Principales respuestas
Los Servicios de dominio de Active Directory no pudieron establecer una conexión con el catálogo global.

Pregunta
-
Buenos días,
Me aparece un error relacionado con AD en referencia a que no se puede establecer conexión con el catálogo global.
EL servidor es DC, y también soporta DNS. No es DHCP server.
He revisado que estén compartidas sysvol y netlogon, DNS no da errores, aunque tengo un event ID 4013 que indica esto:
El servidor DNS está esperando a que los Servicios de dominio de Active Directory (AD DS) señalen que se ha completado la sincronización inicial del directorio. El servicio del servidor DNS no puede iniciarse hasta que se haya completado la sincronización inicial porque es posible que todavía no se hayan replicado en este controlador de dominio algunos datos de DNS críticos. Si los eventos del registro de eventos de AD DS indican que hay un problema con la resolución de nombres DNS, puede agregar la dirección IP de otro servidor DNS para este dominio a la lista de servidores DNS en las propiedades de protocolo de Internet de este equipo. Este evento se registrará cada dos minutos hasta que AD DS haya señalado que la sincronización inicial se ha completado correctamente.
No hay ningún problema aparente con la configuración DNS. Si hago un dcdiag /e /c /v /s:nombredelservidor, todas las pruebas las pasa
Con un repadmin /syncall /d /e indica que termina syncall correctamente
un netdom query fsmo muestra que todos los servicios está nen el DC
Sitios y Servicios de directorio activo solo me muestra el default first site name con 1 servidor, él mismo, y en los ntds settings está marcado como catálogo global.
También me da una advertencia,
Los Servicios de dominio de Active Directory intentaron comunicarse con el siguiente catálogo global y los intentos resultaron incorrectos.
Catálogo global:
\\xxxx.xxx.com
Es posible que la operación en curso no pueda continuar. Los Servicios de dominio de Active Directory usarán el ubicador del controlador de dominio para intentar encontrar un servidor de catálogo global disponible.
Datos adicionales
Valor de error:
1722 El servidor RPC no está disponiblePor favor, pueden echarme un cable?
- Editado Raul.Arias miércoles, 31 de octubre de 2018 8:53
Respuestas
-
Revisa el siguiente enlace a ver si alguna de las soluciones funciona. Manéjate con criterior porque no es un sitio oficial, suelen haber respuestas buenas, pero no siempre
http://eventid.net/display-eventid-1126-source-NTDS+General-eventno-656-phase-1.htm
Es muy raro, o por lo menos yo nunca lo había visto :)
Guillermo Delprato
MCSE - MCSA2012
Buenos Aires, Argentina
El Blog de los paso a paso
MCITP: Enterprise Administrator / Server Administrator
MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration
Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
- Marcado como respuesta Raul.Arias miércoles, 31 de octubre de 2018 14:43
Todas las respuestas
-
Hola Raul.Arias, algunas preguntas para tener más datos para investigar el problema
- ¿Es el único Controlador de Dominio en el Dominio? ¿O hay más?
- En la consola DNS ¿está registrado como Catálogo Global? Debe estar en dos lugares: "_mstsc.dominio.sufijo.gc" y "mstsc.dominio.sufijo.gc._sites.default-first-site._tcp
- Cuando pones un ID de error, no olvides poner además el "Source" (Origen) porque de otra forma no es posible identificarlo. Los IDs se repiten y tienen diferente significado
- El RPC no disponible, es algo totalmente genérico, es simplemente algo así como "no puedo conectar"
- ¿Qué DNS está apuntando el servidor? ¿Sólo a sí mismo? ¿o a otro aunque sea como alternativo?
Guillermo Delprato
MCSE - MCSA2012
Buenos Aires, Argentina
El Blog de los paso a paso
MCITP: Enterprise Administrator / Server Administrator
MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration
Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
- Editado Guillermo Delprato []Moderator miércoles, 31 de octubre de 2018 11:00
-
Buenos días Guillermo,
Gracias por la respuesta, voy respondiendo a tus cuestiones:
- Es el único Controlador de Dominio.
- Creo que está correctamente registrado en DNS, adjunto una captura:
- Adjunto más datos sobre el error, que es proveniente de Active directory domain service:
- System - Provider [ Name] Microsoft-Windows-ActiveDirectory_DomainService [ Guid] {0e8478c5-3605-4e8c-8497-1e730c959516} [ EventSourceName] NTDS General - EventID 1126 [ Qualifiers] 49152 Version 0 Level 2 Task 18 Opcode 0 Keywords 0x8080000000000000 - TimeCreated [ SystemTime] 2018-10-31T08:24:59.066968500Z EventRecordID 48195 Correlation - Execution [ ProcessID] 660 [ ThreadID] 31360 Channel Directory Service Computer xxx.xxx.com - Security [ UserID] S-1-5-7 - EventData 3200daf 8430 El servicio de directorio encontró un error interno.
- El DNS del servidor apunta a sí mismo, no tiene servidor DNS alternativo configurado
-
Revisa el siguiente enlace a ver si alguna de las soluciones funciona. Manéjate con criterior porque no es un sitio oficial, suelen haber respuestas buenas, pero no siempre
http://eventid.net/display-eventid-1126-source-NTDS+General-eventno-656-phase-1.htm
Es muy raro, o por lo menos yo nunca lo había visto :)
Guillermo Delprato
MCSE - MCSA2012
Buenos Aires, Argentina
El Blog de los paso a paso
MCITP: Enterprise Administrator / Server Administrator
MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration
Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
- Marcado como respuesta Raul.Arias miércoles, 31 de octubre de 2018 14:43
-
Gracias! Le he echado un ojo, lamentablemente las respuestas son un poco antiguas (ultimamente cuesta encontrar info de servidores modernos, pocas soluciones se encuentran de Server 2012 en adelante).
Por suerte, aunque el visor de eventos muestra los errores, no aprecio problemas derivados del aviso en AD... en fin, si encuentro la solucion, la postearé.
Un saludo,
-
Descuento que hay conectividad por PING desde otras máquinas ¿si?
Probando con NSLOOKUP ¿resuelve bien?
¿Tiene una única interfaz ese servidor? ¿una única IP?
Si reinicias el servicio NETLOGON ¿no se soluciona?
Si nada de lo anterior funciona creo que lo mejor es buscar en los eventos algún error anterior que luego produzca el problema de GC
Guillermo Delprato
MCSE - MCSA2012
Buenos Aires, Argentina
El Blog de los paso a paso
MCITP: Enterprise Administrator / Server Administrator
MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration
Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
-
Buenos dias Guillermo,
NSLOOKUP me da esto:
C:\>nslookup xxx.xxx.com
Servidor: UnKnown
Address: 192.168.111.20
Nombre: xxx.xxx.com
Address: 192.168.111.20Disculpa las "xxx". Si, me resuelve bien.
Tiene otra interfaz de IP, ya que tiene 2 conexiones SCSI en otro rango de IP. Si el servidor tiene su ip en teaming con ip 192.168.111.20, las SCSI estan en el rango 192.168.200.x
He reiniciado netlogon, pero no solventa el problema.
No se si tendrá que ver, o servirá como pista, pero en los eventos de DNS Server, indica lo siguiente:
El servidor DNS está esperando a que los Servicios de dominio de Active Directory (AD DS) señalen que se ha completado la sincronización inicial del directorio. El servicio del servidor DNS no puede iniciarse hasta que se haya completado la sincronización inicial porque es posible que todavía no se hayan replicado en este controlador de dominio algunos datos de DNS críticos. Si los eventos del registro de eventos de AD DS indican que hay un problema con la resolución de nombres DNS, puede agregar la dirección IP de otro servidor DNS para este dominio a la lista de servidores DNS en las propiedades de protocolo de Internet de este equipo. Este evento se registrará cada dos minutos hasta que AD DS haya señalado que la sincronización inicial se ha completado correctamente.
Origen:DNS-Server-Service
ID: 4013
Nivel: advertencia
Luego, revisando atras en el tiempo, los eventos son los mismos: Informacion, advertencia, error. Los adjunto:
Evento 1869, active directory domain service:
Los Servicios de dominio de Active Directory localizaron un catálogo global en el siguiente sitio.
Catálogo global:
\\xxx.xxx.com
Sitio:
Default-First-Site-NameEvento 1655, Active directory domain service:
Los Servicios de dominio de Active Directory intentaron comunicarse con el siguiente catálogo global y los intentos resultaron incorrectos.
Catálogo global:
\\xxx.xxx.com
Es posible que la operación en curso no pueda continuar. Los Servicios de dominio de Active Directory usarán el ubicador del controlador de dominio para intentar encontrar un servidor de catálogo global disponible.
Datos adicionales
Valor de error:
1722 El servidor RPC no está disponible.Y finalmente, error:
Evento 1126, active directory domain service
Los Servicios de dominio de Active Directory no pudieron establecer una conexión con el catálogo global.
Datos adicionales
Valor de error:
1355 El dominio especificado no existe o no se pudo poner en contacto con él.
Identificador interno:
3200daf
Acción del usuario:
Asegúrese de que haya un catálogo global disponible en el bosque y de que pueda obtenerse acceso a él desde este controlador de dominio. Puede usar la utilidad nltest para diagnosticar este problema.No se si con esto te facilito alguna pista más...
-
Voy por partes siguiendo el orden de tu respuesta
Con el NSLOOKUP ¿resuelve sólo la dirección 192.168.111.20? ¿o también alguna de las iscsi?
Si repites con el NSLOOKUP ¿siempre es esa única dirección?
Revisa en la zona DNS si en algún lugar está registrada la interfaz iscsi, y confirma si así fuera ya que sería lo que hace por omisión
El error que el "DNS está esperando ..." es normal recibirlo luego de un reinicio porque al estar la zona integrada en AD, hasta que este levante no hay forma que el DNS pueda cargar las zonas
Revisa y confirma que esté marcada la opción de Catálogo Global en AD Sites and Services. En todo caso para estar seguro: desmarca, aplica, marca, y aplica
Algo más que se me ocurre ¿hay algún antivirus además del propio? lo mismo por alguna aplicación que pueda estar trabajando como cortafuegos
También comenta si hay alguna aplicación de acceso/control remoto
Guillermo Delprato
MCSE - MCSA2012
Buenos Aires, Argentina
El Blog de los paso a paso
MCITP: Enterprise Administrator / Server Administrator
MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration
Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
-
Buenos días,
NSLOOKUP solo resuelve la 192.168.111.20, no toca las SCSI ip
Si repito el NSlookup siempre da esa dirección, si.
He revisado el administrador de DNS carpeta a carpeta, y no hay rastro a las ip´s SCSI.
He desamarcado y aplicado, y marcado y aplicado de nuevo la casilla de catalogo global en active directory sites and services, y he reiniciado los servicios de dominio de active directory y sus servicios asociados.
Ahora me sale una gran cantidad de eventos de información, pero mayormente relacionados con el inicio de los servicios. Pero en general, tiene buena pinta.
El error era recurrente cada hora, voy a esperarme una hora, a ver si salen nuevas alertas, y con lo que sea, notifico aquí.
Anda que como sea que no había cogido bien la casilla de catálogo global, y la solución sea desmarcar y volver a marcar...
EDITO: No ha funcionado, se muestra el mismo evento de error 1126 de active directory domain service
Los Servicios de dominio de Active Directory no pudieron establecer una conexión con el catálogo global.
Datos adicionales
Valor de error:
8430 El servicio de directorio encontró un error interno.
Identificador interno:
3200daf
Acción del usuario:
Asegúrese de que haya un catálogo global disponible en el bosque y de que pueda obtenerse acceso a él desde este controlador de dominio. Puede usar la utilidad nltest para diagnosticar este problema.Lo curioso es que 2 segundos antes del error, sale este evento informativo:
evento 1869, active directory domain service
Los Servicios de dominio de Active Directory localizaron un catálogo global en el siguiente sitio.
Catálogo global:
\\xxx.xxx.com
Sitio:
Default-First-Site-NameHago un get-ADforest y me muestra esto:
PS C:\Users\Administrador> get-ADforest
ApplicationPartitions : {DC=ForestDnsZones,DC=xxx,DC=com, DC=DomainDnsZones,DC=xxx,DC=com}
CrossForestReferences : {}
DomainNamingMaster : xxx.xxx.com
Domains : {xxx.com}
ForestMode : Windows2012Forest
GlobalCatalogs : {xxx.xxx.com}
Name : xxx.com
PartitionsContainer : CN=Partitions,CN=Configuration,DC=XXX,DC=com
RootDomain : xxx.com
SchemaMaster : xxx.xxx.com
Sites : {Default-First-Site-Name}
SPNSuffixes : {}
UPNSuffixes : {}PS C:\Users\Administrador>Asi que curiosamente, está perfectamente identificado dónde esta el global catalog
- Editado Raul.Arias martes, 6 de noviembre de 2018 8:59
- Editado Guillermo Delprato []Moderator martes, 6 de noviembre de 2018 15:34 Ocultar nombre real
-
Muy muy raro el tema :) o por lo menos nunca lo había visto
Algo que pregunté anteriormente ¿hay algún antivirus o cortafuegos no incluido instalado? porque es lo único que me queda
Una más, con NSLOOKUP, dentro del comando, se puede seleccionar el tipo de servicio, consulta "seteando" los registros SRV a ver si devuelve los del Catalogo Global
Voy a editar tu mensaje porque en un lugar quedó el nombre real, o eso creo, van a ser "XXX"
Guillermo Delprato
MCSE - MCSA2012
Buenos Aires, Argentina
El Blog de los paso a paso
MCITP: Enterprise Administrator / Server Administrator
MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration
Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
-
Gracias por la edición del mensaje...con tanto copypaste de las pruebas, se me pasaría en algún sitio el nombre del servidor
Se me pasó responderte a lo del AV. No, en este equipo no hay AV, ni siquiera Windows Defender. Está por implementarse con SCCM.
No veo mucha ayuda en nslookup... Podrías indicarme qué comando lanzar para ver lo que me indicas?
-
Se está poniendo interesante :)
A ver, investiguemos
- Desde un CMD "ejecutado como administrador"
NETSTAT -a -n -p tcp (cuidado que es sensible a mayúsculas o minúsculas algunos de estos comandos
Debe aparecer que está "LISTENING" en el puerto TCP:3268 que es donde "atiende" el Global Catalog- Desde el mismo CMD
NSLOOKUP (Enter)
set type=srv
_gc._msdcs.DOMINIO.SUFIJO- También desde Ejecutar y como administrador, ejecuta LDP (cuidado con esta aplicación que muy poderosa y casi desconocida) :)
Connections / Connect: ingresar el nombre del servidor, verificar que el puerto sea el 389, y no esté marcada ninguna otra opción. Ok
Debe aparecer "isGlobalCatalogReade: TRUE;"A ver qué resultados dan estos comandos
Guillermo Delprato
MCSE - MCSA2012
Buenos Aires, Argentina
El Blog de los paso a paso
MCITP: Enterprise Administrator / Server Administrator
MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration
Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
- Editado Guillermo Delprato []Moderator miércoles, 7 de noviembre de 2018 12:23
-
Ok, el 3268 está en Listening
Con el NSlookup, el comando _gc._msdcs.xxx.com me indica non existent domain. He probado con guion bajo, sin guion bajo, con punto, sin punto, agregando el nombre del servidor delante del dominio.sufijo, y siempre la misma respuesta.
Cuando ejecuto ldp.exe y en connetions introduzco el nombre del servidor, entre los mil campos que aparecen, y dentro de Dn: (RootDSE), se encuentra isGlobalCatalogReady: TRUE;
Por el resultado del NSLOOKUP, tiene pinta de que debe faltar "algo", algún registro, en la administración del DNS...puede ser?
-
Hola Raul.Arias, ya se puede aclarar algo :)
Si el LDP muestra "isGlobalCatalogReadey: TRUE" entonces confirmamos que es Global Catalog
Pero si el NSLOOKUP no resuelve el nombre, tal cual como puse antes, entonces ahí está el tema
El problema está en DNS, ya sea porque no está registrado correctamente, o hay algo cerrando el puerto TCP que usa el GC
Revisa primero que las registraciones GC estén apuntando al nombre del servidor correcto
El que puede dar la mejor pista es el NETSTAT que puse antes, para ver si está escuchando en TCP-3268
[Edito] Recién ahora me doy cuenta que pones que el TCP-3268 está en escucha. Así que hay que centrarse en la resolución DNS
Guillermo Delprato
MCSE - MCSA2012
Buenos Aires, Argentina
El Blog de los paso a paso
MCITP: Enterprise Administrator / Server Administrator
MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration
Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
- Editado Guillermo Delprato []Moderator jueves, 8 de noviembre de 2018 10:39
-
He tenido que apagar el servidor por motivos técnicos (el módulo caché, que tocaba reemplazar la batería), y desde el inicio, ni un solo fallo en los servicios.
Es muy frustrante! Tiene pinta de que alguna de las soluciones previas, quizá el desmarcado y remarcado del global catalog en sites and services, pudo haber solventado el problema, pero no aplicaría bien hasta el reinicio completo del servidor, y no solo de sus servicios.
De todas formas, como los registros de evento se toman su tiempo, vamos a esperar 24 horas antes de dar esto por solventado, que no me fio. A veces, la informática parece que tenga un componente de brujería!
-
Ja ja ja, a veces aparenta brujería, pero luego si uno se toma el tiempo de pensar suele encontrar el motivo. En tu caso quizás y si se soluciona con el reinicio, puede ser por ejemplo por información "cacheada"
Hace años yo dictaba un curso donde también aparecía brujería. Sin entrar en detalles: 3 redes y dos VPNs interconectando, objeto PING entre dos máquinas en los extremos
El primer PING no respondía
El segundo PING funcionaba perfecto
El tercer PING y siguientes ya no funcionaba másSi el segundo funcionaba ¿por qué el primero no? y ¿qué hacía que luego no funcionara más?
El primero era un "timeout" por el hecho de tener que levantar 2 VPNs, el segundo estado las VPNs conectabas funcionaba, pero luego en lugar de usar la IP local utilizaba la de la VPN y dejaba de funcionar :D
Guillermo Delprato
MCSE - MCSA2012
Buenos Aires, Argentina
El Blog de los paso a paso
MCITP: Enterprise Administrator / Server Administrator
MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration
Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
-
Pues después de un fin de semana de por medio y con suficientes registros de evento en distintas partes, te confirmo que todo está funcionando perfectamente. "Algo" de todo lo que hemos hecho lo dejó solventado, pero puede ser lo que dices, que tuviera algo por ahí cacheado, y hasta un reinicio completo, no ha corregido el funcionamiento.
Muchas gracias!
-
Me alegro se solucionara
Seguramente era que el sistema necesitaba el descanso de fin de semana Ja ja ja
Guillermo Delprato
MCSE - MCSA2012
Buenos Aires, Argentina
El Blog de los paso a paso
MCITP: Enterprise Administrator / Server Administrator
MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration
Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
-
Hola, un año despues tengo un problema muy parecido a este:
Los Servicios de dominio de Active Directory no pudieron establecer una conexión con el catálogo global.
Tengo dos controladores de dominio, uno primario y uno secundario, el catalogo global esta en el secundario. Las PC de una pequeña red local cambiaron las IP por unas que nada tienen k ver con las que debe distribuir el DHCP y ni idea de porque pasa, lo unico k encontre cachareando un poco fue el error antes mencionado, le asigne direcciones IP fijas a las PC y todo funciona bien aparentemente.
Saludos