none
Active directory RRS feed

  • Pregunta

  • Hola, tenía un red con 2 controladores de dominio, un primario o principal (win 2003) y otro secundario (win 2008 Virtualizado). Los disco del primario murieron ambos (en realidad falló la placa raid) y perdí ese controlador. El 2  siguió funcionando bien, sin inconvenientes con los usuarios y equipos. El problema se presenta cuando vuelo a instalar una imagen virtualizada del primario (2003). Al tiempo que comienzan a sincronizar toma el control el 2003 que es mandatario, pero desconoce a todos los usuarios y/o equipos del domino como si hubiera cambiado su SID. Es decir que comienza a decirme que no hay relaciones de confianza entre los equipos y lo primero que pasa es que los usuarios del dominio dejan de poder acceder a mi servidor de Exchange. ¿Que debo hacer para volver a levantar mi controlador primario de dominio virtualizado (imagen del que estaba funcionandado) y no perder las relaciones de confianza existentes en la actualidad? mi idea es borrar todos los usuarios y equipos existentes en ese servidor para que tome la relación existente que tiene en la actualidad con el secundario. ¿esta bien hacer eso?

    Gracias de antemano

    lunes, 18 de junio de 2012 14:56

Respuestas

  • Hola Anonymous,

    Si el primer DC ha fallado y cumplía específicamente el rol de controlador de dominio. Lo mejor que puedes hacer es montar desde cero un nuevo controlador de dominio y replicar desde el actual. A modo informativo, recuperar un DC desde un snapshot o imagen no es una opción siempre válida, ya que el servicio de directorio tiene su propio método de recovery desde el modo de restauración de AD.

    1. Asegúrate que el DC vivo mantiene todos los roles, no sea que el primario tuviera alguno. 

    2. Puedes revisar desde el DC vivo donde están ubicados los roles FSMO con: netdom query /domain:tudominio fsmo

    3. Si el DC que fallo mantenía algún rol, haz un seize de estos desde el DC vivo: http://www.itseguridad.com/?p=294 

    4. Una vez transferidos, puedes eliminar los metadatos del DC que falló http://technet.microsoft.com/es-es/library/cc728068(v=ws.10).aspx 

    5. A partir de aqui, puedes promocionar tu nuevo DC en el dominio tras hacerlo domain member.


    Saludos.

    Julio Rosua

    PS: Lo de los SIDs no me cuadra, a no ser que tuvieras un único DC por dominio y fueran dos dominios/bosques con relación de confianza...



    • Editado Julian Ros lunes, 18 de junio de 2012 15:30
    • Marcado como respuesta Anonymous3545 lunes, 25 de junio de 2012 19:36
    lunes, 18 de junio de 2012 15:28
  • Desde el servidor 2008 puedes revisar que el objeto no está protegido contra eliminación? Es un setting que se habilita desde la GUI de 2008 para evitar borrados accidentales. Revisate este enlace, en especial la nota al inicio:

    http://technet.microsoft.com/es-es/library/cc816907(v=ws.10).aspx 

    Sigue los pasos marcados para eliminar el DC que hizo crash. Importante, no enciendas más ese DC, realiza los pasos con el 2008 únicamente activo.

    • Marcado como respuesta Anonymous3545 lunes, 25 de junio de 2012 19:36
    jueves, 21 de junio de 2012 22:26

Todas las respuestas

  • Hola Anonymous,

    Si el primer DC ha fallado y cumplía específicamente el rol de controlador de dominio. Lo mejor que puedes hacer es montar desde cero un nuevo controlador de dominio y replicar desde el actual. A modo informativo, recuperar un DC desde un snapshot o imagen no es una opción siempre válida, ya que el servicio de directorio tiene su propio método de recovery desde el modo de restauración de AD.

    1. Asegúrate que el DC vivo mantiene todos los roles, no sea que el primario tuviera alguno. 

    2. Puedes revisar desde el DC vivo donde están ubicados los roles FSMO con: netdom query /domain:tudominio fsmo

    3. Si el DC que fallo mantenía algún rol, haz un seize de estos desde el DC vivo: http://www.itseguridad.com/?p=294 

    4. Una vez transferidos, puedes eliminar los metadatos del DC que falló http://technet.microsoft.com/es-es/library/cc728068(v=ws.10).aspx 

    5. A partir de aqui, puedes promocionar tu nuevo DC en el dominio tras hacerlo domain member.


    Saludos.

    Julio Rosua

    PS: Lo de los SIDs no me cuadra, a no ser que tuvieras un único DC por dominio y fueran dos dominios/bosques con relación de confianza...



    • Editado Julian Ros lunes, 18 de junio de 2012 15:30
    • Marcado como respuesta Anonymous3545 lunes, 25 de junio de 2012 19:36
    lunes, 18 de junio de 2012 15:28
  • Gracias Julio, en especial por la pronta respuesta.

    Voy a seguir tus indicaciones.

    lunes, 18 de junio de 2012 15:32
  • Ok,

    pero la respuesta está orientada a un dominio con 2DCs. No me ha quedado claro con tu post si el escenario era este o erán 2 dominios en confianza con 1 DC para cada uno, en tal caso este no sería el procedimiento.

    Asegúrate.


    Julio Rosua

    lunes, 18 de junio de 2012 15:39
  • Julio, El escenario era un dominio con 2 DC. Te cuento que el problema se nos presentó cuando al tratar de instalar un nuevo DC y ponerlo como primario o mandante el secundario que está activo buscaba al viejo DC primario y presentaba problemas. Por eso surgió la idea de restaurar una copia virtualizada del primario que había fallado. 

    lunes, 18 de junio de 2012 15:45
  • ok, en este caso, el método es el comentado en el primer post. Traspasar roles al actualmente vivo y eliminar los metadatos de DCs antiguos.

    Luego promocionar un nuevo DC en el dominio.

    saludos.

    lunes, 18 de junio de 2012 15:47
  • Gracias nuevamente, Julio

    Postearé aquí mismo el resultado cuando halla terminado.

    Sebastian

    lunes, 18 de junio de 2012 15:51
  • Julio,

    Realizando los procesos menionados por ti pudimos pasar los roles de un servidor a otro sin inconvenientes. El DC vivo quedó con los roles siguientes: Maestro de esquema; Maestro nomemcl. dominios; PDC; Administrador de grupos RID y maestro de infraestructura.

    Sin embargo cuando queremos eliminar el DC muerto desde Active Directory Sites and Services nos dice:

    Windows no puede eliminar el objeto LDAP//DCvivo.xxx.local/CM=DCmuerto,OU=DomainControlers,DC=xxx(dominio),DC=local:acceso denegado.

    Tampoco pudimos eliminarlo desde la herramienta ntdsutil metadata cleanup etc.

    Alguna idea? Queda claro el que DC vivo asumió todos los roles que había instalado, pero me preocupa no poder eliminar los metadatos del DC muerto.

    Desde ya muchas gracias

     

    jueves, 21 de junio de 2012 19:36
  • Julio, Como dato te recuerdo que el DC muerto era un 2003 y el DC vivo es un 2008 ambos standar
    jueves, 21 de junio de 2012 19:40
  • Desde el servidor 2008 puedes revisar que el objeto no está protegido contra eliminación? Es un setting que se habilita desde la GUI de 2008 para evitar borrados accidentales. Revisate este enlace, en especial la nota al inicio:

    http://technet.microsoft.com/es-es/library/cc816907(v=ws.10).aspx 

    Sigue los pasos marcados para eliminar el DC que hizo crash. Importante, no enciendas más ese DC, realiza los pasos con el 2008 únicamente activo.

    • Marcado como respuesta Anonymous3545 lunes, 25 de junio de 2012 19:36
    jueves, 21 de junio de 2012 22:26
  • Julio,

    Mil gracias. Todo anduvo de maravillas. Solamente faltaba ese tilde que se me había pasado por alto.

    Excelente lo tuyo.

    Sebastian

    lunes, 25 de junio de 2012 18:31