none
Directorio activo y DNS - DESESPERACION - RRS feed

  • Pregunta


  • Hola a todos,

    Hoy la mañana está siendo muy movidita y encima tiene pinta de que me va a llevar todo el día de hoy como mínimo para resolver la situación. Os pongo en el escenario.

    Esta mañana aparece mi DC que no puede levantar el servicio de DNS y da el siguiente error:

    error 14: Espacio de almacenamiento insuficiente para completar esta operacion

    Conseguí resolverlo reinstalando el servicio pero... vinieron más fallos.

    Pero ahora hay equipos que no entran en dominio y los que entran son los que anoche se quedaron encendidos.

    Si saco una maquina del dominio y la vuelvo a meter parece que funciona ,pero no navega por internet ( a pesar de resolver la dirección web por nslookup )y tampoco parece funcionar bien los directorios NFS.

    Es como si no hubiese una sincronización entre maquina y directorio activo.

    Si sirve de algo el NETDIAG y el DCDIAG no me sacan nada extraño y la configuración DNS del DC tiene bien puestos los reenviadores y las zonas de búsqueda.

    ¿Alguna ayuda?
    ¿Alguien me puede decir por donde mirar?


    jueves, 21 de agosto de 2008 12:48

Respuestas

  • Buenísimo que arreglaste el issue. Que puede ser es complejo, las pruebas con tra el DC eran necesarias, por mas que funcione bien. Si reinstalaste el servicio como comentas podes haber arreglado el problema ahi, con respecto a las pc´s, te comento que el cache no tiene nada que ver, ya que vos estas sacando de dominio una maquina y la volves a unir al mismo dominio, por lo tanto el cache queda igual, cuando cambias el sufijo DNS es cuando se hace el flush, ademas el nombre de maquina quedaba igual. Por todo esto apuntabamos directamente al DC.

     

    Ahora bien, con respecto a los parches hay uno en particular el MS08-037 que trae parches para los issues de DNS con respecto al Spooffing tanto por parte del Servidor como de los clientes:

     

    Microsoft Security Bulletin MS08-037 – Important
    Vulnerabilities in DNS Could Allow Spoofing (953230)

    http://www.microsoft.com/technet/security/Bulletin/ms08-037.mspx

     

    MS08-037 : More entropy for the DNS resolver

    http://blogs.technet.com/swi/archive/2008/07/08/ms08-037-more-entropy-in-the-dns-resolver.aspx

     

     

    Espero esto te sea de ayuda tambien.

     

    Saludos.

     

    Sebastian Clementoni.

    lunes, 25 de agosto de 2008 12:59

Todas las respuestas

  •  

    Hola,

    antes que nada, està creada la zona? estàn los registros SRV creados dentro la zona? Las Pc`s estàn registradas dentro de la zona DNS? Què eventos tienes en el event viewer? Tienes otro DC funcionando o es el único?

    Saludos,

    Mauro

     

    viernes, 22 de agosto de 2008 3:52
  • Hola Mauro,

     

    Todo lo que me comentas esta comprobado y no hay ningún fallo. A lo largo del día de ayer habían máquinas que no tenían los últimos parches debido a una desinstalación de los mismos de alguna forma no organizada y muchas máquinas volvieron a la normalidad despues de aplicar el sp3 de xp, pero otras siguen sin funcionarles demasiado bien el cliente dns y en algún caso fue completar todos los parches del sistema y funcionaron. Todo apunta a que el fallo es desinstalación de parches, pero lo que no hemos averiguado es que parches son los que han causado este desastre.

     

    ¿se te ocurre cual pudo ser?

    ¿alguien ha tenido una experiencia similar a la hora de desinstalar algún parche MS08-XXX? (sospecho que fue alguno de 2008)

     

    Gracias,

     

    viernes, 22 de agosto de 2008 10:46
  • Agarra un cliente ejecuta un netdiag podras postear el resultado ?

    En tu cliente ejecuta netdom query FSMO postea el output ?

    Si puedes postear el dcdiag y el netdiag del dc tambien seria de utilidad Smile

     

    Slds
    Sebastian del Rio

    viernes, 22 de agosto de 2008 11:05
    Moderador
  •  

    Hola,

     

    Cuantos DC tenes? Cuantos son DNS?

     

    En el DC que tenes el problema, en el event viewer ves eventos de sistema? podes postear ademas de lo que piden los chicos (DCDIAG, NETDOM y demas) los errores de sistema al momento que paso el problema, en los logs de DNS deberían aparecer eventos tambien. Otra cosa, puede que empieces a tener problemas de replicación si tenes mas de 1 DC y 1 solo DNS.

     

    Siguen shareados la carpeta de SYSVOL y NETLOGON?

     

    Saludos.

     

    Sebastian Clementoni.

     

    viernes, 22 de agosto de 2008 12:57
  •  

    Hola,

    Entonces lo que quieres decir es que el problema te sucede SOLO en éstas "máquinas que no tenían los últimos parches"? Es decir, notaste que las pc´s que SI funcionan tienen las últimas actualizaciones, pero en las que NO funciona se desinstalaron algúnas?

    Saludos!

    lunes, 25 de agosto de 2008 4:23
  • Buenos dias,

    El problema quizás va a pasar por que las máquinas clientes aún guardan información DNS en su caché.

    Entra en alguna máquina cliente. le vacias la caché IPCONFIG /FLUSHDNS. La vuelves a ingresar esa misma máquina en el DNS,   IPCONFIG /REGISTERDNS y nos dices si te ha resultado. Otra es comprobar el  si el DNS estaba antes ingresado en el directorio activo o no. También puedes montar un segundo DNS en otro server, apuntar un par de  máquinas  a esta dirección del nuevo server DNS. OJO, el segundo DNS hazlo como zona secundaria de la primaria existente.  Está bien registrado y creado el registro SOA??? esto también lo verás si creas un segundo server DNS si se crea bien y apunta a las máquinas. También mira de que los servers que no hayas reiniciado les hagas los mismos pasos de borrar su caché dns e ingresarlos con el REGISTERDNS en el dns nuevamente.

    Indicanos que resultados te da esto.

    Suerte, un saludo,
    lunes, 25 de agosto de 2008 9:31
  •  

    Agredezco a todos las respuestas que han dejado y el tiempo invertido, pero finalmente quedo todo resuelto.

     

    Como llegue a comentar el primer fallo paso con el DNS que fue reinstalado el servicio y funcionó perfectamente. De hecho equipos a los que no se les habia desinstalado ningun parche funcionaban perfectamente y el resto andaban mal que peor.

     

    Una premisa que teniamos clara es que el controlador de dominio que tambien hace de DNS funcionaba perfectamente.

     

    La solución en el resto de máquinas fue sacarlas de dominio, volverlas a meter y desplegar todos los parches que se habian desinstalado por error. En muchos casos el orden de estas acciones tuvo que variarse ya que tuvimos muchos problemas con los equipos con ips dinamicas.

     

    Más o menos he visto que todos mandaban respuestas para solucionar el fallo del DC pero del resto de máquinas no he visto casi nada y después de haber resuelto el error aun me sigo preguntando que desisntalacion de alguún parche MS08-XXX ha provocado que los equipos no sincronizasen bien con el DNS.

     

    ¿Aguién tiene alguna idea o teoría?

     

    Gracias

     

     

    lunes, 25 de agosto de 2008 11:27
  • Hola,

     

    Me alegro se te haya resuelto.

     

    La teoría está en lo que te comentaba antes. Has ingresado las máquinas nuevamente en el dominio por lo que se han ingresado una a una nuevamente en el DNS, refrescándose la caché de cada una de las máquinas.

     

    Realizando los pasos que indicaba de los comandos ipconfig /flushdns e ipconfig /registerdns habrías evitado tener que ingresarlas nuevamente ene l dominio que ya lo estaban.

     

    Como te comentaba me alegro se te haya resuelto y la teoria y explicación es la que te he comentado.

     

    Un saludo,

     

    Si esta respuesta te ha servidor, recomiéndala y marcala como válida.

     

    Gracias, un saludo

     

    lunes, 25 de agosto de 2008 11:40
  • Teorias millones : ) Tambien pudo haber sido un problema con el canal seguro por ejemplo ... cuestion sin datos vamos a hablar de un monton de conjeturas sin nada certero.

     

    Me alegro que tu incoveniente haya quedado solucionado Smile

     

     

    Slds
    Sebastian del Rio

     

    lunes, 25 de agosto de 2008 11:43
    Moderador
  • Buenísimo que arreglaste el issue. Que puede ser es complejo, las pruebas con tra el DC eran necesarias, por mas que funcione bien. Si reinstalaste el servicio como comentas podes haber arreglado el problema ahi, con respecto a las pc´s, te comento que el cache no tiene nada que ver, ya que vos estas sacando de dominio una maquina y la volves a unir al mismo dominio, por lo tanto el cache queda igual, cuando cambias el sufijo DNS es cuando se hace el flush, ademas el nombre de maquina quedaba igual. Por todo esto apuntabamos directamente al DC.

     

    Ahora bien, con respecto a los parches hay uno en particular el MS08-037 que trae parches para los issues de DNS con respecto al Spooffing tanto por parte del Servidor como de los clientes:

     

    Microsoft Security Bulletin MS08-037 – Important
    Vulnerabilities in DNS Could Allow Spoofing (953230)

    http://www.microsoft.com/technet/security/Bulletin/ms08-037.mspx

     

    MS08-037 : More entropy for the DNS resolver

    http://blogs.technet.com/swi/archive/2008/07/08/ms08-037-more-entropy-in-the-dns-resolver.aspx

     

     

    Espero esto te sea de ayuda tambien.

     

    Saludos.

     

    Sebastian Clementoni.

    lunes, 25 de agosto de 2008 12:59
  • Seba8282, te has llevado el premio gordo, porque esa es la razón de todos los problemas.



    MIL GRACIAS A TODOS
    lunes, 25 de agosto de 2008 13:07
  •  

    mmm...vkb....
    martes, 26 de agosto de 2008 3:57
  •  

    No, bootcamp: manual interno de Ad y estructura de DNS, ah y google por los parches Smile
    martes, 26 de agosto de 2008 12:58
  •  

    Ah....
    martes, 26 de agosto de 2008 16:34
  • Hola,

     

    Tal como decía Sebastian del Rio, teorias algunas y diferentes posibles.

     

    Ya está resuelto, por lo que me alegro mucho de la resolución, de eso se trata en definitiva, de solucionarse.

     

    Un saludo a todos/as

     

    martes, 26 de agosto de 2008 17:32