none
Formatear Server 2003 sin modificar perfiles usuarios XP RRS feed

  • Pregunta

  • Tengo la siguiente situación preocupante de por si:

    Tengo 02 server identicos fisicamente HP, Tengo 2003 SVR en ambos, 01 principal otro secundario con replicas, principal con DNS y AD, secundario solo AD (Replicando), debo formatear el principal y por ende los usuarios quedaran logueando y trabajando con secundario.

    Al formatear el principal (Se dejara con misma IP, se creara mismo dominio EMPRESA.LOCAL, se crearan los mismos usuarios con los mismo datos, etc) toda la configuración deberia quedar igual para no afectar servicios y sistemas que ya estan en uso actualmente y deben seguir activos.

    Al formatear el principal, por mas que cree toda la configuración identica, tendre que sacar a los users del dominio viejo y asignarle el dominio nuevo. PREGUNTA No.1 = EXISTIRA UNA FORMA CON EL "SSID" DE NO TENER QUE SACAR A LOS USUARIOS DEL DOMINIO VIEJO E INCLUIRLOS EN EL NUEVO SINO AL CREAR EL NUEVO SERVER, TODOS LOS USUARIOS LO RECONOZCAN. ¡????

    El secundario quedara compartiendo los servicios y sistemas, pero despues de formatear el nuevo debo pasarlos otra vez al principal.  PREGUNTA No. 2 = El secundario tiene el DCPROMO del dominio viejo y despues de formateado el nuevo, debe ser el secundario de ese dominio nuevo.   Si la primera pregunta es afirmativo, lo podre hacer con mi segundo server ?; es decir; que cuando conecte mi server principal formateado el secundario lo podria reconocer de una vez o este secundario es preferiblemente fomatearlo tambien ????

    Muchas gracias por la ayuda que me puedan brindar, ya que ustedes son mi soporte en estos temas  que casi nunca manejo.   En mi localidad estoy buscando como estudiar una certificacion en servidores windows, pero se me es dificil ya que la localidad es andina, y siempre esas certificaciones son en las capitales nacionales.

    Jorge Velazco

     

    sábado, 30 de abril de 2011 1:36

Respuestas

  • A ver si puedo aclararte, porque evidentemente hay algunas cosas que no tienes muy claras :

    No existen los servidores "primarios" y "secundarios" a partir de W2000, eso era para NTs, ahora cualquiera de los controladores de dominio acepta cambios.

    Si tienes dos Controladores de Dominio del mismo dominio, aunque saques uno, en el otro queda toda la información de Active Directory

    Lo que deberías hacer primero es que ambos Controladores de Dominio, sean Catalogo Global y DNSs. Y en los clientes que tengan configurados como DNSs a ambos.

    Luego despromover el servidor que tiene problemas, esto es para que el Active Directory quede "limpio"

    Inclusive luego de lo anterior borrar la cuenta de máquina en Active Directory

    Luego, lo reinstalas y lo unes al dominio, como cualquier máquina, y finalmente lo promueves nuevamente como Controlador de Dominio adicional en el dominio existente.

    Hecho adecuadamente no pierdes nada.

    La opción de pensar que reinstalando con el mismo nombre y la misma IP, es el mismo dominio o máquina no va a funcionar de ninguna manera, ya que en la interfaz de usuario muestra nombres, pero internamente utiliza IDs de Seguridad (SIDs) que nunca se repiten (análogos a números de documentos)

    Moví la pregunta a Directorio Activo, ya que en realidad está relacionado a este tema

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    • Propuesto como respuesta Ismael Borche miércoles, 4 de mayo de 2011 15:46
    • Marcado como respuesta Ismael Borche jueves, 5 de mayo de 2011 17:13
    lunes, 2 de mayo de 2011 18:16
    Moderador

Todas las respuestas

  • A ver si puedo aclararte, porque evidentemente hay algunas cosas que no tienes muy claras :

    No existen los servidores "primarios" y "secundarios" a partir de W2000, eso era para NTs, ahora cualquiera de los controladores de dominio acepta cambios.

    Si tienes dos Controladores de Dominio del mismo dominio, aunque saques uno, en el otro queda toda la información de Active Directory

    Lo que deberías hacer primero es que ambos Controladores de Dominio, sean Catalogo Global y DNSs. Y en los clientes que tengan configurados como DNSs a ambos.

    Luego despromover el servidor que tiene problemas, esto es para que el Active Directory quede "limpio"

    Inclusive luego de lo anterior borrar la cuenta de máquina en Active Directory

    Luego, lo reinstalas y lo unes al dominio, como cualquier máquina, y finalmente lo promueves nuevamente como Controlador de Dominio adicional en el dominio existente.

    Hecho adecuadamente no pierdes nada.

    La opción de pensar que reinstalando con el mismo nombre y la misma IP, es el mismo dominio o máquina no va a funcionar de ninguna manera, ya que en la interfaz de usuario muestra nombres, pero internamente utiliza IDs de Seguridad (SIDs) que nunca se repiten (análogos a números de documentos)

    Moví la pregunta a Directorio Activo, ya que en realidad está relacionado a este tema

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    • Propuesto como respuesta Ismael Borche miércoles, 4 de mayo de 2011 15:46
    • Marcado como respuesta Ismael Borche jueves, 5 de mayo de 2011 17:13
    lunes, 2 de mayo de 2011 18:16
    Moderador
  • Mil gracias amigo guillermo, diculpe la tardanza para la respuesta pero no conseguia mi POST.

    En cuenta y gracias por la aclaratoria, aunque a mi 2do server debo colocar como MAESTRO OPERACIONES y todo lo demas...ya estoy un poco mas claro.

    Mi primer server y original, debe formatearse y luego de todo eso debe volver a ser mi principal, por cuanto el secundario es temporal y logueara a mis usuarios que fueron previamente replicados.  Luego de iniciar operaciones con mi nuevo server debo regresar todos mis sistemas y por ende deberia ser nuevamente mi principal del AD.   Estuve leyendo los ATDM o trasnferencias de usuarios entre AD para evitar tener que crear nuevos perfiles, será poco confiable..??????    Despues de iniciado mi primer server, DESPROMOCIONARE al temporal, y al hacerlo, windows me pregunta si deseo eliminar AD y todo lo demas...para dejarlo limpio, luego hare DCPROMO para generarlo como el secundario oficial nuevamente.  que opinion tecnica le merece esa maniobra. ??? Fisicamente y por ubicacion debo mantener el mismo principal...

    Gracias nuevamente, Jorge Velazco

    lunes, 13 de junio de 2011 20:32
  • Hola Jorge, lo que nombras como "ATDM" entiendo que te refieres a ADMT (Active Directory Migration Tool) ¿si?
    Esto no lo debes usar, porque es para clonar/migrar entre Dominios diferentes, y en tu caso lo que se quiere es preservar el mismo Dominio, para que no se pierdan las configuraciones.

    Teniendo dos Controladores de Dominio, deberías *despromover* el que quieres cambiar (esto transferirá los FSMO Roles), y eliminar la cuenta de máquina del Dominio. No formatear directamente porque quedará "basura" en el AD.

    También debes tener en cuenta el servicio DNS y la funcionalidad de Catálogo Global

    Revisa el enlace que pongo abajo que, aunque no es exactamente igual a lo que necesitas, te dará una idea de cómo manejarse con estos dos últimos

    Cambiar Controlador de Dominio « WindowServer:
    http://windowserver.wordpress.com/2011/02/26/cambiar-controlador-de-dominio/

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    lunes, 13 de junio de 2011 21:30
    Moderador
  • Disculpe, si era ADMT y obviamente estaba confundido con el uso.   Sobre el enlace muy bueno y es lo que necesito, es decir, el secundario me quedara como principal (Luego que pase los 05 FSMO y lo genere como catalogo global), andando todo bien; voy formateando el otro servidor, instalo todo lo basico, y lo incluyo como ADICIONAL (Devuelvo los 05 FSMO y lo genero como catalogo global) y me quedara nuevamente como mi principal y el secundario volvera a ser secundario luego de despromoverlo y promoverlo nuevamente, y asi mantendre mis users y sus SIDs.  Es lo que entendi de ese articulo.

    Pero entren sus comentarios, *despromover* (esto transferirá los FSMO Roles), esto no es automatico ??? para pasar FSMO necesito tener ambos encendidos ?????

    El principal actual  se llama 01, debo formatearlo obligado segun mi gerente; El secundario se llama 02 y quedara como principal mientras formateo el obligado 01.     En el secundario 02, que me hara de DC (Mientras formateo), borro el server 01 que esta en COMPUTER del AD,  por cuanto no entiendo cual AD quedara embasurado ??

    Otra consulta:   el secundario volvera a ser secundario luego de despromoverlo y lo hare con DCPROMO que me indicara que debo borrar todo el AD que tiene, dar SI y que mas deberia limpiar para que no me afecte cuando vuelva a dejarlo como secundario con DCPROMO ???

    Muchas gracias y disculpe tanta molestia, pero personas como usted son los que nos da una luz al final del camino a perdidos como yo, quienes nunca hemos trabajado mucho con estos temas, pero por cosas de mantener mi trabajo debo ejecutarlo igual.

    martes, 14 de junio de 2011 17:32
  • Por partes :-)

    No hay DCs primarios y secundarios, cualquiera acepta cambios. Lo de PDCs y BDCs se acabó con NT4

    Algunos, creo que en forma no correcta, llaman "primario" al que tiene los 5 "FSMO Roles", pero a mi entender no justifica

    Cuando se despromueve un DC (con DCPROMO.EXE) si este DC tiene alguno de los roles se encargará automáticamente de pasarlos a uno de los otros DCs que quedan. Es importante que durante el asistente NO le marques que es el último Controlador de Dominio del Dominio. Por supuesto que todos los DC deben estar encendidos.
    Luego de la despromoción queda como simple servidor miembro del dominio, puedes hacer con él lo que quieras, sólo debes borrar su cuenta de AD.

    Si no se despromueve, como puse antes, al DC antes de sacarlo, el resto de los DCs no se enteran. Por lo tanto tratarán de seguir replicando la información, y al no estar presente se generan toda una serie de errores

    Para evitarte posibles inconvenientes te aconsejo que antes de despromoverlo, asegurarte que el otro DC sea Catálogo Global, que tenga DNS, y que los clientes lo tengan configurado para usar como servidor DNS.
    Si no quieres correr riesgos, lo apagas por ejemplo por un día, revisas que todo está funcionando correctamente, y recién luego lo despromueves.

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    martes, 14 de junio de 2011 18:39
    Moderador
  • Gracias nuevamente amigo Guillermo, entiendo lo de DCs primarios y secundarios, solo que los nombraba separados para identificar los servers.

    Cualquier eventualidad le estare informando por esta via, todo esto lo debo hacer el Viernes 17 Junio 2011, esperemos buenos resultados.

    martes, 14 de junio de 2011 20:23
  • Buen día amigo Guillermo, tanto nadar para morir en la orilla, a la final tuve que formatear el que replicaba (secundario por llamarlo asi), debido a una falla general de comunicación que presento 02 dias antes (coloque el post en
    http://social.technet.microsoft.com/Forums/es-ES/wsnies/thread/957805c5-d334-4e50-9206-bb65638acf3f)

    Me falta solo relizar el DCPROMO para dejarlo replicando con mi actual DC, PEROOOO, Cuando quice Despromover el server que formatee, me indicaba que error del servicio RCP, por cuanto decidi realizar limpieza con los comandos metadata y despues revice mi actual DC y al parecer todo estaba bien en mi DNS y AD, osea no quedaba rastro de mi serverformateado.  Pero revisando hoy visor de sucesos de mi DC actual,

    observo NTDS Replication error 2088 buscando mi serverformateado, volvi a revisar mi msdc de DNS pero no veo nada.

    Ademas error USERENV 1030 y 1058, el cual no encuentra una politica vieja o dañada, busque el codigo en la SYSVOL y esa poltiica no existe, estuve revisando y me consegui tools DCGPOFIX, sería conveniente recuperar con esa utilidad o se podria borrar definitvamente ???  Esa misma GPT.ini no la consiguen algunos PC usuarios y por ende el visor esta saturado con este error......alguna sugerencia para asignarles otras GPT.ini ?

    Mil gracias y disculpe, pero me gustaria depurar mi DC actual para cuando PROMOCIONE mi serverformateado, pase todo bien o lo mas limpio posible.

     

    sábado, 18 de junio de 2011 15:43
  • Para remover los datos del DC que ya no existe utiliza el procedimiento detallado en:

    How to remove data in Active Directory after an unsuccessful domain controller demotion:
    http://support.microsoft.com/kb/216498

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    domingo, 19 de junio de 2011 21:39
    Moderador
  • Buen día, ese fue el mismo proceso de limpieza sobre archivos metadata que realice, y como le comentaba en anterior post, que al parecer todo se veia bien ya no aprecia nadarelacionado con serverformateado ni en mi AD ni en DNS.  Ya resolvi error 2088 sobre MSDTC.  tambien lo de los GPT.ini con unos respaldos de GUID que tenia.  AHORA EL SOBERANO PROBLEMA ES QUE mi serverformateado no tomo toda la replica, es decir, no quedo ni la carpeta SYSVOL ni NETLOGON creados en mi serverformateado, por ende me genera error 13508 sobre problemas de replica.

    Durante la instalacion del DCPROMO "Asistente AD" me indico en un mensaje:  La informacion de configuración del directorio indica que ya existe un controlador dominio Serverviejo, Desea continuar?  al indicar SI se reemplazara toda la info existente.  YO indique que si por el ultimo mensaje en donde reemplazaria todo lo viejo...pero al revisar, no me creo SYSVOL ni NETLOGON y me genera error 13508 sobre problemas de replica.   Instale servivioDNS en ambos servidores.

    Verfique AD (Avanzada) system - file replication - y observo ambos servidores maestroactual y replicado como miembro FRS, verifique de igual manera sitios y servicios, observo ambos servidores y NTDS Settings generados automaticamente com tipo conexion.  Revise services.exe para verificar servicios FRS y estan automaticos iniciados...No se que mas me pudiera recomendar ??  Obviamente vendra de algo que quedo en mi maestroactual en donde justamente queria dejarlo limpio para cuando replicara evitara estas fallas, y a su vez el server replicado debia quedar con el mismo nombre porque se manejan muchas config en PC usuarios, sobre archivos y sistemas compartidos, que se hubiesen visto afectados por el cambio de nombre de dicho server.

    Muchas gracias por las ayudas

     

    lunes, 20 de junio de 2011 13:07
  • Evidentemente quedó algo del servidorformateado. O dio algún error que no viste en el momento, o faltó replicar y quedó algo en otro DC, o lo que sea que "las máquinas son así" :-)

    Revisa el siguiente artículo que tiene como resolver problemas de del Sysvol y Netlogon:
    Troubleshooting missing SYSVOL and NETLOGON shares on Windows domain controllers:
    http://support.microsoft.com/kb/257338

    Si con eso no soluciona yo evaluaría además hacer la limpieza y comenzar nuevamente. Si ya sé que puede resultar incómodo y trabajoso, pero con otro nombre hubiera sido más fácil.

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    lunes, 20 de junio de 2011 22:06
    Moderador
  • Buen día Amigo Guillermo, gracias por la información, pero como le indique en aterior oportunidad ya habia revisado todo eso...y nuevamente tanto nadar para morir en la orilla, FIREWALL DE WINDOWS 2003 SRV, me estaba bloqueando la replica..., cuando hice el DCPROMO ya estaba activo pero pensaba que no tendria problemas por ser procesos internos de windows y en ultima instancia me pediria DESBLOQUEAR el proceso de DCPROMO, pero no fue asi...compare con otro compañero que si tenia ciompartido el SYSVOL y NETLOGON y me indico que apenas formateao incluyo en dominio y luego DCPROMO y deduje que era por el firewall....Yo si lo habia habilitado porque sufrimos un ataque por el puerto 1433 SQL Server y nos movio daño el servidor (Temas internos que no se entienden como dejar estos puertos estandars abierto a internet).

    Seguire ubicando que servicio o puerto debo dejar habilitado para que se hagan las replicas teniendo el Firewall ACTIVO...imagino algo referente a NTFRS, pero si usted me podria indicar seria buenisimo.

    Muchas gracias nuevamente por toda la información que me entregado,

    Jorge Velazco

    miércoles, 22 de junio de 2011 13:58
  • Prácticamente todos

    Active Directory Replication over Firewalls:
    http://technet.microsoft.com/en-us/library/bb727063.aspx

    Active Directory Replication Over Firewalls - TechNet Articles - Home - TechNet Wiki:
    http://social.technet.microsoft.com/wiki/contents/articles/active-directory-replication-over-firewalls.aspx

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    miércoles, 22 de junio de 2011 14:04
    Moderador
  • Gracias por la informacion desde ayer 22.06.11 quedaron abiertos casi todos y por el momento no he tenido problemas de replica o al menos no se ha generado un eventID.

    Por mi lado creo que estamos caso cerrado de todas maneras queria consultar sobre un error que sufre un compañero en otra sede, al querer incluir en serverformateado en el dominio para luego hacer dcpromo, le sale este error al querer unirlo al dominio...se ha probado este articulo de microsoft http://support.microsoft.com/kb/910202/es, pero sin buen resultado por los momentos.

    "El servicio de directorio no puede asignar un identificador relativo"

    Conoce alguna pagina web para estudiar a distancia alguna certificacion de server microsoft. ??? en la zona andina donde vivo no llega nada de  eso, al menos en academias, todo es en la capital.

    Gracias

    jueves, 23 de junio de 2011 21:03
  • Un error relativo a los identificadores relativos, es seguramente porque está faltando el rol FSMO Rid Master

    Con este artículo puedes ver los roles
    How to view and transfer FSMO roles in Windows Server 2003:
    http://support.microsoft.com/kb/324801

    Con éste, cómo apoderarse del rol
    Using Ntdsutil.exe to transfer or seize FSMO roles to a domain controller:
    http://support.microsoft.com/kb/255504

    Y un poco de explicación de los FSMOs en:
    Maestros de Operaciones (FSMO Roles) – Parte 1 « WindowServer:
    http://windowserver.wordpress.com/2011/05/10/maestros-de-operaciones-fsmo-roles-parte-1/
    Maestros de Operaciones (FSMO Roles) – Parte 2 « WindowServer:
    http://windowserver.wordpress.com/2011/05/15/maestros-de-operaciones-fsmo-roles-parte-2/

    Al ser un tema nuevo, por favor comienza un nuevo hilo... Gracias

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    jueves, 23 de junio de 2011 22:21
    Moderador
  • Buenas noches amigo Guillermo nuevamente con el tema de formatear servidores 2003 server.

    Ocurre que se me daño nuevamente el principal por decirlo asi, ya se que no hay primario ni secundario.

    El 2do server que debe quedar como principal para loguear a usuarios etc, no me deja loguear, ya coloque la ip en los dns de cada cliente pero nada.

    Ya mi secundario LHB02 es Master por todos lados y sale reconocido como tal, tengo todos mis usuarios pero no loguean como debe ser,  de hecho para  ver carpeta compartidas en este server debo incluir siempre la clave administrador.

    Estoy a punto de crisis alguna sugerencia????

    lunes, 24 de junio de 2013 1:18