none
Los Servicios de dominio de Active Directory no pudieron establecer una conexión con el catálogo global. RRS feed

  • Pregunta

  • Buenos días,

    Me aparece un error relacionado con AD en referencia a que no se puede establecer conexión con el catálogo global.

    EL servidor es DC, y también soporta DNS. No es DHCP server.

    He revisado que estén compartidas sysvol y netlogon, DNS no da errores,  aunque tengo un event ID 4013 que indica esto:

    El servidor DNS está esperando a que los Servicios de dominio de Active Directory (AD DS) señalen que se ha completado la sincronización inicial del directorio. El servicio del servidor DNS no puede iniciarse hasta que se haya completado la sincronización inicial porque es posible que todavía no se hayan replicado en este controlador de dominio algunos datos de DNS críticos. Si los eventos del registro de eventos de AD DS indican que hay un problema con la resolución de nombres DNS, puede agregar la dirección IP de otro servidor DNS para este dominio a la lista de servidores DNS en las propiedades de protocolo de Internet de este equipo. Este evento se registrará cada dos minutos hasta que AD DS haya señalado que la sincronización inicial se ha completado correctamente.

    No hay ningún problema aparente con la configuración DNS. Si hago un dcdiag /e /c /v /s:nombredelservidor, todas las pruebas las pasa

    Con un repadmin /syncall /d /e indica que termina syncall correctamente

    un netdom query fsmo muestra que todos los servicios está nen el DC

    Sitios y Servicios de directorio activo solo me muestra el default first site name con 1 servidor, él mismo, y en los ntds settings está marcado como catálogo global.

    También me da una advertencia, 

    Los Servicios de dominio de Active Directory intentaron comunicarse con el siguiente catálogo global y los intentos resultaron incorrectos.
     
    Catálogo global:
    \\xxxx.xxx.com
     
    Es posible que la operación en curso no pueda continuar. Los Servicios de dominio de Active Directory usarán el ubicador del controlador de dominio para intentar encontrar un servidor de catálogo global disponible.
     
    Datos adicionales
    Valor de error:
    1722 El servidor RPC no está disponible

    Por favor, pueden echarme un cable?


    • Editado Raul.Arias miércoles, 31 de octubre de 2018 8:53
    miércoles, 31 de octubre de 2018 8:52

Respuestas

  • Revisa el siguiente enlace a ver si alguna de las soluciones funciona. Manéjate con criterior porque no es un sitio oficial, suelen haber respuestas buenas, pero no siempre

    http://eventid.net/display-eventid-1126-source-NTDS+General-eventno-656-phase-1.htm

    Es muy raro, o por lo menos yo nunca lo había visto :)

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Marcado como respuesta Raul.Arias miércoles, 31 de octubre de 2018 14:43
    miércoles, 31 de octubre de 2018 14:37
    Moderador

Todas las respuestas

  • Hola Raul.Arias, algunas preguntas para tener más datos para investigar el problema

    - ¿Es el único Controlador de Dominio en el Dominio? ¿O hay más?

    - En la consola DNS ¿está registrado como Catálogo Global? Debe estar en dos lugares: "_mstsc.dominio.sufijo.gc" y "mstsc.dominio.sufijo.gc._sites.default-first-site._tcp

    - Cuando pones un ID de error, no olvides poner además el "Source" (Origen) porque de otra forma no es posible identificarlo. Los IDs se repiten y tienen diferente significado

    - El RPC no disponible, es algo totalmente genérico, es simplemente algo así como "no puedo conectar"

    - ¿Qué DNS está apuntando el servidor? ¿Sólo a sí mismo? ¿o a otro aunque sea como alternativo?

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.


    miércoles, 31 de octubre de 2018 11:00
    Moderador
  • Buenos días Guillermo, 

    Gracias por la respuesta, voy respondiendo a tus cuestiones:

    - Es el único Controlador de Dominio.

    - Creo que está correctamente registrado en DNS, adjunto una captura:

    - Adjunto más datos sobre el error, que es proveniente de Active directory domain service:

    - System
    - Provider
    [ Name] Microsoft-Windows-ActiveDirectory_DomainService
    [ Guid] {0e8478c5-3605-4e8c-8497-1e730c959516}
    [ EventSourceName] NTDS General
    - EventID 1126
    [ Qualifiers] 49152
    Version 0
    Level 2
    Task 18
    Opcode 0
    Keywords 0x8080000000000000
    - TimeCreated
    [ SystemTime] 2018-10-31T08:24:59.066968500Z
    EventRecordID 48195
    Correlation
    - Execution
    [ ProcessID] 660
    [ ThreadID] 31360
    Channel Directory Service
    Computer xxx.xxx.com
    - Security
    [ UserID] S-1-5-7
    - EventData
    3200daf
    8430
    El servicio de directorio encontró un error interno.


    - El DNS del servidor apunta a sí mismo, no tiene servidor DNS alternativo configurado

    miércoles, 31 de octubre de 2018 11:17
  • Revisa el siguiente enlace a ver si alguna de las soluciones funciona. Manéjate con criterior porque no es un sitio oficial, suelen haber respuestas buenas, pero no siempre

    http://eventid.net/display-eventid-1126-source-NTDS+General-eventno-656-phase-1.htm

    Es muy raro, o por lo menos yo nunca lo había visto :)

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Marcado como respuesta Raul.Arias miércoles, 31 de octubre de 2018 14:43
    miércoles, 31 de octubre de 2018 14:37
    Moderador
  • Gracias! Le he echado un ojo, lamentablemente las respuestas son un poco antiguas (ultimamente cuesta encontrar info de servidores modernos, pocas soluciones se encuentran de Server 2012 en adelante).

    Por suerte, aunque el visor de eventos muestra los errores, no aprecio problemas derivados del aviso en AD... en fin, si encuentro la solucion, la postearé.

    Un saludo,

    miércoles, 31 de octubre de 2018 14:46
  • Descuento que hay conectividad por PING desde otras máquinas ¿si?

    Probando con NSLOOKUP ¿resuelve bien?

    ¿Tiene una única interfaz ese servidor? ¿una única IP?

    Si reinicias el servicio NETLOGON ¿no se soluciona?

    Si nada de lo anterior funciona creo que lo mejor es buscar en los eventos algún error anterior que luego produzca el problema de GC

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    miércoles, 31 de octubre de 2018 21:15
    Moderador
  • Buenos dias Guillermo,

    NSLOOKUP me da esto:

    C:\>nslookup xxx.xxx.com
    Servidor:  UnKnown
    Address:  192.168.111.20

    Nombre:  xxx.xxx.com
    Address:  192.168.111.20

    Disculpa las "xxx". Si, me resuelve bien.

    Tiene otra interfaz de IP, ya que tiene 2 conexiones SCSI en otro rango de IP. Si el servidor tiene su ip en teaming con ip 192.168.111.20, las SCSI estan en el rango 192.168.200.x

    He reiniciado netlogon, pero no solventa el problema.

    No se si tendrá que ver, o servirá como pista, pero en los eventos de DNS Server, indica lo siguiente:

    El servidor DNS está esperando a que los Servicios de dominio de Active Directory (AD DS) señalen que se ha completado la sincronización inicial del directorio. El servicio del servidor DNS no puede iniciarse hasta que se haya completado la sincronización inicial porque es posible que todavía no se hayan replicado en este controlador de dominio algunos datos de DNS críticos. Si los eventos del registro de eventos de AD DS indican que hay un problema con la resolución de nombres DNS, puede agregar la dirección IP de otro servidor DNS para este dominio a la lista de servidores DNS en las propiedades de protocolo de Internet de este equipo. Este evento se registrará cada dos minutos hasta que AD DS haya señalado que la sincronización inicial se ha completado correctamente.

    Origen:DNS-Server-Service

    ID: 4013

    Nivel: advertencia

    Luego, revisando atras en el tiempo, los eventos son los mismos: Informacion, advertencia, error. Los adjunto:

    Evento 1869, active directory domain service:

    Los Servicios de dominio de Active Directory localizaron un catálogo global en el siguiente sitio. 
     
    Catálogo global:
    \\xxx.xxx.com 
    Sitio:
    Default-First-Site-Name

    Evento 1655, Active directory domain service:

    Los Servicios de dominio de Active Directory intentaron comunicarse con el siguiente catálogo global y los intentos resultaron incorrectos. 
     
    Catálogo global:
    \\xxx.xxx.com 
     
    Es posible que la operación en curso no pueda continuar. Los Servicios de dominio de Active Directory usarán el ubicador del controlador de dominio para intentar encontrar un servidor de catálogo global disponible. 
     
    Datos adicionales 
    Valor de error:
    1722 El servidor RPC no está disponible.

    Y finalmente, error:

    Evento 1126, active directory domain service

    Los Servicios de dominio de Active Directory no pudieron establecer una conexión con el catálogo global. 
     
    Datos adicionales 
    Valor de error:
    1355 El dominio especificado no existe o no se pudo poner en contacto con él. 
    Identificador interno:
    3200daf 
     
    Acción del usuario: 
    Asegúrese de que haya un catálogo global disponible en el bosque y de que pueda obtenerse acceso a él desde este controlador de dominio. Puede usar la utilidad nltest para diagnosticar este problema.

    No se si con esto te facilito alguna pista más...

    lunes, 5 de noviembre de 2018 8:35
  • Voy por partes siguiendo el orden de tu respuesta

    Con el NSLOOKUP ¿resuelve sólo la dirección 192.168.111.20? ¿o también alguna de las iscsi?

    Si repites con el NSLOOKUP ¿siempre es esa única dirección?

    Revisa en la zona DNS si en algún lugar está registrada la interfaz iscsi, y confirma si así fuera ya que sería lo que hace por omisión

    El error que el "DNS está esperando ..." es normal recibirlo luego de un reinicio porque al estar la zona integrada en AD, hasta que este levante no hay forma que el DNS pueda cargar las zonas

    Revisa y confirma que esté marcada la opción de Catálogo Global en AD Sites and Services. En todo caso para estar seguro: desmarca, aplica, marca, y aplica

    Algo más que se me ocurre ¿hay algún antivirus además del propio? lo mismo por alguna aplicación que pueda estar trabajando como cortafuegos

    También comenta si hay alguna aplicación de acceso/control remoto

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    lunes, 5 de noviembre de 2018 11:30
    Moderador
  • Buenos días,

    NSLOOKUP solo resuelve la 192.168.111.20, no toca las SCSI ip

    Si repito el NSlookup siempre da esa dirección, si.

    He revisado el administrador de DNS carpeta a carpeta, y no hay rastro a las ip´s SCSI.

    He desamarcado y aplicado, y marcado y aplicado de nuevo la casilla de catalogo global en active directory sites and services, y he reiniciado los servicios de dominio de active directory y sus servicios asociados.

    Ahora me sale una gran cantidad de eventos de información, pero mayormente relacionados con el inicio de los servicios. Pero en general, tiene buena pinta. 

    El error era recurrente cada hora, voy a esperarme una hora, a ver si salen nuevas alertas, y con lo que sea, notifico aquí.

    Anda que como sea que no había cogido bien la casilla de catálogo global, y la solución sea desmarcar y volver a marcar...

    EDITO: No ha funcionado, se muestra el mismo evento de error 1126 de active directory domain service

    Los Servicios de dominio de Active Directory no pudieron establecer una conexión con el catálogo global.
     
    Datos adicionales
    Valor de error:
    8430 El servicio de directorio encontró un error interno.
    Identificador interno:
    3200daf
     
    Acción del usuario:
    Asegúrese de que haya un catálogo global disponible en el bosque y de que pueda obtenerse acceso a él desde este controlador de dominio. Puede usar la utilidad nltest para diagnosticar este problema.

    Lo curioso es que 2 segundos antes del error, sale este evento informativo:

    evento 1869, active directory domain service

    Los Servicios de dominio de Active Directory localizaron un catálogo global en el siguiente sitio.
     
    Catálogo global:
    \\xxx.xxx.com
    Sitio:
    Default-First-Site-Name

    Hago un get-ADforest y me muestra esto:

    PS C:\Users\Administrador> get-ADforest

    ApplicationPartitions : {DC=ForestDnsZones,DC=xxx,DC=com, DC=DomainDnsZones,DC=xxx,DC=com}
    CrossForestReferences : {}
    DomainNamingMaster    : xxx.xxx.com
    Domains               : {xxx.com}
    ForestMode            : Windows2012Forest
    GlobalCatalogs        : {xxx.xxx.com}
    Name                  : xxx.com
    PartitionsContainer   : CN=Partitions,CN=Configuration,DC=XXX,DC=com
    RootDomain            : xxx.com
    SchemaMaster          : xxx.xxx.com
    Sites                 : {Default-First-Site-Name}
    SPNSuffixes           : {}
    UPNSuffixes           : {}
    PS C:\Users\Administrador>

    Asi que curiosamente, está perfectamente identificado dónde esta el global catalog


    martes, 6 de noviembre de 2018 7:51
  • Muy muy raro el tema :) o por lo menos nunca lo había visto

    Algo que pregunté anteriormente ¿hay algún antivirus o cortafuegos no incluido instalado? porque es lo único que me queda

    Una más, con NSLOOKUP, dentro del comando, se puede seleccionar el tipo de servicio, consulta "seteando" los registros SRV a ver si devuelve los del Catalogo Global

    Voy a editar tu mensaje porque en un lugar quedó el nombre real, o eso creo, van a ser "XXX"

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    martes, 6 de noviembre de 2018 15:33
    Moderador
  • Gracias por la edición del mensaje...con tanto copypaste de las pruebas, se me pasaría en algún sitio el nombre del servidor

    Se me pasó responderte a lo del AV. No, en este equipo no hay AV, ni siquiera Windows Defender. Está por implementarse con SCCM.

    No veo mucha ayuda en nslookup... Podrías indicarme qué comando lanzar para ver lo que me indicas?


    miércoles, 7 de noviembre de 2018 9:09
  • Se está poniendo interesante :)

    A ver, investiguemos

    - Desde un CMD "ejecutado como administrador"
    NETSTAT -a -n -p tcp (cuidado que es sensible a mayúsculas o minúsculas algunos de estos comandos
    Debe aparecer que está "LISTENING" en el puerto TCP:3268 que es donde "atiende" el Global Catalog

    - Desde el mismo CMD
    NSLOOKUP (Enter)
    set type=srv
    _gc._msdcs.DOMINIO.SUFIJO

    - También desde Ejecutar y como administrador, ejecuta LDP (cuidado con esta aplicación que muy poderosa y casi desconocida) :)
    Connections / Connect: ingresar el nombre del servidor, verificar que el puerto sea el 389, y no esté marcada ninguna otra opción. Ok
    Debe aparecer "isGlobalCatalogReade: TRUE;"

    A ver qué resultados dan estos comandos

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.


    miércoles, 7 de noviembre de 2018 12:22
    Moderador
  • Ok, el 3268 está en Listening

    Con el NSlookup, el comando _gc._msdcs.xxx.com me indica non existent domain. He probado con guion bajo, sin guion bajo, con punto, sin punto, agregando el nombre del servidor delante del dominio.sufijo, y siempre la misma respuesta.

    Cuando ejecuto ldp.exe y en connetions introduzco el nombre del servidor, entre los mil campos que aparecen, y dentro de Dn: (RootDSE), se encuentra isGlobalCatalogReady: TRUE;

    Por el resultado del NSLOOKUP, tiene pinta de que debe faltar "algo", algún registro, en la administración del DNS...puede ser?


    jueves, 8 de noviembre de 2018 10:26
  • Hola Raul.Arias, ya se puede aclarar algo :)

    Si el LDP muestra "isGlobalCatalogReadey: TRUE" entonces confirmamos que es Global Catalog

    Pero si el NSLOOKUP no resuelve el nombre, tal cual como puse antes, entonces ahí está el tema

    El problema está en DNS, ya sea porque no está registrado correctamente, o hay algo cerrando el puerto TCP que usa el GC

    Revisa primero que las registraciones GC estén apuntando al nombre del servidor correcto

    El que puede dar la mejor pista es el NETSTAT que puse antes, para ver si está escuchando en TCP-3268

    [Edito] Recién ahora me doy cuenta que pones que el TCP-3268 está en escucha. Así que hay que centrarse en la resolución DNS

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.


    jueves, 8 de noviembre de 2018 10:36
    Moderador
  • He tenido que apagar el servidor por motivos técnicos (el módulo caché, que tocaba reemplazar la batería), y desde el inicio, ni un solo fallo en los servicios. 

    Es muy frustrante! Tiene pinta de que alguna de las soluciones previas, quizá el desmarcado y remarcado del global catalog en sites and services, pudo haber solventado el problema, pero no aplicaría bien hasta el reinicio completo del servidor, y no solo de sus servicios.

    De todas formas, como los registros de evento se toman su tiempo, vamos a esperar 24 horas antes de dar esto por solventado, que no me fio. A veces, la informática parece que tenga un componente de brujería!

    jueves, 8 de noviembre de 2018 11:59
  • Ja ja ja, a veces aparenta brujería, pero luego si uno se toma el tiempo de pensar suele encontrar el motivo. En tu caso quizás y si se soluciona con el reinicio, puede ser por ejemplo por información "cacheada"

    Hace años yo dictaba un curso donde también aparecía brujería. Sin entrar en detalles: 3 redes y dos VPNs interconectando, objeto PING entre dos máquinas en los extremos

    El primer PING no respondía
    El segundo PING funcionaba perfecto
    El tercer PING y siguientes ya no funcionaba más

    Si el segundo funcionaba ¿por qué el primero no? y ¿qué hacía que luego no funcionara más?

    El primero era un "timeout" por el hecho de tener que levantar 2 VPNs, el segundo estado las VPNs conectabas funcionaba, pero luego en lugar de usar la IP local utilizaba la de la VPN y dejaba de funcionar :D

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    jueves, 8 de noviembre de 2018 12:42
    Moderador
  • Pues después de un fin de semana de por medio y con suficientes registros de evento en distintas partes, te confirmo que todo está funcionando perfectamente. "Algo" de todo lo que hemos hecho lo dejó solventado, pero puede ser lo que dices, que tuviera algo por ahí cacheado, y hasta un reinicio completo, no ha corregido el funcionamiento.

    Muchas gracias!

    lunes, 12 de noviembre de 2018 14:49
  • Me alegro se solucionara

    Seguramente era que el sistema necesitaba el descanso de fin de semana Ja ja ja

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    lunes, 12 de noviembre de 2018 17:25
    Moderador
  • Hola, un año despues tengo un problema muy parecido a este:

    Los Servicios de dominio de Active Directory no pudieron establecer una conexión con el catálogo global.

    Tengo dos controladores de dominio, uno primario y uno secundario, el catalogo global esta en el secundario. Las PC de una pequeña red local cambiaron las IP por unas que nada tienen k ver con las que debe distribuir el DHCP y ni idea de porque pasa, lo unico k encontre cachareando un poco fue el error antes mencionado, le asigne direcciones IP fijas a las PC y todo funciona bien aparentemente.

    Saludos

    viernes, 29 de noviembre de 2019 16:35