none
migración de un solo servidor W2008 R2 a 2 servidores W2016 STD RRS feed

  • Pregunta

  • Hola, 

    Estoy en pleno de proceso de modernización de la infraestructura de red de mi empresa. Y en algunas cosas referentes a la configuración de los servidores tengo algunas dudas. Intento explicar donde estoy y lo que quiero conseguir a ver si alguien puede ayudarme.

    Somos una empresa mediana de unos 15pcs cliente y tras muchos años de funcionar con servidores físicos con todas las funcionalides integradas, he decidido migrar un sistema virtualizado apoyado en 2 servidores con sendos Vmware ESXi 6.7 instalados. 

    Ahora mismo tengo virtualizado en uno de los servidores ESXi el servidor físico que usábamos hasta ahora, que funcionaba con un W2008R2 STD.  También he realizado una instalación simple de sendos Windows server 2006 STD en cada uno de los ESXi y los he integrado en el dominio actual del W2008R2. Según entiendo, tras completar la adición del rol de Active directory en estos nuevos servidores 2016, estos han pasado a ser controladores de dominio adicionales del servidor principal (el antiguo W2008R2). Como datos adicionales, decir que tengo un firewall corporativo que, por motivos diversos, es el servidor de DHCP y de DNS del dominio (entre otras cosas). Decir tambien que la replicación DNS está funcionando correctamente entre los 4 'servidores' (W2008r2, W2016srv1, W2016srv2 y kerio firewall)

    Mi pretensión es tener un sistema redundante 'simple'. Es decir, no pretendo que haya un salto sin interrupciones ni tener que entrar en temas de clusteres o cabinas de disco externas, etc... Cosa que no se si puedo hacer con la version standart del 2016 o si podría usar el NAS synology como cabina de discos. 

    En cualquier caso mi idea es no tener que recurrir a eso. Sino intentar tener un sistema redundante que me permitiria, aunque sea, manualmente, cambiar al servidor alternativo, en caso de problemas de hardware del principal. Mi idea para eso es usar el sistema de replicación del DFS de microsoft. Para tener los directorios compartidos del servidor principal, automaticamente replicados en el secundario, de manera que si hubiera un problema con el primer servidor, el segundo servidor pudiera seguir haciendo las funciones básicas de la red de controlador de dominio y servidor de ficheros, con las carpetas compartidas.

    Las dudas que me surgen son las siguientes:

    -Configuración IP: Que tengo que tener en cuenta para definir la configuración Ip de los 2 servidores y de los clientes, para soportar el caso de que uno de los 2 controladores de dominio, pudiera 'desaparecer' de la red ante un eventual problema de hardware que afecte al servidor principal.

    -Cambio de nombre servidor principal: Aunque he leido que no es conveniente, me gustaría conservar el nombre (y quizas la IP) del servidor antiguo (2008R2) y asignarlo al servidor principal nuevo (W2016). Que inconvenientes me puede generar este escenario y cual sería el orden concreto de acciones para hacerlo lo mejor posible.

    Desmantelamiento servidor antiguo: Cual sería el orden concreto para sacar de la red el servidor antiguo y posteriormente apagarlo, dejando como controlador de dominio principal al nuevo W2016.

    -Como puedo hacer una prueba real simulando un fallo: Aunque ya he realizado diversos test apagando el servidor actual (2008R2) e intentado arrancar un ordenador cliente, estando solo los 2 nuevos encendidos (W2016 y W2016_2). No me queda claro si el ordenador cliente está en un estado normal conectado al dominio de alguno de los 2 nuevos servidores adicinales, o simplemente he podido loguearme en el ordenador cliente, porque ha usado las credenciales cacheadas. Ya que en alguna ocasión que he tenido algun problema con el servidor principal (y único en aquel momento), he podido comprobar que los ordenadores cliente, podian seguir entrando en dominio durante un tiempo, aunque no se que tiempo es, o siquiera cual es el motivo por el cual al principio deja entrar, pero al final, acaba apareciendo el mensajito de que el ordenador no encuentra una BBDD de confianza....etc....

    Bueno espero no haber metido un rollo insoportable y os agradezco la ayuda de antemano.


    • Editado nachoBcn martes, 10 de diciembre de 2019 21:31
    martes, 10 de diciembre de 2019 21:30

Todas las respuestas

  • [Guillermo] Hola NachoBcn, respondo entre líneas. Algo muy importante para que tengas en cuenta, hago algunos comentarios y sugerencias, pero un foro es para responder preguntas más o menos puntuales, no podemos hacer una "consultoría" :)

     

    Hola, 

    Estoy en pleno de proceso de modernización de la infraestructura de red de mi empresa. Y en algunas cosas referentes a la configuración de los servidores tengo algunas dudas. Intento explicar donde estoy y lo que quiero conseguir a ver si alguien puede ayudarme.

    Somos una empresa mediana de unos 15pcs cliente y tras muchos años de funcionar con servidores físicos con todas las funcionalides integradas, he decidido migrar un sistema virtualizado apoyado en 2 servidores con sendos Vmware ESXi 6.7 instalados.
    [Guillermo] Ten en cuenta que estos son foros de soporte de Microsoft, así que acá no podrás conseguir apoyo en las soluciones que pueda brindar VMware 

    Ahora mismo tengo virtualizado en uno de los servidores ESXi el servidor físico que usábamos hasta ahora, que funcionaba con un W2008R2 STD.  También he realizado una instalación simple de sendos Windows server 2006 STD en cada uno de los ESXi y los he integrado en el dominio actual del W2008R2. Según entiendo, tras completar la adición del rol de Active directory en estos nuevos servidores 2016, estos han pasado a ser controladores de dominio adicionales del servidor principal (el antiguo W2008R2). Como datos adicionales, decir que tengo un firewall corporativo que, por motivos diversos, es el servidor de DHCP y de DNS del dominio (entre otras cosas).
    [Guillermo] Ahí ya tu mismo has puesto un único punto de falla (DHCP)

     

    Decir tambien que la replicación DNS está funcionando correctamente entre los 4 'servidores' (W2008r2, W2016srv1, W2016srv2 y kerio firewall)

    Mi pretensión es tener un sistema redundante 'simple'. Es decir, no pretendo que haya un salto sin interrupciones ni tener que entrar en temas de clusteres o cabinas de disco externas, etc... Cosa que no se si puedo hacer con la version standart del 2016 o si podría usar el NAS synology como cabina de discos.
    [Guillermo] Sobre el Dominio se hace muy fácilmente y sin ninguna configuración manual la tolerancia a fallas. Pongo enlaces al final 

    En cualquier caso mi idea es no tener que recurrir a eso. Sino intentar tener un sistema redundante que me permitiria, aunque sea, manualmente, cambiar al servidor alternativo, en caso de problemas de hardware del principal.

    [Guillermo] Si todos los clientes tienen configurado para usar como DNS a por lo menos dos Controladores de Dominio que sean Catálogo Global, ya tienes la tolerancia a fallas sobre el Dominio. No hay que hacer nada a mano

     

    Mi idea para eso es usar el sistema de replicación del DFS de microsoft.

    [Guillermo] DFS no es específicamente para tener tolerncia a fallas, aunque puede andar puedes perder datos por la latencia de replicación, porque no replica archivos abiertos, y por el tráfico de red que se puede generar. Para existe el "Failover Cluster" y por supuesto copias de seguridad frecuentes y probadas que se puedan recuperar
     
    Para tener los directorios compartidos del servidor principal, automaticamente replicados en el secundario, de manera que si hubiera un problema con el primer servidor, el segundo servidor pudiera seguir haciendo las funciones básicas de la red de controlador de dominio y servidor de ficheros, con las carpetas compartidas.

    Las dudas que me surgen son las siguientes:

    -Configuración IP: Que tengo que tener en cuenta para definir la configuración Ip de los 2 servidores y de los clientes, para soportar el caso de que uno de los 2 controladores de dominio, pudiera 'desaparecer' de la red ante un eventual problema de hardware que afecte al servidor principal.
    [Guillermo] Como puse antes: nada

     

    -Cambio de nombre servidor principal: Aunque he leido que no es conveniente, me gustaría conservar el nombre (y quizas la IP) del servidor antiguo (2008R2) y asignarlo al servidor principal nuevo (W2016). Que inconvenientes me puede generar este escenario y cual sería el orden concreto de acciones para hacerlo lo mejor posible.

    [Guillermo] Ningún incoveniente si se siguen los pasos correctos, que son diferentes a los de otra máquina del Dominio

     

    Desmantelamiento servidor antiguo: Cual sería el orden concreto para sacar de la red el servidor antiguo y posteriormente apagarlo, dejando como controlador de dominio principal al nuevo W2016.

    [Guillermo] Primero se lo mantiene apagado durante un tiempo prudencial hasta confirmar que todo funciona correctamente. Luego se lo pone en línea y se lo despromueve

     

    -Como puedo hacer una prueba real simulando un fallo: Aunque ya he realizado diversos test apagando el servidor actual (2008R2) e intentado arrancar un ordenador cliente, estando solo los 2 nuevos encendidos (W2016 y W2016_2). No me queda claro si el ordenador cliente está en un estado normal conectado al dominio de alguno de los 2 nuevos servidores adicinales, o simplemente he podido loguearme en el ordenador cliente, porque ha usado las credenciales cacheadas. Ya que en alguna ocasión que he tenido algun problema con el servidor principal (y único en aquel momento), he podido comprobar que los ordenadores cliente, podian seguir entrando en dominio durante un tiempo, aunque no se que tiempo es, o siquiera cual es el motivo por el cual al principio deja entrar, pero al final, acaba apareciendo el mensajito de que el ordenador no encuentra una BBDD de confianza....etc....

    [Guillermo] Las pruebas se hacen en un ambiente, normalmente virtual y totalmente separado del productivo, si todo funciona de acuerdo a lo esperado, recién se hacen los cambios en el productivo

     

    Bueno espero no haber metido un rollo insoportable y os agradezco la ayuda de antemano.


    Windows Server 2012 (R2): Crear un Dominio – Verificación de la Tolerancia a Fallas | WindowServer
    https://windowserver.wordpress.com/2014/12/09/windows-server-2012-r2-crear-un-dominio-verificacin-de-la-tolerancia-a-fallas/

    Controladores de Dominio: Tolerancia a Fallas | WindowServer
    https://windowserver.wordpress.com/2011/05/25/controladores-de-dominio-tolerancia-a-fallas/

    Windows Server 2012: Renombrar un Controlador de Dominio | WindowServer
    https://windowserver.wordpress.com/2013/08/02/windows-server-2012-renombrar-un-controlador-de-dominio/

    Windows Server 2012 – Demostración DHCP Tolerancia a Fallas (DHCP Failover) | WindowServer
    https://windowserver.wordpress.com/2012/05/04/windows-server-2012-demostracin-dhcp-tolerancia-a-fallas-dhcp-failover/

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Propuesto como respuesta Cavallin Jorge domingo, 15 de diciembre de 2019 23:12
    martes, 10 de diciembre de 2019 22:12
    Moderador
  • [Guillermo] Hola NachoBcn, respondo entre líneas. Algo muy importante para que tengas en cuenta, hago algunos comentarios y sugerencias, pero un foro es para responder preguntas más o menos puntuales, no podemos hacer una "consultoría" :)

     

    Hola, 

    Estoy en pleno de proceso de modernización de la infraestructura de red de mi empresa. Y en algunas cosas referentes a la configuración de los servidores tengo algunas dudas. Intento explicar donde estoy y lo que quiero conseguir a ver si alguien puede ayudarme.

    Somos una empresa mediana de unos 15pcs cliente y tras muchos años de funcionar con servidores físicos con todas las funcionalides integradas, he decidido migrar un sistema virtualizado apoyado en 2 servidores con sendos Vmware ESXi 6.7 instalados.
    [Guillermo] Ten en cuenta que estos son foros de soporte de Microsoft, así que acá no podrás conseguir apoyo en las soluciones que pueda brindar VMware 

    Ahora mismo tengo virtualizado en uno de los servidores ESXi el servidor físico que usábamos hasta ahora, que funcionaba con un W2008R2 STD.  También he realizado una instalación simple de sendos Windows server 2006 STD en cada uno de los ESXi y los he integrado en el dominio actual del W2008R2. Según entiendo, tras completar la adición del rol de Active directory en estos nuevos servidores 2016, estos han pasado a ser controladores de dominio adicionales del servidor principal (el antiguo W2008R2). Como datos adicionales, decir que tengo un firewall corporativo que, por motivos diversos, es el servidor de DHCP y de DNS del dominio (entre otras cosas).
    [Guillermo] Ahí ya tu mismo has puesto un único punto de falla (DHCP)

     

    Decir tambien que la replicación DNS está funcionando correctamente entre los 4 'servidores' (W2008r2, W2016srv1, W2016srv2 y kerio firewall)

    Mi pretensión es tener un sistema redundante 'simple'. Es decir, no pretendo que haya un salto sin interrupciones ni tener que entrar en temas de clusteres o cabinas de disco externas, etc... Cosa que no se si puedo hacer con la version standart del 2016 o si podría usar el NAS synology como cabina de discos.
    [Guillermo] Sobre el Dominio se hace muy fácilmente y sin ninguna configuración manual la tolerancia a fallas. Pongo enlaces al final 

    En cualquier caso mi idea es no tener que recurrir a eso. Sino intentar tener un sistema redundante que me permitiria, aunque sea, manualmente, cambiar al servidor alternativo, en caso de problemas de hardware del principal.

    [Guillermo] Si todos los clientes tienen configurado para usar como DNS a por lo menos dos Controladores de Dominio que sean Catálogo Global, ya tienes la tolerancia a fallas sobre el Dominio. No hay que hacer nada a mano

     

    Mi idea para eso es usar el sistema de replicación del DFS de microsoft.

    [Guillermo] DFS no es específicamente para tener tolerncia a fallas, aunque puede andar puedes perder datos por la latencia de replicación, porque no replica archivos abiertos, y por el tráfico de red que se puede generar. Para existe el "Failover Cluster" y por supuesto copias de seguridad frecuentes y probadas que se puedan recuperar
     
    Para tener los directorios compartidos del servidor principal, automaticamente replicados en el secundario, de manera que si hubiera un problema con el primer servidor, el segundo servidor pudiera seguir haciendo las funciones básicas de la red de controlador de dominio y servidor de ficheros, con las carpetas compartidas.

    Las dudas que me surgen son las siguientes:

    -Configuración IP: Que tengo que tener en cuenta para definir la configuración Ip de los 2 servidores y de los clientes, para soportar el caso de que uno de los 2 controladores de dominio, pudiera 'desaparecer' de la red ante un eventual problema de hardware que afecte al servidor principal.
    [Guillermo] Como puse antes: nada

     

    -Cambio de nombre servidor principal: Aunque he leido que no es conveniente, me gustaría conservar el nombre (y quizas la IP) del servidor antiguo (2008R2) y asignarlo al servidor principal nuevo (W2016). Que inconvenientes me puede generar este escenario y cual sería el orden concreto de acciones para hacerlo lo mejor posible.

    [Guillermo] Ningún incoveniente si se siguen los pasos correctos, que son diferentes a los de otra máquina del Dominio

     

    Desmantelamiento servidor antiguo: Cual sería el orden concreto para sacar de la red el servidor antiguo y posteriormente apagarlo, dejando como controlador de dominio principal al nuevo W2016.

    [Guillermo] Primero se lo mantiene apagado durante un tiempo prudencial hasta confirmar que todo funciona correctamente. Luego se lo pone en línea y se lo despromueve

     

    -Como puedo hacer una prueba real simulando un fallo: Aunque ya he realizado diversos test apagando el servidor actual (2008R2) e intentado arrancar un ordenador cliente, estando solo los 2 nuevos encendidos (W2016 y W2016_2). No me queda claro si el ordenador cliente está en un estado normal conectado al dominio de alguno de los 2 nuevos servidores adicinales, o simplemente he podido loguearme en el ordenador cliente, porque ha usado las credenciales cacheadas. Ya que en alguna ocasión que he tenido algun problema con el servidor principal (y único en aquel momento), he podido comprobar que los ordenadores cliente, podian seguir entrando en dominio durante un tiempo, aunque no se que tiempo es, o siquiera cual es el motivo por el cual al principio deja entrar, pero al final, acaba apareciendo el mensajito de que el ordenador no encuentra una BBDD de confianza....etc....

    [Guillermo] Las pruebas se hacen en un ambiente, normalmente virtual y totalmente separado del productivo, si todo funciona de acuerdo a lo esperado, recién se hacen los cambios en el productivo

     

    Bueno espero no haber metido un rollo insoportable y os agradezco la ayuda de antemano.


    Windows Server 2012 (R2): Crear un Dominio – Verificación de la Tolerancia a Fallas | WindowServer
    https://windowserver.wordpress.com/2014/12/09/windows-server-2012-r2-crear-un-dominio-verificacin-de-la-tolerancia-a-fallas/

    Controladores de Dominio: Tolerancia a Fallas | WindowServer
    https://windowserver.wordpress.com/2011/05/25/controladores-de-dominio-tolerancia-a-fallas/

    Windows Server 2012: Renombrar un Controlador de Dominio | WindowServer
    https://windowserver.wordpress.com/2013/08/02/windows-server-2012-renombrar-un-controlador-de-dominio/

    Windows Server 2012 – Demostración DHCP Tolerancia a Fallas (DHCP Failover) | WindowServer
    https://windowserver.wordpress.com/2012/05/04/windows-server-2012-demostracin-dhcp-tolerancia-a-fallas-dhcp-failover/

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    Muchas gracias guillermo por tu respuesta. 

    No te he contestando antes porque quería leerme bien los enlaces que me has pasado, que por cierto menudo lujo, es justamente lo que buscaba (no entiendo como no lo he encontrado antes), y poner en practica lo explicado. Cosa que hasta el fin de semana me era imposible.

    Tambien decir que tienes razón y que soy perfectamente consciente que no puedes pretender que te den una solución ad-hoc en un foro. Por eso he intentado resaltar las preguntas concretas y acortarlas lo mas posible. Aunque por otro lado, pienso que las explicaciones previas son indispensables para poder responder las preguntas. Pero vamos que si, que entiendo que hay que acortar al máximo las preguntas/respuestas.

    Volviendo a las cuestiones. El tema de la redundancia lo voy a dar por cerrado, aunque cuando hice una prueba, tuve un problema que no llegue a comprobar. Pero al menos, todos los indicadores y registros que explicas en tus tutoriales, estaban como deberían, así que entiendo que el problema vendría por alguna particularidad de mi configuración.

    Lo que si conservo dudas incluso despues de leer todas tus explicaciones. Es con lo de la 'substitución' del DC actual (W2008R2) por uno de los 2 W2016 que he instalado. Basicamente porque es un proceso combinado y el orden puede ser determinante.

    La primera duda es que aunque los 2 nuevos Windows server 2016 me aparecen como controladores de dominio, no tienen todas las funciones asignadas que tiene el DC actual (W2018R2). Lo cual me lleva a pensar que antes de apagar este servidor tengo que promover uno de los 2 w2016 (a controlador principal) o despromover el W2008R2 (a controlador adicicional o secundario). De hecho ni siquiera tengo claro si lo de 'despromover' es una cosa que se pueda/deba hacer y si la nomenclatura que yo he usado (DC principal y DC secundario o adicional) es la correcta. (piensa que soy autodidacta y solo he hecho 2 migraciones de servidor y siempre fueron mucho mas sencillas, cambiando un ordenador por otro y definiendo todo de cero)

    Para intentar ayudar en la respuesta expongo cual es mi idea de los pasos a realizar:

    nombre actual de los servidores:

    DC.dominio.es (W2008R2 controlador principal actual)

    DC1.dominio.es (W2016_Srv1 controlador adicional)

    DC2.dominio.es (W2016_Srv2 controlador adicional)

    Objetivo a conseguir:

    DC.dominio.es (W2016_Srv1 controlador principal)

    DC2.dominio.es (W2016_Srv2 controlador adicional)

    Pasos propuestos:

    1.- promocionar DC1.dominio.es (W2016_Srv) a controlador principal

    2.- despromocionar DC.dominio.es (W2008R2) a controlador adicional o quizas que deje de ser controlador de dominio completamente

    3.- renombrar DC.dominio.es a Antiguo.dominio.es y sacar del dominio a Antigudo.dominio.es (W2008R8)

    4.- cambiar IP del Antiguo.dominio.es (W2008R2) para evitar posibles confusiones con el DNS

    5.- Realizar los pasos necesarios en https://windowserver.wordpress.com/2013/08/02/windows-server-2012-renombrar-un-controlador-de-dominio/ para cambiar el nombre de DC1.dominio.es a DC.dominio.es

    6.-apagar definitivamente  Antiguo.dominio.es

    Como digo la duda principal es si este es el orden concreto y recomendable. Por otro lado tambien tengo dudas de como realizar alguna acción concreta explicada en algun punto, aunque creo que eso lo puedo resolver buscando el procedimiento exacto por internet.

    domingo, 15 de diciembre de 2019 18:08
  • Pego de tu respuesta

    ----------
    La primera duda es que aunque los 2 nuevos Windows server 2016 me aparecen como controladores de dominio, no tienen todas las funciones asignadas que tiene el DC actual (W2018R2). Lo cual me lleva a pensar que antes de apagar este servidor tengo que promover uno de los 2 w2016 (a controlador principal) o despromover el W2008R2 (a controlador adicicional o secundario). De hecho ni siquiera tengo claro si lo de 'despromover' es una cosa que se pueda/deba hacer y si la nomenclatura que yo he usado (DC principal y DC secundario o adicional) es la correcta. (piensa que soy autodidacta y solo he hecho 2 migraciones de servidor y siempre fueron mucho mas sencillas, cambiando un ordenador por otro y definiendo todo de cero)
    ---------

    Acá hay una inconsistencia :) Si aparecen como Controladores de Dominio entonces ya están promovidos como tales. Asegúrate que ambos tengan el servicio DNS y que sean Catálogo Global
    En realidad no existe, como era hasta NT4 Controlador de Dominio "principal" y "adicional". Desde W2000 todos pueden escribir en la base de AD. Que uno tenga todos los "FSMO Roles" no lo hace "principal", inclusive podrían estar divididos entre ambos

    IMPORTANTE: No despromuevas al Controlador de Dominio "viejo", sólo apágalo durante un tiempo prudencial, es el camino más rápido para volver todo atrás ante un problema grave

    Renombrar los Controladores de Dominio, o ponerle la misma IP que al anterior es algo que se puede hacer al final. Lo importante es la migración del AD

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    lunes, 16 de diciembre de 2019 10:27
    Moderador
  • Ok. Muchas gracias Guillermo.

    El caso es que en una prueba que hice este fin de semana ya hice esa 'simulación'. Es decir, había creado previamente una maquina virtual nueva, que si que incluí en el dominio antes de hacer nada mas. Entoces apagué el DC con W2008R2 que quiero substituir y me logueé con la maquina virtual nueva. No tuve problemas en logearme con un usuario que no me había logeado antes, pero lo que vi, es que había varias variables (creo que la de LOGON_SERVER), que seguia apuntando al nombre del DC W2008R2, cuando este estaba apagado y los otros 2 encendidos.

    Me queda la duda si es un tema de 'timing', es decir, que no esperé el suficiente tiempo y que si hubiera esperado y reiniciado la maquina cliente, al final hubiera cogido alguno de los otros 2 DCs. O es que tengo que realizar algún paso en los 2 nuevos W2016 para que asuman todo los roles (FSMO Roles?). 

    Tambien estaría bien saber cuanto ese timing... son minutos... horas?

    Un saludo.


    • Editado nachoBcn martes, 17 de diciembre de 2019 11:29
    martes, 17 de diciembre de 2019 11:28
  • La teoría dice que el cliente cada 30 minutos controla a ver si encuentrea un mejor Controlador de Dominio, pero en mi experiencia el tema pasa por reiniciarlo

    Prueba siempre con un usuario nuevo, que nunca haya iniciado sesión por el tema de "cached credentiales"

    Algo más que los otros Controladores de Dominio sean Catálogo Global y DNS, y que la máquina de pruebas apunte a ambos como DNS

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    martes, 17 de diciembre de 2019 14:07
    Moderador
  • Ok.

    Gracias Guillermo, lo probaré de nuevo.

    Un saludo.

    martes, 17 de diciembre de 2019 15:30
  • Holal guillermo. 

    Ya hice la prueba de apagar durante mucho rato el DC viejo y manteniendo los 2 nuevos encendidos.... y no parece funcionar. 

    El ordenador nuevo me dice que no hay una BBDD de dominio disponible, y el firewall, que está integrado en el dominio y que consulta la BBDD de AD para usar los usuarios del dominio, me muestra el mensaje que el dominio no está disponible, pese a que hay una opción donde incluso le puedes forzar las IPs que tiene que buscar como controladores de dominio.

    Es decir. Que esos 2 servidores nuevos, los cuales están integrados en el dominio, tienen servidores DNS cada uno y aparecen en tanto en los DNS de todos los servidores, como en las entradas de AD como controladores de dominio y como Global catalog. 

    Si entro en la maquina cliente nueva (con una cuenta de administrador que está cacheada), y pongo "echo %logonserver%" me sigue apareciendo el servidor que he apagado hace rato. Y la cosa no cambia por muchos reinicios que haga (los DNS de esta maquina apuntan a los 3 servidores de la red, el antiguo y los 2 nuevos)

    Estoy casi decidido a lanzar el dcpromo en el servidor viejo. Porque yo entiendo que esta acción, aparte de despromober el servidor actual, creo que se encargará de trasladar algun rol o alguna cosa a otro DC. Pero como no lo he hecho nunca... no tengno ni idea. Lo que si se es que es una acción casi irresversible, y por eso quiero agotar posibilidades.

    lunes, 23 de diciembre de 2019 22:07
  • Tengo alguna información mas. 

    He lanzado el dcpromo en el servidor antiguo. Pensando en solo ver, que me decía. 

    He dejado sin marcar el check de que este era el ultimo DC del dominio. Pero al darle a continuar, me sale un mensaje que dice que no encuentra ningun otro controlador de dominio en la red y que si estoy seguro de continuar porque, si lo hago se borraran todos los datos del dominio.

    No lo acabo de entender. He deshabilitado completamente el firewall de ambos servidores pero sigue dicendo lo mismo. Es extraño porque tanto los DNS como los objetos de AD se están replicando sin problemas entre los 3 servidores.

    No se bien que hacer.

    lunes, 23 de diciembre de 2019 22:21
  • Primero lo importante, no despromuevas al "viejo" Controlador de Dominio", es la única posibilidad que tienes de volver todo atrás si no consigues solucionar el problema

    Antes de promover un Controlador de Dominio hay que apuntarlo para que use como DNS al Controlador de Dominio existente y esperar que se replique toda la información que suele demorar aprox. 30 minutos. Debe tener DNS y ser Catálogo Global

    Revisa que esté registrado en la zona DNS llamada "_msdcs. ...."

    Si pasado ese tiempo no replicó hay que buscar cuál es el problema

    Si replicó, entonces, sí, es el momento de apagar al original, reiniciar el cliente y tratar de iniciar sesión con un usuarios que nunca haya iniciado sesión en dicha máquina

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    lunes, 23 de diciembre de 2019 22:23
    Moderador
  • Todo eso ya esta hecho hace tiempo guillermo

    Me dices que revise la zona DNS y lo hago, pero la verdad es que no entiendo casi nada de lo que veo. LLego hasta saber lo que es un registro (A) y un (CNAME), pero no se si la estructura que hay creada es correcta o no. Lo que si veo es que siguen apareciendo registros de el anterior controlador de dominio que tuve hace ya muchos años, pero no creo que afecten porque es un nombre de servidor totalmente diferente a los actuales. 

    Lo que tambien puedo ver con claridad, es que los cambios en los DNS, se replican sin problemas.

    Tambien veo algunas entradas 'con esas' letras que me dices, y dentro aparecen los nombres de los 3 servidores que hay ahora mismo en la red. De hecho aparecen duplicados (en minuscula y en mayuscula), cosa que no entiendo porque tampoco.


    • Editado nachoBcn lunes, 23 de diciembre de 2019 23:38
    lunes, 23 de diciembre de 2019 23:37
  • Otro dato que quizas sea relevante. Aunque el servidor de dominio que he tenido hasta ahora, sea un W2008R2, el nivel funcional del dominio es windows 2003. Esto supongo que viene de cuando realize la migración anterior. No se si puede afectar o no. Si le doy a la opción de elevar la funcionalidad de dominio (lanzandolo desde uno de los nuevos W2016), me da de opción solo W2008 y W2008R2. Esto entiendo que es porque detecta al servidor W2008R2 actual como controlador de dominio.
    martes, 24 de diciembre de 2019 8:35
  • Otro dato que quizas sea relevante. Aunque el servidor de dominio que he tenido hasta ahora, sea un W2008R2, el nivel funcional del dominio es windows 2003. Esto supongo que viene de cuando realize la migración anterior. No se si puede afectar o no. Si le doy a la opción de elevar la funcionalidad de dominio (lanzandolo desde uno de los nuevos W2016), me da de opción solo W2008 y W2008R2. Esto entiendo que es porque detecta al servidor W2008R2 actual como controlador de dominio.

    Acá estás dando el dato fundamental de por qué no funciona :)

    Los niveles funcionales de Bosque y Dominio W2003 no son compatibles con las versiones actuales del sistema operativo

    Así que el procedimiento debe ser así (peor que comenzar desde cero)

    - Despromover los DCs nuevos, sacarlos a grupo de trabajo, y borrar todas sus referencias en el DC W2008r2, tanto la cuenta de máquina como todas las registraciones en DNS. Esto sería volver todo al principios, y por eso te decía que no despromuevas al viejo DC

    - Elevar los niveles de Bosque y Dominio a W2008r2, primero el de Bosque y luego de unos minutos el de Dominio, y esperar por lo menos 30 minutos

    - Recién luego, volver a promover uno de los nuevos DCs, uno sólo, el otro se agrega luego si todo anda bien

    Dejo unos enlaces que pueden ayudarte, pero no es fácil por este medio

    Niveles Funcionales de Dominio y de Bosque (Domain – Forest Functional Levels) | WindowServer
    https://windowserver.wordpress.com/2011/02/26/niveles-funcionales-de-dominio-y-de-bosque-domain-forest-functional-levels/

    DNS – Dominios y la Zona “_msdcs” | WindowServer
    https://windowserver.wordpress.com/2017/08/15/dns-dominios-y-la-zona-_msdcs/

    Actualizar Dominio Windows 2003 a Windows Server 2012 R2 | WindowServer
    https://windowserver.wordpress.com/2013/10/04/actualizar-dominio-windows-2003-a-windows-server-2012-r2/

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    martes, 24 de diciembre de 2019 10:58
    Moderador
  • Pero.... que me estas contando!!!!!??? :-)

    Que quieres decir que no son compatibles?

    y porque no se ha quejado cuando he agregado y promovido ambos servidores nuevos con w2016? 

    y porque no tengo ningun error de ningun tipo en los servicios de dominio y active directory y todo se replica perfectamente entre el servidor 2008 y los 2 w2016?

    Tengo intención de elevar el nivel de funcionalidad del dominio, pero cuando ya tenga solo los 2 w2016 SOLOS y funcionando en paralelo. 

    De mientras sigo leyendo cosas y una cosa que veo mucho y que yo no he hecho, es lo de trasferir roles. 

    martes, 24 de diciembre de 2019 13:17
  • Bueno pues ya me he tirado a la piscina y.... tengo problemas grabes. 

    Todo parecia ir bien:

    - he pasado los roles del Servidor antiguo a uno de los nuevos. Todo ok.

    - he apagado el servidor antiguo y he verificado que los Pcs clientes se logeaban con el nuevo sin credenciales cacheadas y apuntaban como logon server al nuevo. Todo ok

    - he arrancado el servidor viejo y he cambiado nombre del servicdor e IP. He verificado que aparece en "sitios y dominios de AD" como una computadora mas. Todo Ok.

    - he realizado un ping al viejo nombre del servidor antiguo desde el nuevo DC y no responde (es lo que esperaba) y he hecho ping al nuevo nombre del servidor antiguo y daba ping. Todo ok

    - He intentado cambiar el nombre del servidor nuevo, al nombre del servidor antiguo. Aqui empiezan los problemas. Al darle al OK, me ha dicho que ese 'equipo' ya existe, lo cual no era lógico. He ido otra vez  a "Usuarios y equipos de AD" pero he verificado que no existia ese nombre. Tambien en el DNS, el nombre que estaba intentando poner al nuevo DC, no existe. El caso es que al volver a la pantalla de cambio de nombre, el nuevo nombre estaba establecido. Asi que he reiniciado.

    - A partir de aqui todo va mal, sobre todo porque no se inicia el servicio netlogon. que creo que es el problema base de todo lo demas.

    Se te ocurre que puedo mirar para resolver este lio?

    miércoles, 25 de diciembre de 2019 10:38
  • La replicación de AD entre Controladores de Dominio tiene dos partes separadas con protocolos diferentes de replicación, una parte es la base de AD, y otra totalmente diferente es la carpeta SYSVOL con otro protocolo (RPC) y diferente topología

    W2003 utiliza FRS, y los más nuevos utilizan DFS-R

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    jueves, 26 de diciembre de 2019 10:45
    Moderador
  • Bueno pues ya me he tirado a la piscina y.... tengo problemas grabes. 

    [Guillermo] Esto es lo último a hacer, porque si habían problemas sólo los has agravado

    Todo parecia ir bien:

    - he pasado los roles del Servidor antiguo a uno de los nuevos. Todo ok.
    [Guillermo] No tiene relación a los problemas anteriores

    - he apagado el servidor antiguo y he verificado que los Pcs clientes se logeaban con el nuevo sin credenciales cacheadas y apuntaban como logon server al nuevo. Todo ok

    - he arrancado el servidor viejo y he cambiado nombre del servicdor e IP. He verificado que aparece en "sitios y dominios de AD" como una computadora mas. Todo Ok.

    [Guillermo] No, no se hace así, renombrar un Controlador de Dominio requiere un procedimiento diferente. Al final pongo un enlace del tema

    - he realizado un ping al viejo nombre del servidor antiguo desde el nuevo DC y no responde (es lo que esperaba) y he hecho ping al nuevo nombre del servidor antiguo y daba ping. Todo ok

    - He intentado cambiar el nombre del servidor nuevo, al nombre del servidor antiguo. Aqui empiezan los problemas. Al darle al OK, me ha dicho que ese 'equipo' ya existe, lo cual no era lógico. He ido otra vez  a "Usuarios y equipos de AD" pero he verificado que no existia ese nombre. Tambien en el DNS, el nombre que estaba intentando poner al nuevo DC, no existe. El caso es que al volver a la pantalla de cambio de nombre, el nuevo nombre estaba establecido. Asi que he reiniciado.

    [Guillermo] Ver lo que puse en el punto anterior. No es sólo donde has buscado

    - A partir de aqui todo va mal, sobre todo porque no se inicia el servicio netlogon. que creo que es el problema base de todo lo demas.

    Se te ocurre que puedo mirar para resolver este lio?

    Windows Server 2012: Renombrar un Controlador de Dominio | WindowServer
    https://windowserver.wordpress.com/2013/08/02/windows-server-2012-renombrar-un-controlador-de-dominio/

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    jueves, 26 de diciembre de 2019 10:52
    Moderador
  • Gracias guillermo. 

    Ya he tirado todo para atras tirando de copias. 

    Estoy siguiendo tus pasos. He despromovido los 2 w20016 y sacado del dominio. Y ahora voy a elevar el nivel de funcionamiento del W2008R2. Tambien he estado un buen rato borrando todo rastro de los 2 w20016 del DNS del W2008. He ido palo por palo del arbol (menudo faenon). Espero no haberme equivodado.

    Luego seguire los pasos que me indicas para renombrar el controlador de dominio w2008r2 y luego haré el cambio de IP Y si todo va bien, iniciaré la conexión de uno de los w2016 al dominio, ya con el nombre antiguo del w2008r2 y la ip. 

    jueves, 26 de diciembre de 2019 14:31
  • teniendo claro que voy a pasar la funcionalidad a w2008R2 (y luego quizas a w20016 cuando ya esten solo estos servidores) y que solo hay un dominio. El orden de elevar el bosque primero y luego el dominio, es vital? porque he visto sitios que hacen primero el dominio y luego el bosque....
    jueves, 26 de diciembre de 2019 14:35
  • Son dos temas separados y hay que dejar un tiempo entre uno y otro, no uno seguido al otro

    Además requiere reinicio del servidor, cambio de configuración DNS en los clientes, reinicio de los clientes

    Entre uno y otro deja pasar varias horas, o mejor un día entero para verificar que no existan problemas

    Eliminar un Controlador de Dominio Que Ya No Existe (Fácil) | WindowServer
    https://windowserver.wordpress.com/2012/06/02/eliminar-un-controlador-de-dominio-que-ya-no-existe-fcil/

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    jueves, 26 de diciembre de 2019 21:44
    Moderador
  • Primero el nivel del Dominio, dejar pasar más o menos media hora, y luego el del Bosque, tomarse otra media hora

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    jueves, 26 de diciembre de 2019 21:45
    Moderador
  • Hola de nuevo Guillermo. 

    No se ni por donde empezar. He realizado todos los pasos con la máxima exactitud que me has dicho. Y lo cierto, es que todo parecía ir bien. Pero hoy me he venido a la empresa (que hasta enero está cerrada) y poco a poco he ido descubriendo que de bien nada. 

    Y ese es el primer problema con esta cosa endemoniada de los dominios. No tienes una manera concluyente para saber que todo está correcto (o al menos yo no la se), hasta que empiezas a trastear con los equipos clientes y entonces empiezas a ver problemas por aquí y por allí... y entonces ya es demasiado tarde. 

    Como te decía, he realizado los pasos necesarios para migrar a funcionalidad W2008r2, renombrar el DC antiguo, renombrar el equipo W2016 como el anterior DC, meter en dominio el nuevo W2016, promoverlo y trasferir los roles. Hasta aquí, y al menos a nivel de consola de servidor. Todo está correcto. Todo está en verde. 

    Sin embargo, como te digo, esta mañana al venir a le empresa. El ordenador que yo uso como cliente (W10). He visto que tenia problemas para conectar a las unidades de red. MI teoría es que habiendo hecho lo que he hecho, todo debería ser transparente y los equipos clientes no se deberían ni enterar del cambio de servidor. Pero esto no es así. Y cuando picaba en una unidad de red, me pedia credenciales.

    Entonces es cuando he pensado en sacar y volver a meter en el dominio mi maquina cliente. Y aquí es cuando he descubierto los problemas. Ya que al intentar volver a meter la maquina al dominio, me decía que no lo encoentraba, etc.... El caso es que no se muy bien como, pero he podido meter en el dominio esta maquina. Sin embargo, otras 2 maquinas de test que he probado... a sido imposible. 

    Tampoco acabo de entender, que tengo un NAS de synology en la red, que ayer mismo pude sacar y meter en la red, sin problemas. Y lo mismo con el firewall. Que necesita estar vinculado al dominio para usar los nombres de usuarios. Es decir. Que ha habido 3 equipos que he podido, pero otros 2 que no. 

    Revisando los eventos del servidor, veo algunos mensajes de error, que esto seguro que tienen que ver con el problema. Pero son bastante complejos y no los acabo de entender. 

    He pensado enviarte el DCDIAG, porque creo que es donde aparece la información mas detallada de los problemas existentes. Y si puedo luego, reuno también los eventos y te los envio.

    ============================


    Diagn¢stico del servidor de directorio


    Realizando instalaci¢n inicial:

       Intentando encontrar el servidor principal...

       Servidor principal = Fserver

       * Se identific¢ el bosque de AD. 
       Recopilaci¢n de informaci¢n inicial finalizada.


    Realizando pruebas requeridas iniciales

       
       Probando servidor: Default-First-Site-Name\FSERVER

          Iniciando prueba: Connectivity

             ......................... FSERVER super¢ la prueba Connectivity



    Realizando pruebas principales

       
       Probando servidor: Default-First-Site-Name\FSERVER

          Iniciando prueba: Advertising

             Error en la b£squeda de atributos con capacidad de b£squeda LDAP en el

             servidor FSERVERANTIC. Valor devuelto = 81
             El servidor FSERVER se est  anunciando como un cat logo global (GC),

             pero

             no se pudo comprobar si el servidor lo consider¢ un GC.

             ......................... FSERVER no super¢ la prueba Advertising

          Iniciando prueba: FrsEvent

             Existen eventos de advertencia o de error en las £ltimas 24 horas

             despu‚s de compartir SYSVOL. Los problemas de replicaci¢n de SYSVOL

             incorrecta pueden ocasionar problemas de la directiva de grupo. 
             ......................... FSERVER super¢ la prueba FrsEvent

          Iniciando prueba: DFSREvent

             ......................... FSERVER super¢ la prueba DFSREvent

          Iniciando prueba: SysVolCheck

             ......................... FSERVER super¢ la prueba SysVolCheck

          Iniciando prueba: KccEvent

             ......................... FSERVER super¢ la prueba KccEvent

          Iniciando prueba: KnowsOfRoleHolders

             ......................... FSERVER super¢ la prueba KnowsOfRoleHolders

          Iniciando prueba: MachineAccount

             ......................... FSERVER super¢ la prueba MachineAccount

          Iniciando prueba: NCSecDesc

             ......................... FSERVER super¢ la prueba NCSecDesc

          Iniciando prueba: NetLogons

             No se puede conectar con el recurso compartido NETLOGON

             (\\FSERVER\netlogon)

             [FSERVER] Error en una operaci¢n NET USE o LsaPolicy: 67,

             No se encuentra el nombre de red especificado..

             ......................... FSERVER no super¢ la prueba NetLogons

          Iniciando prueba: ObjectsReplicated

             ......................... FSERVER super¢ la prueba ObjectsReplicated

          Iniciando prueba: Replications

             [FSERVERANTIC] Error en DsBindWithSpnEx(): 1722,

             El servidor RPC no est  disponible..
             ......................... FSERVER no super¢ la prueba Replications

          Iniciando prueba: RidManager

             ......................... FSERVER super¢ la prueba RidManager

          Iniciando prueba: Services

             ......................... FSERVER super¢ la prueba Services

          Iniciando prueba: SystemLog

             Evento de error. Id. de evento: 0x0000041E

                Hora de creaci¢n: 12/27/2019   15:44:10

                Cadena de eventos:

                No se pudo procesar la directiva de grupo. Windows no pudo obtener el nombre del controlador de dominio. Esto se puede deber a un error en la resoluci¢n de nombres. Compruebe que el Sistema de nombres de dominio (DNS) est‚ configurado y que funcione correctamente.

             ......................... FSERVER no super¢ la prueba SystemLog

          Iniciando prueba: VerifyReferences

             ......................... FSERVER super¢ la prueba VerifyReferences

       
       
       Ejecutando pruebas de partici¢n en: DomainDnsZones

          Iniciando prueba: CheckSDRefDom

             ......................... DomainDnsZones super¢ la prueba

             CheckSDRefDom

          Iniciando prueba: CrossRefValidation

             ......................... DomainDnsZones super¢ la prueba

             CrossRefValidation

       
       Ejecutando pruebas de partici¢n en: ForestDnsZones

          Iniciando prueba: CheckSDRefDom

             ......................... ForestDnsZones super¢ la prueba

             CheckSDRefDom

          Iniciando prueba: CrossRefValidation

             ......................... ForestDnsZones super¢ la prueba

             CrossRefValidation

       
       Ejecutando pruebas de partici¢n en: Schema

          Iniciando prueba: CheckSDRefDom

             ......................... Schema super¢ la prueba CheckSDRefDom

          Iniciando prueba: CrossRefValidation

             ......................... Schema super¢ la prueba CrossRefValidation

       
       Ejecutando pruebas de partici¢n en: Configuration

          Iniciando prueba: CheckSDRefDom

             ......................... Configuration super¢ la prueba CheckSDRefDom

          Iniciando prueba: CrossRefValidation

             ......................... Configuration super¢ la prueba

             CrossRefValidation

       
       Ejecutando pruebas de partici¢n en: ag

          Iniciando prueba: CheckSDRefDom

             ......................... ag super¢ la prueba CheckSDRefDom

          Iniciando prueba: CrossRefValidation

             ......................... ag super¢ la prueba CrossRefValidation

       
       Ejecutando pruebas de empresa en: ag.local

          Iniciando prueba: LocatorCheck

             Advertencia: error de la llamada DcGetDcName(GC_SERVER_REQUIRED): 1355

             No se encontr¢ ning£n servidor de cat logos globales (GC); todos los

             GC est n inactivos.

             Advertencia: error de la llamada DcGetDcName(TIME_SERVER): 1355

             No se encontr¢ ning£n servidor horario.

             El servidor que contiene el rol de PDC est  inactivo.

             Advertencia: error de la llamada

             DcGetDcName(GOOD_TIME_SERVER_PREFERRED): 1355

             No se encontr¢ un servidor horario adecuado.

             Advertencia: error de la llamada DcGetDcName(KDC_REQUIRED): 1355

             No se encontr¢ ning£n KDC; todos los KDC est n inactivos.

             ......................... ag.local no super¢ la prueba LocatorCheck

          Iniciando prueba: Intersite

             ......................... ag.local super¢ la prueba Intersite


    viernes, 27 de diciembre de 2019 15:12
  • Eventos DNS (se repiten cada cierto tiempo, pero no constantemente, no tengo claro si es cada reinicio):

    =============

    El servidor DNS está esperando a que los Servicios de dominio de Active Directory (AD DS) señalen que se ha completado la sincronización inicial del directorio. El servicio del servidor DNS no puede iniciarse hasta que se haya completado la sincronización inicial porque es posible que todavía no se hayan replicado en este controlador de dominio algunos datos de DNS críticos. Si los eventos del registro de eventos de AD DS indican que hay un problema con la resolución de nombres DNS, puede agregar la dirección IP de otro servidor DNS para este dominio a la lista de servidores DNS en las propiedades de protocolo de Internet de este equipo. Este evento se registrará cada dos minutos hasta que AD DS haya señalado que la sincronización inicial se ha completado correctamente.

    Eventos AD DS:

    ==============

      

    Los Servicios de dominio de Active Directory no pudieron establecer una conexión con el catálogo global. 

    Datos adicionales 
    Valor de error:
    1355 El dominio especificado no existe o no se pudo poner en contacto con él. 
    Identificador interno:
    3201325 

    Acción del usuario: 
    Asegúrese de que haya un catálogo global disponible en el bosque y de que pueda obtenerse acceso a él desde este controlador de dominio. Puede usar la utilidad nltest para diagnosticar este problema.

    =============

       

    Los Servicios de dominio de Active Directory intentaron comunicarse con el siguiente catálogo global y los intentos resultaron incorrectos. 

    Catálogo global:
    \\fserverAntic.ag.local 

    Es posible que la operación en curso no pueda continuar. Los Servicios de dominio de Active Directory usarán el ubicador del controlador de dominio para intentar encontrar un servidor de catálogo global disponible. 

    Datos adicionales 
    Valor de error:
    8524 La operación DSA no puede continuar debido a un error en la consulta DNS.

    =====================

     

    El Servicio de replicación de archivos (FRS) está en desuso. Para seguir replicando la carpeta SYSVOL tienes que migrar a Replicación DFS mediante el comando DFSRMIG.  

    Si sigues usando FRS para la replicación de SYSVOL en este dominio, es posible que no puedas  agregar controladores de dominio que ejecuten una versión futura de Windows Server. 

    =====================

       

    El Servicio de réplica de archivos está examinando los datos en el volumen del sistema. El equipo FSERVER no se puede convertir en un controlador de dominio hasta que este proceso se haya completado. El volumen del sistema será entonces compartido como SYSVOL. 

    Para comprobar el recurso compartido SYSVOL, en el símbolo del sistema, escriba: 
    net share 

    Cuando el Servicio de réplica de archivos complete el proceso de examen, aparecerá el recurso compartido SYSVOL. 

    La inicialización del volumen de sistema puede tardar un poco. El tiempo depende de la cantidad de datos en el volumen de sistema.

    =============================

                  

    Los Servicios de dominio de Active Directory no pudieron usar DNS para resolver  la dirección IP del siguiente controlador de dominio de origen. Para mantener la coherencia de grupos de seguridad, la directiva de grupo, los usuarios y equipos y sus contraseñas, los Servicios de dominio de Active Directory se replicaron  correctamente mediante el nombre de equipo NetBIOS o completo del controlador de dominio de origen. 

    Es posible que una configuración DNS no válida esté afectando a otras  operaciones esenciales en equipos miembro, controladores de dominio o servidores  de aplicaciones en este bosque de Servicios de dominio de Active Directory, incluida la autenticación de inicio de sesión o el acceso a recursos de red. 

    Resuelva inmediatamente este error de configuración DNS para que este controlador de dominio pueda resolver la dirección IP del controlador de dominio de origen por medio de DNS. 

    Nombre del servidor alternativo: 
     fserverAntic 
    Nombre del host DNS con errores: 
     7dea01c3-bc75-445f-a518-f592773fe7d1._msdcs.ag.local 

    NOTA: de manera predeterminada, solo se muestran 10 errores DNS por cada  período de 12 horas, aunque se produzcan más de 10. Para registrar todos los eventos de error individuales, establezca el siguiente valor de diagnóstico del Registro en 1: 

    Ruta del Registro: 
    HKLM\System\CurrentControlSet\Services\NTDS\Diagnostics\22 DS RPC Client 

    Acción del usuario: 

     1) Si el controlador de dominio de origen ya no está funcionando o si su sistema operativo se reinstaló con un nombre de equipo o GUID de objeto NTDSDSA diferente, quite los metadatos del controlador de dominio de origen con ntdsutil.exe, siguiendo los pasos que se describen en el artículo de MSKB 216498. 

     2) Confirme que el controlador de dominio de origen esté ejecutando los  Servicios de dominio de Active Directory y sea accesible desde la red; escriba  "net view \\<nombre DC de origen>" o "ping <nombre DC de origen>". 

     3) Compruebe que el controlador de dominio de origen esté usando un servidor  DNS válido para los servicios DNS, y que el registro de host y el registro CNAME  del controlador de dominio de origen estén registrados correctamente, por medio de la versión mejorada de DNS de DCDIAG.EXE, disponible en http://www.microsoft.com/dns 

      dcdiag /test:dns 

     4) Compruebe que este controlador de dominio de destino esté usando un  servidor DNS válido para los servicios DNS, mediante la ejecución de la versión  mejorada de DNS del comando DCDIAG.EXE en la consola del controlador de dominio de destino, tal y como se muestra a continuación: 

      dcdiag /test:dns 

     5) Para obtener un análisis más profundo de los errores DNS, consulte el artículo de KB 824449: 
       http://support.microsoft.com/?kbid=824449 

    Datos adicionales 
    Valor de error: 
     11001 Host desconocido. 

    ===========================================

    Este equipo hospeda ahora la instancia de directorio especificada, pero Servicios web de Active Directory no pudo atenderla. Servicios web de Active Directory reintentará esta operación periódicamente.

     Instancia de directorio: NTDS
     Puerto LDAP de instancia de directorio: 389
     Puerto SSL de instancia de directorio: 636

    =====================================

     

    El servicio de replicación DFS no puede establecer contacto con el controlador de dominio  para tener acceso a la información de configuración. La  replicación se detuvo. El servicio intentará el contacto de nuevo en el próximo ciclo de sondeo, en 60 minutos. Este evento puede deberse a problemas de  conectividad TCP/IP, de firewall, de Servicios de dominio de Active Directory o  de DNS. 

    Información adicional: 
    Error: 160 (Uno o más argumentos son incorrectos.)

    ===================================

    El servidor DNS está esperando a que los Servicios de dominio de Active Directory (AD DS) señalen que se ha completado la sincronización inicial del directorio. El servicio del servidor DNS no puede iniciarse hasta que se haya completado la sincronización inicial porque es posible que todavía no se hayan replicado en este controlador de dominio algunos datos de DNS críticos. Si los eventos del registro de eventos de AD DS indican que hay un problema con la resolución de nombres DNS, puede agregar la dirección IP de otro servidor DNS para este dominio a la lista de servidores DNS en las propiedades de protocolo de Internet de este equipo. Este evento se registrará cada dos minutos hasta que AD DS haya señalado que la sincronización inicial se ha completado correctamente.

    ===============================

    Este servidor es propietario del siguiente rol FSMO, pero no lo  considera válido. Para la partición que contiene el FSMO, este servidor no  se replicó correctamente con ninguno de sus asociados desde que se reinició.  Los errores de replicación están impidiendo la validación de este rol. 

    Las operaciones que requieran ponerse en contacto con un maestro de  operaciones FSMO producirán errores hasta que se corrija esta condición. 

    Rol FSMO: DC=ag,DC=local 

    Acción del usuario: 

    1. La sincronización inicial es la primera replicación realizada por un sistema al iniciarse. Un error de sincronización inicial puede ser la causa de que un rol FSMO no pueda validarse. Este proceso se describe en el artículo de KB 305476. 
    2. Este servidor tiene uno o varios asociados de replicación, y se están  produciendo errores en la replicación de todos estos asociados. Use el comando  repadmin / showrepl para mostrar los errores de replicación. Corrija el error en cuestión. Por ejemplo, pueden existir problemas con la conectividad IP, la resolución de nombres DNS o la autenticación de seguridad que estén impidiendo una replicación correcta. 
    3. Si el hecho de que todos los asociados de replicación se desconecten es un comportamiento esperado, lo que es raro que ocurra (quizá debido al mantenimiento o a una recuperación ante desastres), es posible forzar la validación de este rol. Use NTDSUTIL.EXE para que el mismo servidor asuma el rol. Para ello, siga los pasos que se proporcionan en los artículos de KB 255504 y 324801, disponibles en http://support.microsoft.com. 

    Puede que las siguientes operaciones se vean afectadas: 
    Esquema: ya no podrá modificar el esquema de este bosque. 
    Nomenclatura de dominios: ya no podrá agregar ni quitar dominios en este bosque. 
    PDC: ya no podrá realizar operaciones de controlador de dominio principal, como actualizar directivas de grupo o restablecer contraseñas para cuentas que no pertenezcan a los Servicios de dominio de Active Directory. 
    RID: ya no podrá asignar nuevos identificadores de seguridad para nuevas cuentas de usuario, cuentas de equipo ni grupos de seguridad. 
    Infraestructura: las referencias de nombre entre dominios, como la pertenencia a grupos universales, no se actualizarán correctamente si el objeto de destino se mueve o cambia de nombre.

    ============================

          Los Servicios de dominio de Active Directory no pudieron establecer una conexión con el catálogo global. 

    Datos adicionales 
    Valor de error:
    1355 El dominio especificado no existe o no se pudo poner en contacto con él. 
    Identificador interno:
    3201395 

    Acción del usuario: 
    Asegúrese de que haya un catálogo global disponible en el bosque y de que pueda obtenerse acceso a él desde este controlador de dominio. Puede usar la utilidad nltest para diagnosticar este problema.

    ======================

       

    El comprobador de coherencia de la información (KCC) ha detectado numerosos errores en los sucesivos intentos de replicación con el siguiente servicio de directorio. 

    Intentos:
    15 
    Servicio de directorio:
    CN=NTDS Settings,CN=FSERVERANTIC,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=ag,DC=local 
    Período de tiempo (minutos):
    866 

    Se omitirá el objeto de conexión para este servicio de directorio y se establecerá una nueva conexión temporal para garantizar que la replicación continúe. Una vez que se reanude la replicación con este servicio de directorio, se quitará la conexión temporal. 

    Datos adicionales 
    Valor de error:
    1908 No se puede encontrar el controlador de dominio para este dominio.

      
    viernes, 27 de diciembre de 2019 15:20
  • Lo entiendo perfectamente. Y si no estuviera tan desesperado, no lo haría. 

    Decir también que he encontrado mensajes parecidos a los míos en estos mismos foros. Pero entiendo que es muy difícil, por no decir imposible solucionar un problema de esta complejidad mediante mensajes en foros. 

    Pero es que no tengo alternativa. Así que pido perdon por adelantado. A ver si alguien me dice al menos por donde puedo tirar, porque ahora mismo, diría que ninguno de los 2 servidores tiene funcionalidad completa de DC y simple y llanamente no se que hacer. 


    viernes, 27 de diciembre de 2019 22:03
  • Una cosa que creo que me puede ayudar y puede ser sencilla de explicar. Es el tema de como verificar. 

    Es decir. El problema básico que me he encontrado, es que he hecho todos los pasos  y no he recibido ningún error (al menos aparente) de las ordenes y pasos que he ido realizando. Pero luego, esto no funciona. Y la unica manera que he visto que puedo verificar si todo está absolutamente correcto, es lo de sacar y meter una maquina en el dominio. Pero entiendo que debería haber alguna instrucción o instrucciones que permitan confirmar que todos los elementos necesarios para que el servidor sea un DC completamente funcional.

    Gracias de nuevo.

    viernes, 27 de diciembre de 2019 22:11