none
Problemas de replicacion con Windows 2003 RRS feed

  • Pregunta

  • Chequeando los mensajes del Visor de Sucesos, encuentro muchos errores y creo que es por un tema de replicación pero no estoy seguro. Espero puedan ayudarme.

    Tengo estos 4 mensajes:

    1. En System, repetidas veces me da el Event 4 Source Kerberos: The kerberos client received a KRB_AP_ERR_MODIFIED error from the server ... This indicates that the password used to encrypt the kerberos service ticket is different than that on the target server. Commonly, this is due to identically named  machine accounts in the target realm (***.COM), and the client realm.   Please contact your system administrator.

    2. En Directory Service, todos los días el Event 2089 Source NTDS Replication: This directory partition has not been backed up since at least the following number of days.
    Directory partition:
    DC=DomainDnsZones,DC=***,DC=com
    'Backup latency interval' (days):
    30
    It is recommended that you take a backup as often as possible to recover from accidental loss of data. However if you haven't taken a backup since at least the 'backup latency interval' number of days, this message will be logged every day until a backup is taken. You can take a backup of any replica that holds this partition.
    By default the 'Backup latency interval' is set to half the 'Tombstone Lifetime Interval'. If you want to change the default 'Backup latency interval', you could do so by adding the following registry key.
    'Backup latency interval' (days) registry key:
    System\CurrentControlSet\Services\NTDS\Parameters\Backup Latency Threshold (days)

    3. En Directory Service, evento 1864 Source NTDS Replication: This is the replication status for the following directory partition on the local domain controller.
    Directory partition:
    DC=DomainDnsZones,DC=***,DC=com
    The local domain controller has not recently received replication information from a number of domain controllers.   The count of domain controllers is shown, divided into the following intervals.
    More than 24 hours:
    1
    More than a week:
    1
    More than one month:
    1
    More than two months:
    1
    More than a tombstone lifetime:
    1
    Tombstone lifetime (days):
    60
     Domain controllers that do not replicate in a timely manner may encounter errors. It may miss password changes and be unable to authenticate. A DC that has not replicated in a tombstone lifetime may have missed the deletion of some objects, and may be automatically blocked from future replication until it is reconciled.
     
    To identify the domain controllers by name, install the support tools included on the installation  CD and run dcdiag.exe.
    You can also use the support tool repadmin.exe to display the replication latencies of the domain controllers in the forest.   The command is "repadmin /showvector /latency <partition-dn>".

    4. En Application, Event 13 Source AutoEnrollment: Automatic certificate enrollment for local system failed to enroll for one Domain Controller certificate (0x80070005).  Access is denied.

     

    E puesto estos 4 mensajes porque creo son los más significantes.

    La red tiene dos sitios establecidos, la sede principal tiene 2 dc win2003 de 64 bits y la sucursal tiene 1 dc de 32 bits.

    Cualquier otro dato que requiera por favor hágamelo saber.

    lunes, 20 de septiembre de 2010 16:34

Respuestas

  • No, no es "curioso" tener un servici adicional en un DC, y menos que menos un antivirus que a veces se creen que saben más que todos. Es una configuración *no recomendada* :-)

    Un DC conviene que tenga DNS (por la integración) si quieres DHCP y WINS, y se acabó: ni IIS, ni dos placas, ni (completa con lo que quieras)

    El evento 2089, efectivamente, "te está retando" porque no haces backup :-)
    Nada nada nada reemplaza a un backup, aunque tengas tolerancia a fallas por tener dos DCs, nunca sabes cuándo borras algo por error y no tienes de dónde recuperarlo.

    Y además para tener en cuenta con los antivirus
    Virus scanning recommendations for Enterprise computers that are running currently supported versions of Windows:
    http://support.microsoft.com/kb/822158/en-us

     


    Guillermo Delprato - Buenos Aires, Argentina
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    • Marcado como respuesta diegocaccire lunes, 27 de septiembre de 2010 19:10
    viernes, 24 de septiembre de 2010 21:40
    Moderador

Todas las respuestas

  • Buenas Diego,

    tal como te muestra la ayuda deverías mediante las herramientas de comandos dcdiag, netdiag y repadmin, comprobar los errores de replicaciones que tienes en tu equipo.

    Yo primero testearía que la replicacion en la sede principal fuera correcta, es decir que los dos DC´s tuvieran sincronizados los datos.

    Luego comprobaría que servidor es el cabeza de estos dos hacia la sucursal y testearía si hay comunicacion, si el trafico RPC es correcto...

    Tambien te aconsejo que compruebes los roles del dominio si no hay ningun problema, y por ultimo te lanzo una pregunta:

    -¿No habreis quitado algun tercer DC de la red, sin traspasar correctamente los roles y darlo de baja correctamente?

    Saludos.


    MCSE Formador y Consultor Microsoft.
    miércoles, 22 de septiembre de 2010 13:30
  • En realidad yo acabo de llegar a esta network, haciendo las consultas me comentan que hubo una despromoción fallida pero ya limpie la bd del ad con el ntds y el mmc sites and services. Voy a seguir chequeando los dcdiag y netdiag.

    También e visto en el mmc "Sites and services" que hay varios sitios pero no en todos hay dc. No creo que el tener sites sin dc genere problemas no?

    miércoles, 22 de septiembre de 2010 23:01
  • El tener Sites sin DCs sólo indica un mal diseño, de modo que deberían eliminarse esos Sites, si no se puede asociar un DC a ellos, y asociar las Subnets (si están creadas, que deberían) a los Sites existentes.
    Saludos,

    Marc
    MCSA/MCSE 2003
    MCITP: Enterprise Administrator (Windows Server 2008)
    MCITP: Enterprise Messaging Administrator (Microsoft Exchange 2007)
    Citrix CCA
    jueves, 23 de septiembre de 2010 7:38
    Moderador
  • Buenas como dice Marc deberías organizar correctamente tu site pero me parece que el problema principal se debe estar dando en que aunque hayas eliminado los datos del controlador de dominio que no se pudo despromover, no habras eliminado la replicacion en "sitios y servicio de AD" entre los actuales controladores de dominio y este y por eso da los mensajes de error.

    Te recomendaría tambien que revisaras que los 5 roles de dominio esten correctamente asignados a los DC que tu designes  o a un solo controlador de dominio, el principal.

    E igualmente los 2 roles a nivel de bosque esten correctamente asignados.

    Saludos.


    MCSE Formador y Consultor Microsoft.
    jueves, 23 de septiembre de 2010 7:56
  • Hola Marc ¿puedo agregar algo?

    En realidad, según lo que yo sé, tener definido un Site que no contiene DCs no es un error.
    Va a suceder que un DC, el que tenga el costo de Site Link más bajo se ocupará del Site en cuestión.
    Entonces puedo hacer que un sitio que no tiene DC, utilice uno en particular.

    De todas formas habría que ver esa red cómo es en realidad, porque sí podría ser un error

    Un enlace de interés: Finding a Domain Controller in the Closest Site:
    http://technet.microsoft.com/en-us/library/cc978016.aspx

    Y haciendo una búsqueda con "domain controller site coverage" hay mucho... ;-)

     


    Guillermo Delprato - Buenos Aires, Argentina
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    jueves, 23 de septiembre de 2010 18:54
    Moderador
  • Guillermo, siempre son bienvenidas tus aportaciones :)

    Como dices, quizás no es un error aunque conceptualmente, siempre he entendido que los sites deberían representar la estructura física del dominio al cual pertenecen los DCs del mismo. En contadísimos casos le vería utilidad el crear un Site y no asociarle un DC.

    Y, también como apuntas, se debería ver esa red antes nada y, en base a esos datos, orientar la(s) respuesta(s)


    Saludos,

    Marc
    MCSA/MCSE 2003
    MCITP: Enterprise Administrator (Windows Server 2008)
    MCITP: Enterprise Messaging Administrator (Microsoft Exchange 2007)
    Citrix CCA
    viernes, 24 de septiembre de 2010 14:21
    Moderador
  • :-)

    Sólo para situaciones específicas por supuesto

    Tengo que hacerme un poco de tiempo y ver si puedo hacer una nota con el tema de los Sites, Links y Subnets

     


    Guillermo Delprato - Buenos Aires, Argentina
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    viernes, 24 de septiembre de 2010 18:05
    Moderador
  • Paso a comentarles un poco como es acá la red. Existen dos subredes principales  que tienen su site correspondientes con dc cada uno. Por necesidades de la organización se tenía que conectar a la red 5 ubicaciones distantes adicionales pero cada uno de estos tienen solamente 3 o 4 computadoras, es más me parece que uno de estas ubicaciones tiene apenas 1 computadora en su pequeña red. Bueno, obviamente poner un dc en cada nuevo sitio no era un requerimiento, se optó por crear sites sin dc y "jugar" un poco con el costo de cada site link para que tengan acceso al dc más cercano.

    Deacuerdo a esto, no sería recomendable eliminar esos sites ya que apuntan a subredes que se estan usando actualmente.

    Como dato curioso les comento, el dc actual aloja el kaspersky lab administration kit y creo que por ahí va los errores que saltan en el event viewer. Pienso esto pues acabo de mudar el kaspersky a un servidor mienbro y magicamente desde el momento que lo hice en este nuevo server aparece el mensaje de Kerberos que postee al inicio. Tengo entendido que para un dc es preferible que no maneje otros servicios, más aún siendo servicios no Microsoft.

    Los dos errores de NTDS Replication tienen que ver con que no se a hecho un backup del sistema nunca ? eso es lo que interpreto. Y el último mensaje de Autoenrollment no tengo idea a que se refiere pero imagino que no es algo crítico puesto que todo funciona correctamente.

     Ps. Estimado Guillermo estaré atento acerca de la nota que mencionas. =)

    viernes, 24 de septiembre de 2010 20:54
  • No, no es "curioso" tener un servici adicional en un DC, y menos que menos un antivirus que a veces se creen que saben más que todos. Es una configuración *no recomendada* :-)

    Un DC conviene que tenga DNS (por la integración) si quieres DHCP y WINS, y se acabó: ni IIS, ni dos placas, ni (completa con lo que quieras)

    El evento 2089, efectivamente, "te está retando" porque no haces backup :-)
    Nada nada nada reemplaza a un backup, aunque tengas tolerancia a fallas por tener dos DCs, nunca sabes cuándo borras algo por error y no tienes de dónde recuperarlo.

    Y además para tener en cuenta con los antivirus
    Virus scanning recommendations for Enterprise computers that are running currently supported versions of Windows:
    http://support.microsoft.com/kb/822158/en-us

     


    Guillermo Delprato - Buenos Aires, Argentina
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    • Marcado como respuesta diegocaccire lunes, 27 de septiembre de 2010 19:10
    viernes, 24 de septiembre de 2010 21:40
    Moderador
  • Gracias por tu respuesta Guillermo, tan pronto como sea posible mudaré el Kaspersky completamente a un server mienbro y programaré una tarea para el backup.

    Gracias

    lunes, 27 de septiembre de 2010 17:12