none
Error despues de dcdiag RRS feed

  • Pregunta

  • Hol@ a todos,

    Revisando el estado del AD al ejecutar un dcdiag en tres servidores  ( que son DC y GC ) tengo este error:

    Starting test: MachineAccount
             * The current DC is not in the domain controller's OU
             ......................... S4 failed test MachineAccount

    No se ha tocado nada del DA y esos servidores estan en su UO Domain controllers, he probado con un dcdiag /s:localhost /fixmachineaccount

    pero sigo igual.

    ¿ Alguna pista ?

    Un saludo y gracias

    viernes, 19 de agosto de 2011 12:46

Respuestas

  • J.B.L. es raro, y realmente dudo que sea aconsejable, que algunos DCs reciban actualizaciones del WSUS y otros no. Pero bueno "cada maestro con su libro" :-)

    Si quisieras mantener la aplicación de GPO, podrías moverlos todos a Domain Controllers y luego filtrar la aplicación de la GPO por permisos (Denegar a los que quieras exceptuar)

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    • Propuesto como respuesta Desiderio Ondo miércoles, 24 de agosto de 2011 8:16
    • Marcado como respuesta Ismael Borche lunes, 29 de agosto de 2011 14:55
    martes, 23 de agosto de 2011 16:48
    Moderador

Todas las respuestas

  • Hola, JBL:

    Habría que comprobar si las máquinas están en el mismo site y/o pertenecen al mismo dominio (o al menos, al mismo bosque..) Hacen falta más datos: Hay algún error registrado en el Visor de Sucesos (rama SISTEMA)?


    Espero haberte servido de ayuda Un saludo ------------------------------------------ Desiderio Ondo | Computer systems engineer MCSE certified | ITIL certified
    viernes, 19 de agosto de 2011 14:00
  • Hola J.B.L

     

    Nos puedes indicar si existe algún otro error al ejecutar DCDIAG? Versión de Sistema operativo?

    Comprueba también la resolución DNS y la configuración DNS en los DCs?

     

    Y lo que te ha comentado Desiderio, seguro que en el visor de sistema encuentras cosas interesantes.

     

     

     

     

     


    Salu2!, Dani Gracia - Madrid España MCSA/MCSE 2003 Security MCITP: Enterprise Administrator (Windows Server 2008) MCTS: System Center Operations Manager 2005 MVA: Microsoft Virtual Academy MAP: Microsoft Active Professional (2010/2011) Microsoft Community Contributor 2011
    viernes, 19 de agosto de 2011 17:49
  • J.B.L. ¿están en Domain Controllers? ¿o en un OU dentro de Domain Controllers?

    Revisa este enlace:
    "The current DC is not in the domain controller's OU" error message when you run the Dcdiag tool:
    http://support.microsoft.com/kb/833436

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    • Propuesto como respuesta Dani Gracia lunes, 22 de agosto de 2011 11:02
    viernes, 19 de agosto de 2011 22:22
    Moderador
  • Hola buen@s,

    Es un Windows 2003 las máquinas están en el mismo bosque mismo site y si hago un ping tanto por nombre como por IP resuelven sin problemas.

    Y si estos servidores estan dentro de una UO dentro de la UO Domain Controllers, pero siempre lo hemos tenido asi y nunca nos ha dado problema alguno y no ha aparecido nada en el visor de sucesos y cuano he ejecutado un dcdiag.

    Un saludo y gracias

     

    lunes, 22 de agosto de 2011 6:40
  • Hola,

    tal y como te comenta el compañero Guillermo y se refleja en el articulo que te adjunta, ese problema aparece por no tener el DC directamente en la OU de Controladores de dominio ( en el primer nivel de esta OU y no es un subnivel) . Personalmente nunca he creado OUs dentro de esta ni le veo el sentido hacerlo, supongo que tu tendras tus motivos pero ya ves que para evitar errores es desaconsejable.

    Saludos.

     

     


    MCITP - Server Administrator (Windows Server 2008) MCC - Microsoft Community Contributor 2011
    • Propuesto como respuesta Desiderio Ondo miércoles, 24 de agosto de 2011 9:48
    lunes, 22 de agosto de 2011 10:36
    Moderador
  • Ya me lo encontré asi con esta configuración cuando entre en esta empresa, y nunca habia dado ningun problema y he probado a crear cuentas de usuarios para ver si replicaban, y sin problemas.
    lunes, 22 de agosto de 2011 11:08
  • Hola,

    Ya que te lo has encontrado asi, verifica tambien que sobre esa OU donde estan los DCs no tengas asignada un GPO que reconfigure algun setting de los DCs de manera contraria al standard.. echale un ojo antes de hacer nada por si los que lo configuraron asi lo hicieron con el proposito de crear una GPO sobre esa OU.

    Tal como lo tienes ahora no te va a provocar problemas de replicacion.. pero no significa que cumpla con las "practicas recomendadas", muevelos de esa OU a la raiz de la OU  "Controladores de Dominio", espera un rato o ejecuta un gpupdate /force en los DCs ( tras verificar lo comentado en el parrafo anterior )  y ejecuta de nuevo un dcdiag.exe para verificar que el problema ha desaparecido.

    Saludos


    MCITP - Server Administrator (Windows Server 2008) MCC - Microsoft Community Contributor 2011
    lunes, 22 de agosto de 2011 11:15
    Moderador
  • Hola Pep, un dato que puede ayudar. No sé realmente si los DCs tienen un valor diferente, pero el resto de los equipos "cachean" su ubicación en OU por 30 minutos según he leído.

    Para forzar la detección de la nueva ubicación, no que da otra que un reinicio

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    lunes, 22 de agosto de 2011 12:07
    Moderador
  • Hola Guillermo,

    desconozco si un DC lo cachea o no porque como digo, nunca los he movido de esa ubicacion ni del primer nivel, quizas esta es una buena oportunidad para saber el comportamiento si el compañero , tras hacer las verificaciones oportunas sobre esa OU y las GPO que pueda tener asignadas, decide mover los DCs al nivel superior.. y tras un tiempo de espera prudecial y un gpupdate /force  prueba de nuevo a hacer un dcdiag.exe  y veremos si el error continua o desaparece.

    Saludos!

     


    MCITP - Server Administrator (Windows Server 2008) MCC - Microsoft Community Contributor 2011
    lunes, 22 de agosto de 2011 14:54
    Moderador
  • Hola en cuanto pueda pruebo lo que comentais, pero ya se porque no estaban esos servidores en la UO Domain Controllers, porque tienen una

    gpo aplicada para el WSUS.

    • Propuesto como respuesta Ismael Borche martes, 23 de agosto de 2011 16:25
    martes, 23 de agosto de 2011 12:48
  • Pues si esa es la única razón por la que están en una Sub OU de la principal, podrías moverlos sin problemas y enlazar esa GPO a Domain Controllers.

    De todas maneras revisa bien la GPO, supongo que la persona que lo hizo, pensó que así estaba mejor organizado, pero lo cierto es que mover los DCs de su OU genera más de un dolor de cabeza.

     

     

     

     


    Salu2!, Dani Gracia - Madrid España

    MCSA/MCSE 2003 Security
    MCITP: Enterprise Administrator (Windows Server 2008)
    MCTS: System Center Operations Manager 2005
    MAP: Microsoft Active Professional (2010/2011)
    MCC Microsoft Community Contributor 2011

    martes, 23 de agosto de 2011 12:53
  • J.B.L. es raro, y realmente dudo que sea aconsejable, que algunos DCs reciban actualizaciones del WSUS y otros no. Pero bueno "cada maestro con su libro" :-)

    Si quisieras mantener la aplicación de GPO, podrías moverlos todos a Domain Controllers y luego filtrar la aplicación de la GPO por permisos (Denegar a los que quieras exceptuar)

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    • Propuesto como respuesta Desiderio Ondo miércoles, 24 de agosto de 2011 8:16
    • Marcado como respuesta Ismael Borche lunes, 29 de agosto de 2011 14:55
    martes, 23 de agosto de 2011 16:48
    Moderador
  • Todos reciben las actualizaciones del mismo WSUS y os explico como esta  montado porque asi nos aclaramos.

    UO DOMAIN CONTROLLERS ( aqui esta aplicacada solo Default Domain Controllers )

      UO SERVIDOR DOMAIN CONTROLLER DEL DOMINIO CON TODOS LOS ROLES ( aqui esta aplicada nuestra GPO para WSUS )

      UO SERVIDOR BACKUP DOMAIN CONTROLLER ( aqui esta aplicada nuestra GPO para WSUS )

      UO SERVIDORES DELEGACIONES QUE SON GC ( aqui esta aplicada nuestra GPO para WSUS )

    A ver si me he explicado bien.

     

     

    miércoles, 24 de agosto de 2011 8:05
  • Si muy bien, por lo que observo han estructurado los DCs en función a servicio prestado más o menos.

    No tiene sentido tener tantas OUs dentro de Domain Controllers para diferenciarlo de esa manera. Si la GPO para WSUS es la misma, yo (esta es mi opinión) añadiría una descripción en la pestaña DESCRIPCION de cada DC indicando por ejemplo Backup, o Global Catalog, o Delegación xxxx, pero los movería todos a la OU principal Domain Controllers, y la GPO de Wsus (si es la misma para todos) también la movería a Domain Controllers.

     

    De esa forma te sobrarían todas las Sub Ous.

     

     


    Salu2!, Dani Gracia - Madrid España

    MCSA/MCSE 2003 Security
    MCITP: Enterprise Administrator (Windows Server 2008)
    MCTS: System Center Operations Manager 2005
    MAP: Microsoft Active Professional (2010/2011)
    MCC Microsoft Community Contributor 2011

    • Propuesto como respuesta Dani Gracia jueves, 25 de agosto de 2011 17:19
    miércoles, 24 de agosto de 2011 8:14
  • Hola, JBL:

    Hasta cierto punto, la organización de las OU's que señalas es indiferente. Personalmente creo que se puede simplificar (y mucho), en pos de una administración mucho más sencilla, pero es sólo mi opinión..

    Partimos de la base de que es MUY peligroso "jugar" con actualizaciones en servidores por razones varias, y una correcta gestión de las mismas consumen un tiempo que a menudo no disponemos. Lo importante es que en el diseño del árbol AD, la OU predeterminada "Domain Controllers" fue concebida para contener los DC's del site, y como bien ha comentado maese Pep López, no es una buena práctica generar otra OU dentro de la misma, ya que cuantas menos OU's y GPO's tengamos en AD, más liviano y robusta será nuestra gestión.

    En lugar de OU's te recomiendo generes contenedores, y mueve los servidores a sus respectivos. Por último, como todos los servidores tienen aplicada la GPO de las WSUS, basta con que filtres la GPO OU "Domain Controllers" forzando su aplicación.

    Como verás, es la misma solución que ya han comentado los compañeros Dani Gracia, Guillermo Delprato y Pep López. Creo correcto señalar que no nos conocemos entre ninguno de nosotros, y además cada uno tenemos nuestros propios criterios profesionales, pero si en éste tema coincidimos plenamente.. por algo será


    Espero haberte servido de ayuda Un saludo ------------------------------------------ Desiderio Ondo | Computer systems engineer MCSE certified | ITIL certified
    • Propuesto como respuesta Desiderio Ondo miércoles, 24 de agosto de 2011 12:34
    • Votado como útil Ismael Borche jueves, 25 de agosto de 2011 15:25
    miércoles, 24 de agosto de 2011 9:47
  • Pues probare a mover a la OU Domain Controllers dos servidores y si no hay problemas, movere el resto y os doy toda la razon lo suyo es tener a todos los DC dentro de la misma OU.
    miércoles, 24 de agosto de 2011 12:18