none
Error en la relación de confianza

    Pregunta

  • Hola a todos, soy consciente de que este tema ha sido tratado en varias ocasiones en este foro pero he leído y probado mucho sin llegar aún a encontrar una solución estable a mi problema. El caso es que hace unos meses comenzamos la migración de varios equipos con XP a Windows 7, para ello la empresa los adquirió nuevos. Realizamos una única instalación y la clonamos con la herramienta que trae W7. Luego hemos ide uniendo al dominio paulatinamente cada equipo nuevo y hemos transferido los datos entre cada PC con XP a W7 con Windows Easy Transfer.

    Hasta aquí, sin problemas. Pero poco a poco ha ido saliendo el error "Error en la relación de confianza entre la estación de trabajo y el dominio principal" en cada uno de los PC`s, impiediendo que el usuario pueda logarse en el Dominio. Después de leer bastante sobre el tema volqué la imagen realizada sobre cada equipo de nuevo y realicé un "sysrep /oobe /generalize /reboot " añadiendo después cada estación al dominio principal porque creía que con eso llegaría la solución a mis quebraderos de cabeza pero ... no. Esta misma semana he vuelto a tener el mismo error en el 1er equipo que creí haber solucionado y me temo que los demás irán en cadena. En cada caso, lo solucioné de manera temporal, sacando el PC del dominio y volviéndolo a integrar pero en otras ocasiones ya lo hice antes y tarde o temprano vuelve a dar el mismo error.

    Realmente estoy desorientado con este problema y agradecería cualquier ayuda sobre el mismo.

    La configuración básica de la red es la siguiente:

      Servidor Windows 2003 SBS SP 2 (10.10.80.10) con funciones de Controlador de Dominio y Servidor DNS Local.

      Servidor Linux CentoOS (10.10.80.12) con funciones de Servidor DNS Caché para resolver dominios externos y Servidor DHCP de la Red.

      Los PC Cliente tienen como DNS Primario el 10.10.80.10 y DNS Secundario el 10.10.80.12

    Nunca los Equipos con Windows XP me han dado este problema y siempre los he clonado con Norton Ghost 9 y sin realizar sysrep ....

    Muchas gracias por vuestro tiempo.

    Miguel A. Velasco


    Miguel A.Velasco Administrador de Sistemas
    viernes, 07 de enero de 2011 12:52

Respuestas

  • Hola,

    tienes 2 SIDS duplicados en tu lista... revisalo y actua en consecuencia. Yo haria lo siguiente :

    1.-  Re-configuraria la configuracion de red tal y como te comente en mi primera respuesta.

    2.- Corregiria el problema del SID duplicado que tienes ahora mismo, asegurandote de que la cuenta del equipo que le cambies el SID se crea correctamente en el Active directory ( no la reaproveches, borrala antes y luego añade de nuevo el equipo) 

    3.- verificaria el protocolo para clonar e instalar nuevas maquinas en el dominio de la manera correcta.

    Si con los dos primeros puntos no se soluciona tu problema ( yo creo que si deberia solucionarse, estoy 100% eguro ) y en un futuro vuelves a tener problemas con la cuenta del equipo en el dominio, almenos ya tienes toda la informacion para reinstalar las maquinas y hacerlo correctamente desde el principio.

    Otra cosa... si reinstalas una maquina desde 0 , o le pasas un sysprep,  y vas a re-aprovechar el nombre de la misma... antes de añadirla al dominio, borra su cuenta de equipo del active directory y cuando la añadas al equipo verifica que la cuenta se creo de nuevo.. esto es signo inequivoco de que las cosas se hacen bien.. a partir de ahi solo debes asegurar buena conectividad entre las estaciones y el servidor ( que no tengas el firewall activado y bloqueando puertos criticos del Active Directory ) y que obviamente, no tengas maquinas con el mismo SID.

    Saludos


    MCITP: Server Administrator (Windows Server 2008)
    martes, 11 de enero de 2011 19:28
    Moderador

Todas las respuestas

  • Hola,

    el problema que tienes no deberia ser debido a esto, pero igualmente empieza por quitarle a los PCs cliente el DNS Secundario ya que no les hace falta, el unico que les debe responder a nivel de DNS es el Controlador de dominio 2003, si por alguna razon, el DC no respondiese a tiempo... les responderia el servidor Linux y este no indicaria correctamente el DC donde iniciar sesion por lo que es probable que con el tiempo se pierda la relacion de confianza para la cuenta del equipo en tu Active Directory.... esta opcion es muy remota porque no hay motivo para que tu servidor 2003 no responda... pero bueno.. lo mejor es quitarlo y asegurarte de que eso no va a suceder.

    Luego en tu controlador de dominio 2003 es donde debes configurar el servidor Linux como reenviador DNS ( no como DNS secundario, sino como reenviador en las propiedades del servicio DNS. El Servidor 2003 debe apuntarse a si mismo como DNS primario en sus propiedades TCP/IP y el secundario debe estar en blanco a menos que tengas mas servidores DNS integrados en Active Directory)  para que cuando el DC no conozca un dominio externo se lo pregunte a tu servidor Linux y este responda..o siga preguntando en la cadena...

    PC --> Server DC 2003 -->Linux CentOS-->Internet

    Prueba y comentanos.

    Saludos!!


    MCITP: Server Administrator (Windows Server 2008)
    sábado, 08 de enero de 2011 12:28
    Moderador
  • Hola de nuevo y muchas gracias Pep por tu ayuda. Voy a aplicar la configuración que propones desde ya porque  es mucho más lógica que la que tengo y ni se me había pasado por la cabeza. Pero me sigue asaltando la duda de ¿por qué este problema sólo me está dando en los equipos con Windows 7 que he clonado? No me sucede en los PC´s con XP ni en los que tienen W7 con su instalación original de fábrica ....

    ¿Crees que sysrep no es la solución a mi problema?

    Muchas gracias por tu tiempo e invito  a cualquiera que pueda ayudareme para que me eche una mano.

    Un cordial saludo,

     


    Miguel A.Velasco Administrador de Sistemas
    lunes, 10 de enero de 2011 9:14
  • Hola Miguel, te comento que acabó de desplegar 2 desktop con windows 7 y hasta ahora no me han dado problemas de relación de confianza con el PDC. (aunque recien llevan media semana trabajando) 

    Una consulta has activado windows despues de cloonarlos ? 

    También te comento que solo se puede aplicar hasta 3 veces la característica sysprep a un equipo. Como yo lo e hecho es de la sgte forma:

    1. Preparé una máquina con el windows y demás software necesario.

    2. Apliqué el comando sysprep /generalize /oobe /shutdown

    3. Bootee desde un CD con el WinPE o cualquier so que me permita sacarle una imagen al disco.

    4. Con esa imagen empiezo a desplegar a los demás equipos. (Con hardware idéntico)

    Espero haberte ayudado.

    Saludos


    Diego Caccire Windows System Administrator
    lunes, 10 de enero de 2011 16:39
  • Hola Miguel,

    si creo que clonar equipos sin hacerles un sysprep antes es motivo de que suceda lo que te sucede a ti ya que el SID de la maquina se repite en varios equipos y es obvio que eso puede hacer que la cuenta de la maquina se bloquee en el AD y de ahi a que se pierda la relacion de confianza, problemas para iniciar sesion, aplicar GPOs de maquina.. etc.. 

    Ahora bien, por lo que me ha parecido entender.. la segunda vez te sucedio con equipos clonados y en los que ya se habia aplicado el sysprep por lo que si lo has hecho correctamente.. este ya no deberia ser tu problema.

    Te diria que te bajes, si no lo tienes ya, el PsGetSID, es una utilidad de sysinternals ( ahora microsoft ) que te permite ver el SID de ese equipo, se me ocurre que puedes scriptarlo para ejecutarlo en todos los equipos y que guarden el resultado en un fichero comun que luego podras utilizar para detectar los equipos con SIDs duplicados y asi establecer una relacion entre equipos que fallan y el SID que estan utilizando.

    Lo bueno de esta utilidad es que puedes lanzarla desde tu maquina en remoto contra los equipos que quieras observar por lo que puedes guardar en ese fichero el nombre del equipo, la IP y el SID que de devuelve la utilidad. Si separas ambos valores con ; (formato .csv por ejemplo)  luego puedes tratarlo con excel de una manera facil y enseguida veras los equipos que pueden ser susceptibles de crearte problemas.

    PSGetSID

    Introduction

    PsGetsid allows you to translate SIDs to their display name and vice versa. It works on builtin accounts, domain accounts, and local accounts.

    Installation

    Just copy PsGetSid onto your executable path, and type "psgetsid".

    Usage

    Usage: psgetsid [\\computer[,computer[,...] | @file] [-u username [-p password]]] [account|SID]

    If you want to see a computer's SID just pass the computer's name as a command-line argument. If you want to see a user's SID, name the account (e.g. "administrator") on the command-line and an optional computer name.

    Specify a user name if the account you are running from doesn't have administrative privileges on the computer you want to query. If you don't specify a password as an option, PsGetSid will prompt you for one so that you can type it in without having it echoed to the display.

    http://technet.microsoft.com/en-us/sysinternals/bb897417

    Saludos

     

     


    MCITP: Server Administrator (Windows Server 2008)
    lunes, 10 de enero de 2011 19:39
    Moderador
  • Hola de nuevo, muchas gracias tanto a Diego como a Pep por vuestros comentarios que me están siendo de mucha utilidad. 

    Os comento con un poco más de detalle los pasos que he seguido para clonar las máquinas después de haberme encontraro con el error en la Relación de Confianza, que como veréis guarda bastante similitud con el que ha usado Diego:

    1. Preparé una máquina con el windows y demás software necesario.
    2. Cloné esa máquina (con la utilidad de W7) en una imagen que almacené en un NAS.
    3. Inicié cada PC con el mismo Hw con el CD de instalación de W7 hasta llegar a la opción que te permite restaurar el sistema desde una Imagen hecha con anterioridad. Y restauré dicha imagen en cada PC.
    4. En cada PC realicé un sysrep /generalize /oobe /reboot (esto inicialmente no lo hacía pero tras fallar lo apliqué en todos los PC)
    5. En cada PC, una vez reiniciado el sistema tras el sysrep, configuré las características particulares de cada uno (nombre del Equipo, integración en el dominio de AD y activación de W7)

    Como veréis el método es similar al aplicado por Diego pero no igual y es porque en mi caso inicialmente al desconocer Sysrep y el problema con las relaciones de confianza yo volcaba directamente la imagen del NAS a cada equipo y los configuraba sin más. Una vez que empezaron a fallar los PC´s y leí sobre sysrep en Google he querido reutilizar la imagen que ya tenía y aplicarle un Sysrep antes de volcarla a cada PC. Pero aún así ha vuelto a fallarme un PC y supongo que sucederá lo mismo con el resto ....

    En cuanto al uso que comenta Pep de PSGetSID lo he realizado y el resultado aparente es que ningún equipo tiene el mismo SID:

    Equipo  SID
    O-50    S-1-5-21-467158937-3747602292-4030181725
    O-51    S-1-5-21-1489010274-2339849003-4038996584
    O-52    S-1-5-21-474595523-3883549824-3288211092
    O-53    S-1-5-21-3435824782-3373092511-571910300
    O-54    S-1-5-21-467158937-3747602292-4030181725

    Se me olvidó comentar en post anteriores que hace meses me falló también un máquina virtual con XP . La peculiaridad de este caso es que al migrar el PC de un usuario con responsabilidades en la empresa quise curarme en salud y virtualicé su PC con XP para reproducirlo con VmWare Player. Pues bien, al cabo del tiempo esa máquina Virtual también sufrió el problema de la confianza con el dominio y tuve que sacarla de éste y volver a integrarla luego. Y la verdad, me desconcertó bastante porque no sé que podían tener en común ese máquina virtual con el Equipo de W7 que estaba usando ese usuario ....

    En fin, espero no haber sido demasiado "plomo" con todo lo que os he explicado pero si alguien se le ocurre que puedo estar haciendo mal para que me de este fallo que por favor me ilumine :).

    Un cordial saludo y muchas gracias por vuestro tiempo.

     


    Miguel A.Velasco Administrador de Sistemas
    martes, 11 de enero de 2011 12:42
  • Doctor no se si estoy viendo bien pero de tu lista de 5 máquinas la O-50 y la O-54 tienen el mismo SID. Definitivamente es un problema con el SID. (Es mi conclusión)

    Te paso la info que use para deployar imagenes con 7. Fijate bien en la parte que indica como crear el install.wim para instalar directamente desde la imagen. Yo creo la imagen después de aplicar el sysprep /generalize /shutdown, el equipo se apaga y en ese momento creo la imagen. 

    Tu usas la opción restore para desployar imágenes, Yo instalo windows desde un instalador personalizable (install.wim). 

    http://benosullivan.co.uk/windows/how-to-image-and-deploy-windows-7-a-complete-guide/

    Espero haberte ayudado mucha suerte.

    Saludos


    Diego Caccire Windows System Administrator
    martes, 11 de enero de 2011 15:06
  • Hola,

    tienes 2 SIDS duplicados en tu lista... revisalo y actua en consecuencia. Yo haria lo siguiente :

    1.-  Re-configuraria la configuracion de red tal y como te comente en mi primera respuesta.

    2.- Corregiria el problema del SID duplicado que tienes ahora mismo, asegurandote de que la cuenta del equipo que le cambies el SID se crea correctamente en el Active directory ( no la reaproveches, borrala antes y luego añade de nuevo el equipo) 

    3.- verificaria el protocolo para clonar e instalar nuevas maquinas en el dominio de la manera correcta.

    Si con los dos primeros puntos no se soluciona tu problema ( yo creo que si deberia solucionarse, estoy 100% eguro ) y en un futuro vuelves a tener problemas con la cuenta del equipo en el dominio, almenos ya tienes toda la informacion para reinstalar las maquinas y hacerlo correctamente desde el principio.

    Otra cosa... si reinstalas una maquina desde 0 , o le pasas un sysprep,  y vas a re-aprovechar el nombre de la misma... antes de añadirla al dominio, borra su cuenta de equipo del active directory y cuando la añadas al equipo verifica que la cuenta se creo de nuevo.. esto es signo inequivoco de que las cosas se hacen bien.. a partir de ahi solo debes asegurar buena conectividad entre las estaciones y el servidor ( que no tengas el firewall activado y bloqueando puertos criticos del Active Directory ) y que obviamente, no tengas maquinas con el mismo SID.

    Saludos


    MCITP: Server Administrator (Windows Server 2008)
    martes, 11 de enero de 2011 19:28
    Moderador
  • Hola, pues lleváis razón: no hay más ciego que el que no quiere ver y en este caso estaba por la labor de no ver los 2 SID iguales :)

    Seguiré todos los consejos que ambos porponéis, que pasan por solucionar el tema del DNS (ya estoy en ello), cambiar el SID de un equipo y la madre del cordero que es crear un nueva política para instalar W7 desde imágenes y así evitar estos problemas. Yo también estoy seguro al 100% de que con esto solucionaré el problema.

    Tan sólo me asalta una duda más, para cambiar el SID de por ejemplo el equipo O-54 bastaría con sacarlo del Dominio, verificar en el servidor que esta cuenta ya no existe en el Active Directory y volver a integrarla en el dominio ¿no? . Por cierto, quizás sepáis aclararme porqué habiendo seguido el mismo procedimiento para todos los equipos sólo hay dos que tienen el SID duplicado ...

    Muchas gracias a ambos por vuestra paciencia y vuestras claras explicaciones. Mejor no lo podías haber hecho.

    Un cordial saludo,

    Miguel A. Velasco

     

     


    Miguel A.Velasco Administrador de Sistemas
    miércoles, 12 de enero de 2011 10:40
  • Hola,

    no, porque saques el equipo del dominio y lo vuelvas a unir no se va a generar un nuevo SID para esa maquina ya que ese SID es del equipo cliente y lo unico que hace cuando lo añades al dominio es crear la cuenta para ese equipo y ese SID, pero no le va a generar uno nuevo.

    La manera mas rapida es que saques el equipo del dominio, eliminas la cuenta de ese equipo del Active directory si es que al sacarlo del dominio no se te ha eliminado automaticamente, y luego en el equipo cliente le cambias el SID. Para hacerlo te recomendaria la utilidad NewSID de sysinternals ( ahora microsoft ) pero por lo visto ha sido retirada para su descarga pero seguro que todavia la puedes encontrar buscando un poco, yo la utilice en alguna ocasion para arreglar algun desaguisado y me fue perfecta.

    NewSID

    http://technet.microsoft.com/en-us/sysinternals/bb897418

    Saludos


    MCITP: Server Administrator (Windows Server 2008)
    miércoles, 12 de enero de 2011 13:39
    Moderador
  • Hola Pep y muchas gracias por seguir ofreciéndome tu ayuda. Espero mañana encontrar un rato para poder aplicar todo lo que me has comentado. El archivo NewSI, aunque Microsoft ya no lo publica,  ya me lo he descargado de internet así que en este punto no hay problema.

    Sin lugar a dudas, una vez lo haya hecho todo, comentaré en este foro el resultado.

    Un cordial saludo y gracias de nuevo.

     


    Miguel A.Velasco Administrador de Sistemas
    jueves, 13 de enero de 2011 12:12
  • Hola de nuevo, hoy finalmente he tenido oportunidad de realizar los cambios y parece que he podido modificar el SID de uno de los 2 equipos sin problemas. sólo cabe añadir que no he podido usar NewSID con Windows 7 porque éste se me quedaba colgado pero con sysrep me ha funcionado muy bien.

    De modo que esperaremos acontenimientos y si nada sucede de aquí a un mes será porque efectivamente hemos hecho las cosas bien.

    Gracias de nuevo por vuestra inmejorable ayuda.

    Un cordial saludo,


    Miguel A.Velasco Administrador de Sistemas
    miércoles, 19 de enero de 2011 14:58
  • Saludos a todos

    Les comento que en mi caso realicé el siguiente procedimiento,

    Creé una imagen con todas las aplicaciones y corrí el sysprep/ gerenalize "apagar" al encender el equipo lo primero que hice fue crear una imagen del disco y esta imagen fue la que repliqué en todos los demas equipos. Hice la prueba en los primeros 5 equipos y no se generó ningun inconveniente. Pasado dos meses se me presenta el tema en cuestion, uno de los equipos en produccion perdió la "relacion de confianza con el dominio", me disculpa el amigo Miguel por usar su foro pero las circunstancias son las mismas y creo que vale la intervencion, mis preguntas son las siguientes:

    1) Hay otros motivos aparte del SID duplicado por los cuales un equipo pueda se sacado del dominio?

    2) (Se me ocurre) Existe la posibilidad que si estos equipos vienen de fabrica con exactamente la misma hora, esté motivando el duplicado de los SID al iniciar la instalacion con el Sysprep? tengo que entendido que el SID se genera con un aleatorio por la hora que tiene el equipo en ese momento, no es así?

    jueves, 24 de febrero de 2011 23:29
  • Saludos a todos

    Les comento que en mi caso realicé el siguiente procedimiento,

    Creé una imagen con todas las aplicaciones y corrí el sysprep/ gerenalize "apagar" al encender el equipo lo primero que hice fue crear una imagen del disco y esta imagen fue la que repliqué en todos los demás equipos. Hice la prueba en los primeros 5 equipos y no se generó ningún inconveniente. Pasado dos meses se me presenta el tema en cuestión, uno de los equipos en producción perdió la "relación de confianza con el dominio", me disculpa el amigo Miguel por usar su foro pero las circunstancias son las mismas y creo que vale la intervención, mis preguntas son las siguientes:

    1) Hay otros motivos aparte del SID duplicado por los cuales un equipo pueda ser "sacado" del dominio?

    2) (Se me ocurre) Existe la posibilidad que si estos equipos vienen de fábrica con exactamente la misma hora, esté motivando el duplicado de los SID al iniciar la instalación con el Sysprep? tengo que entendido que el SID se genera con un aleatorio por la hora que tiene el equipo en ese momento, no es así?

     

    jueves, 24 de febrero de 2011 23:31