de tu pregunta es si al segundo DC lo quieres "eliminar" (que no sea más Controlador de Dominio) o que momentáneamente no quieres que los usuarios lo utilicen
    ¿Puedes aclarar esto?

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator
    MCTS: Active Directory/Network/Applications Configuration/Virtualization
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    miércoles, 11 de abril de 2012 11:59
    Moderador
  • Ahora si está claro

    Primero hay que ver cuál es el "PDC Emulator" ya que es el que establece el tiempo para todo el Dominio. Para averiguarlo, la forma que creo más sencillas, es desde uno de los controladores, en línea de comando (CMD.EXE) ejecutada como administrador pon:

    NETDOM QUERY FSMO

    Y revisa qué DC es "PDC Emulator", ese es el que "manda" respecto a la hora

    Además si ambos controladores están en el mismo lugar, revisa que ambos estén con la misma Zona Horaria configurada

    Revisa lo anterior y luego seguimos de acuerdo a lo que muestre y confirmes

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator
    MCTS: Active Directory/Network/Applications Configuration/Virtualization
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    miércoles, 11 de abril de 2012 14:19
    Moderador
  • Por lo que pones, el que tiene los FSMO Roles es el Servidor1, y por lo tanto es el "manda" respecto a los relojes

    No comprendo qué quieres decir con "El secundario siempre busca a "servidor1.maq.local" :(

    - Pero de todas formas, cada Controlador de Dominio debe estar configurado para usar como DNS tanto a sí mismo, como al otro.
    - Todos los clientes deben tener configurados usar como DNS a ambos Controladores de Dominio

    - Y muy importante, ambos Controladores de Dominio deben ser Catálogo Global

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator
    MCTS: Active Directory/Network/Applications Configuration/Virtualization
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    jueves, 12 de abril de 2012 11:32
    Moderador
  • Trata de accederlo usando el nombre DNS, no el nombre NetBIOS, es decir usando "\\servidor1.maquimex.local"

    Una pregunta importante, cuando se agregó al secundario ¿estás seguro que se agregó como *Controlador de Dominio en un Dominio existente*? ¿no se habrá promovido a un dominio con igual nombre?

    Revisa el visor de sucesos de ambos Controladores de Dominio a ver si hay errores, sobre todo de replicación

    Sería interesante si puedes poner IPCONFIG /ALL de ambos servidores, a ver si hay algo "raro"

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator
    MCTS: Active Directory/Network/Applications Configuration/Virtualization
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    jueves, 12 de abril de 2012 14:12
    Moderador
  • Tiene que haber algo más...

    Un NSLOOKUP ¿resuelve bien los nombres de ambos lados?

    Si te decidieras por el DCPROMO /FORCEREMOVAL recuerda que luego tienes que hacer la "limpieza" según:
    How to remove data in Active Directory after an unsuccessful domain controller demotion:
    http://support.microsoft.com/kb/216498

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator
    MCTS: Active Directory/Network/Applications Configuration/Virtualization
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    jueves, 12 de abril de 2012 15:37
    Moderador
  • Se está poniendo difícil, pero sigamos adelante :)

    En el primer mensaje pones el texto del error, pero para hacer una buen búsqueda se necesita el Source (origen), y el Event ID (número del evento) por favor si puedes ponerlo

    De todas formas, revisa el siguiente enlace, que aunque aparenta no estar relacionado sí lo está, ya que evidentemente si la resolución de nombres anda, el problema aparenta estar relacionado con la autenticación entre los Controladores de Dominio

    Windows Server 2003-based domain controllers in a parent-and-child domain environment may be unable to replicate changes:
    http://support.microsoft.com/kb/938702 

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator
    MCTS: Active Directory/Network/Applications Configuration/Virtualization
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    viernes, 13 de abril de 2012 12:22
    Moderador
  • ¿Haz intentado con el artículo que puse antes?

    Otro lugar para buscar posibles soluciones en http://www.eventid.net/display-eventid-4-source-Kerberos-eventno-1714-phase-1.htm 

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator
    MCTS: Active Directory/Network/Applications Configuration/Virtualization
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    viernes, 13 de abril de 2012 16:57
    Moderador

Todas las respuestas

  • Para despromover de forma forzada el DC secundario, podes utilizar:

    dcpromo /forceremoval

    Aca te dejo un documento de la kb de Microsoft:

    http://support.microsoft.com/kb/332199/es

    Una vez despromovido, asegurate de cumplir con los siguientes items

    • Quitar del dominio la cuenta de equipo.
    • Comprobar que los registros DNS, como A, CNAME, y SRV, se han eliminado, y eliminarlos si aún existen.
    • Comprobar que los objetos miembro FRS (FRS y DFS) se han eliminado, y eliminarlos si aún existen.   Para obtener más información, haga clic en el número de artículo siguiente para   verlo en Microsoft Knowledge Base:
      296183                                         (http://support.microsoft.com/kb/296183/                        )        Introducción a los objetos de Active Directory que son usados por FRS
    • Si el equipo degradado es miembro de algún grupo de seguridad, elimínelo de estos grupos.
    • Eliminar cualquier referencia DFS al servidor degradado, como vínculos o réplicas de la raíz.
    • Uno de los controladores de dominio restantes debe asumir la función de maestro de operaciones (conocida también como operación de maestro único flexible, o FSMO) o las funciones que anteriormente ejercía el controlador de dominio degradado forzosamente. Para obtener más   información, haga clic en el número de artículo siguiente para verlo en   Microsoft Knowledge Base:
      255504                                         (http://support.microsoft.com/kb/255504/                        )        Usar Ntdsutil.exe para asumir o transferir las funciones FSMO en un controlador de dominio
    • Si el controlador de dominio que está degradando es un servidor DNS o un servidor de catálogo global, debe crear un nuevo servidor GC o DNS que satisfaga el equilibrio de carga, la tolerancia a errores y los valores de configuración del bosque.
    • Cuando utilice el comando remove selected server de NTDSUTIL, se eliminará el objeto NTDSDSA, el objeto principal de las conexiones entrantes dirigidas al controlador de dominio que se degradó forzosamente. El comando no elimina los objetos de servidor principal que aparecen en el complemento Sitios y servicios. Utilice el complemento de MMC Sitios y servicios de Active Directory para eliminar el objeto de servidor si el controlador de dominio no se va a degradar en el bosque con el mismo nombre de equipo.

    Moretti Maximiliano MCTS - MCITP MorettiMaxi.com.ar

    martes, 10 de abril de 2012 23:35
  • Hola Juan Carlos, vamos por partes

    La autenticación Kerberos es sensible a fecha/hora por lo cual hay que tener mucho cuidado al cambiar la fecha en forma manual. Cuando se produce un error como el que comentas, normalmente se arregla con un reinicio, en este caso del segundo DC, para obligarlo a que sincronize la hora con el primero que seguramente es el "Emulador PDC" y por lo tanto el "time server" del Dominio

    Que los clientes contacten sólo al segundo DC depende de varios factores, pero si el primero no responde los clientes iran al segundo DC, aunque además hay otros factores como orden de resolución de DNS, información "cacheada", que uno demore más que otro en responder, etc.

    Lo que no me queda claro de tu pregunta es si al segundo DC lo quieres "eliminar" (que no sea más Controlador de Dominio) o que momentáneamente no quieres que los usuarios lo utilicen
    ¿Puedes aclarar esto?

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator
    MCTS: Active Directory/Network/Applications Configuration/Virtualization
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    miércoles, 11 de abril de 2012 11:59
    Moderador
  • Hola Juan Carlos, vamos por partes

    La autenticación Kerberos es sensible a fecha/hora por lo cual hay que tener mucho cuidado al cambiar la fecha en forma manual. Cuando se produce un error como el que comentas, normalmente se arregla con un reinicio, en este caso del segundo DC, para obligarlo a que sincronize la hora con el primero que seguramente es el "Emulador PDC" y por lo tanto el "time server" del Dominio

    Que los clientes contacten sólo al segundo DC depende de varios factores, pero si el primero no responde los clientes iran al segundo DC, aunque además hay otros factores como orden de resolución de DNS, información "cacheada", que uno demore más que otro en responder, etc.

    Lo que no me queda claro de tu pregunta es si al segundo DC lo quieres "eliminar" (que no sea más Controlador de Dominio) o que momentáneamente no quieres que los usuarios lo utilicen
    ¿Puedes aclarar esto?


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator
    MCTS: Active Directory/Network/Applications Configuration/Virtualization
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    Gracias por la respuesta Guillermo,

    Busco que que vuelva a funcionar el secundario a como estaba, pero si no hay forma entonces eliminarlo que seria la ultima opcion.

    Mientras esto ocurre, busco la forma para que los usuarios solo inicien sesion en el DC mientras se repara el secundario o se elimina, me gustaria que vuelva a funcionar creo que es como tu mencionas alguna configuracion, pero no encuentro como volver a hacer que sincronice.

    Saludos,

    miércoles, 11 de abril de 2012 13:23
  • Ahora si está claro

    Primero hay que ver cuál es el "PDC Emulator" ya que es el que establece el tiempo para todo el Dominio. Para averiguarlo, la forma que creo más sencillas, es desde uno de los controladores, en línea de comando (CMD.EXE) ejecutada como administrador pon:

    NETDOM QUERY FSMO

    Y revisa qué DC es "PDC Emulator", ese es el que "manda" respecto a la hora

    Además si ambos controladores están en el mismo lugar, revisa que ambos estén con la misma Zona Horaria configurada

    Revisa lo anterior y luego seguimos de acuerdo a lo que muestre y confirmes

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator
    MCTS: Active Directory/Network/Applications Configuration/Virtualization
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    miércoles, 11 de abril de 2012 14:19
    Moderador
  • Ahora si está claro

    Primero hay que ver cuál es el "PDC Emulator" ya que es el que establece el tiempo para todo el Dominio. Para averiguarlo, la forma que creo más sencillas, es desde uno de los controladores, en línea de comando (CMD.EXE) ejecutada como administrador pon:

    NETDOM QUERY FSMO

    Y revisa qué DC es "PDC Emulator", ese es el que "manda" respecto a la hora

    Además si ambos controladores están en el mismo lugar, revisa que ambos estén con la misma Zona Horaria configurada

    Revisa lo anterior y luego seguimos de acuerdo a lo que muestre y confirmes


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator
    MCTS: Active Directory/Network/Applications Configuration/Virtualization
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    Ambos servers tienen la misma zona horaria:

    El secundario siempre busca a "SERVIDOR1.maq.local"

    En ambos aparece esto con el comando NETDOM QUERY FMSO:

    Microsoft Windows [Versión 6.0.6001]
    Copyright (c) 2006 Microsoft Corporation.  Reservados todos los derechos.

    C:\Users\sistemas>netdom query FSMO
    Maestro de esquema             SERVIDOR1.maq.local
    Maestro nomencl. dominios    SERVIDOR1.maq.local
    PDC                                     SERVIDOR1.maq.local
    Administrador de grupos RID  SERVIDOR1.maq.local
    Maestro de infraestructura      SERVIDOR1.maq.local
    El comando se completó correctamente.

    C:\Users\sistemas>


    miércoles, 11 de abril de 2012 17:22
  • Hola Juan Carlos:

    Disculpa que llegue tarde a la cita dando una vision rapida sobre el tema y por lo que posteas no veo motivo suficiente como para que tengas que eliminar el controlador secundario. Por el query del FSMO esta mas que claro que tu DC principal sigue siendo el 1 y por ende este es tu PDC la hora que este tenga es la que se va a suministrar a todo el dominio. te recomiendo que hagas lo que dice Guillermo forzar una sincronización de los servidores y/o reinicia.

    ahora si quieres que tu servidor principal se sincronize con la hora atomica puedes configurarles un servidor NTP

    Saludos,


    Marcial Espitia http://www.marcialespitia.es.tl marciale@hotmail.com Skype: marcialespitia Twitter: @marcialespitia

    miércoles, 11 de abril de 2012 19:22
  • Por lo que pones, el que tiene los FSMO Roles es el Servidor1, y por lo tanto es el "manda" respecto a los relojes

    No comprendo qué quieres decir con "El secundario siempre busca a "servidor1.maq.local" :(

    - Pero de todas formas, cada Controlador de Dominio debe estar configurado para usar como DNS tanto a sí mismo, como al otro.
    - Todos los clientes deben tener configurados usar como DNS a ambos Controladores de Dominio

    - Y muy importante, ambos Controladores de Dominio deben ser Catálogo Global

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator
    MCTS: Active Directory/Network/Applications Configuration/Virtualization
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    jueves, 12 de abril de 2012 11:32
    Moderador
  • Gracias por las respuestas ...

    Lo que pasa que el secundario no ve por nombre al DC, si yo le pongo en ejecutar \\servidor1\c$ me dice error de acceso, tipeo usuario y contraseña y me dice que esta equivocado.

    Los clientes cuando inician sesion les solicita constantemente su usuario y contraseña, en ellos doy el el comando SET y en LOGONSERVER tienen: LOGONSERVER=\\SERVIDOR3 (quien es el secundario).

    SI yo apago el servidor3 (DC Secundario) o lo desconecto de la red, reinicio las pc´s de usuario y entonces toman en el LOGONSERVER=\\SERVIDOR1 (quien es el DC).

    Y todo vuelve a funcionar bien, solo en cuando el SERVIDOR3 (Secundario) esta en linea, hay ocaciones que lo apago funciona todo bien, los usuarios se logean y accesan a sus carpetas en red, enciendo de nuevo el Secundario y despues de un rato a algunos usuarios les despliega la ventana solicitando credenciales aun cuando ya tienen carpetas abiertas del DC.

    LO raro, que quise quitar el dominio como normalmente se hace con DCPROMO y que este vuelva a ser miembro del dominio como me dice que lo hara en el wizard de DCPROMO, pero al momento de aplicar la opcion en el resumen de opciones, me dice error de inicio de sesion, con el servidor1.maq.local y no se puede.

    La configuracion de DNS en los clientes esta como menciona Guillermo, y ambos estan como catalogo global.

    Aqui el servidor3=dc secundario no puede ver al servidor1 y con error de inicio de sesionAqui el servidor3 no se ve en linea asi mismo pero si abro esta consola en el servidor1 ambos estan en linea y ambos estan como GC

    jueves, 12 de abril de 2012 13:35
  • jueves, 12 de abril de 2012 13:36
  • Trata de accederlo usando el nombre DNS, no el nombre NetBIOS, es decir usando "\\servidor1.maquimex.local"

    Una pregunta importante, cuando se agregó al secundario ¿estás seguro que se agregó como *Controlador de Dominio en un Dominio existente*? ¿no se habrá promovido a un dominio con igual nombre?

    Revisa el visor de sucesos de ambos Controladores de Dominio a ver si hay errores, sobre todo de replicación

    Sería interesante si puedes poner IPCONFIG /ALL de ambos servidores, a ver si hay algo "raro"

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator
    MCTS: Active Directory/Network/Applications Configuration/Virtualization
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    jueves, 12 de abril de 2012 14:12
    Moderador
  • Y trate con \\servidor1.maquimex.local\ y nada mismo error de acceso, asi es fue en un dominio existente, secundario tiene la misma base de datos de usuarios y passwds que el DC, estuvieron funcionando bien como DC primario y este el adicional.

    Y todo es fue porque cambio de fecha, fue el unico cambio que se le hizo al DC y de ahi empezo todo.

    LO cuurioso de mis respaldos hice unos con acronis true image server, converti estas imagenes en una maquina virtual de vmware cada una y en una red virtual privada si funcionan entre ellos, obviamente antes del cambio de hora.

    Ya revice configuraciones en ambos DNS, red, archivo hosts y estan igual.

    Ya estoy algo desesperado y preocupado, porque ya conoces a los usuarios como se ponen cuando algo no les funciona y creo que mi camino era despromover el secundario con /forceremoval porque no puedo despromoverlo de manera normal.

    lo que mas me inquieta es que ya llevaban tiempo trabajando bien y bonito.

    jueves, 12 de abril de 2012 15:15
  • Mi problema es el DC secundario, porque el primario si ve al secundario por nombre DNS y netbios y el secundario no ve por DNS y netbios al DC, pero si por IP.

    Tambien los usuarios ven los recursos del DC secuiundario si su logonserver es el DC primario, si los usuarios se logean al dc secundario ya no ven ningun recurso compartido en la red.

    jueves, 12 de abril de 2012 15:20
  • Tiene que haber algo más...

    Un NSLOOKUP ¿resuelve bien los nombres de ambos lados?

    Si te decidieras por el DCPROMO /FORCEREMOVAL recuerda que luego tienes que hacer la "limpieza" según:
    How to remove data in Active Directory after an unsuccessful domain controller demotion:
    http://support.microsoft.com/kb/216498

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator
    MCTS: Active Directory/Network/Applications Configuration/Virtualization
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    jueves, 12 de abril de 2012 15:37
    Moderador
  • Nslookup del DC al secundario y del secundario al DC

    jueves, 12 de abril de 2012 16:14
  • SI le doy ejecutar y pongo esto si entro al la carpeta donde estan las politicas:

    \\maquimex.local\SYSVOL\maquimex.local\Policies

    Pero si pido por nombre DNS \\servidor1.maquimex.local\SYSVOL\ ... me dice error de sesion.

    Si intento un net time set desde msdos me dice accseo denegado.

    Habra alguna manera de hacer que el secundario se autentifique con el DC?

    jueves, 12 de abril de 2012 16:22
  • Esto es lo que me sale cuando trato despromover el dominio:

    jueves, 12 de abril de 2012 16:49
  • Se está poniendo difícil, pero sigamos adelante :)

    En el primer mensaje pones el texto del error, pero para hacer una buen búsqueda se necesita el Source (origen), y el Event ID (número del evento) por favor si puedes ponerlo

    De todas formas, revisa el siguiente enlace, que aunque aparenta no estar relacionado sí lo está, ya que evidentemente si la resolución de nombres anda, el problema aparenta estar relacionado con la autenticación entre los Controladores de Dominio

    Windows Server 2003-based domain controllers in a parent-and-child domain environment may be unable to replicate changes:
    http://support.microsoft.com/kb/938702 

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator
    MCTS: Active Directory/Network/Applications Configuration/Virtualization
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    viernes, 13 de abril de 2012 12:22
    Moderador
  • Este es el ID que envia ....

    viernes, 13 de abril de 2012 13:35
  • ¿Haz intentado con el artículo que puse antes?

    Otro lugar para buscar posibles soluciones en http://www.eventid.net/display-eventid-4-source-Kerberos-eventno-1714-phase-1.htm 

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator
    MCTS: Active Directory/Network/Applications Configuration/Virtualization
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    viernes, 13 de abril de 2012 16:57
    Moderador