none
Reinstalar DC con DC secundario en la red RRS feed

  • Pregunta

  • Hola a todos, tengo una red con dominio con 2 servidores uno es el DC pricipal y otro el secundario, tengo que reinstalar el DC principal, pero quisiera asegurarme de no tener ningun problema a la hora de que cuando lo reinstale quede todo como estaba.

    He leido algo del comando Ntdsutil, pero si es posible me gustaria hacerlo en modo grafico, puede alguien indicarme los pasos a seguir.

    Muchas gracias.

     


    viernes, 25 de marzo de 2011 9:31

Respuestas

  • Haz un transfer de los cinco roles desde el DC que vas a migrar al segundo, antes de comenzar la reinstalación. Esto lo tienes que hacer con ntdsutil, pues aunque algunos de los roles solo se puede migrar de esta forma. Aunque teóricamente cuando despromociones el primer DC se deben transferir al segundo, si por alguna razón falla la despromoción, los roles no pasarían al segundo, por lo que es mejor forzar el cambio antes de empezar.

    Por otro lado, que el segundo DC sea Catálogo Global antes de empezar el proceso, y también, en el que vas a despromocionar le pones como servidor DNS sólo la IP del segundo. Una causa común de fallo al despromocionar un DC es que se tenga como servidor DNS a sí mismo. Si entonces comienzas el dcpromo, a mitad de proceso desinstala el servicio DNS del propio servidor, con lo que dejas de tener acceso al AD y se para el proceso quedando en un estado inestable; si le pones como DNS la IP del segundo DC, el proceso termina correctamente.

    En la siguiente página tienes el procedimiento para hacer un transfer de los cinco roles con ntdsutil. Te pngo la página en inglés, ya que las traducciones automáticas hacen estragos con el código a teclear.

    http://support.microsoft.com/kb/255504/en-us

    IMPORTANTE: Tienes que usar la opción transfer, no seize, ya que esta última solo hay que usarla si no tienes online el servidor que tiene los roles (ni lo vas a tener más adelante).

     


    Saludos
    José Antonio Quílez
    Mi Blog
    • Marcado como respuesta Ismael Borche jueves, 31 de marzo de 2011 0:13
    viernes, 25 de marzo de 2011 15:07
    Moderador
  • Hola,

    En realidad el comando ntdsutil es una de las herramientas que dispones si el Controlador de dominio, no se despromueve en forma correcta, entonces mediante ntdsutil, uno puede limpiar toda referencia de dicho DC, ahora mediante un DCPROMO, tranquilamente lo puedes despromover y no es necesario el ntdsutil si todo corre en forma correcta.-

    Ahora bien, si luedo de reinstalar el DC, mantienes el nombre y la IP del mismo, no tendrias que tener problemas, digo de mantener esas referencias por si tienes alguna aplicacion y hasta mismo los clientes que hacen consultas a dicho DC, se verian afectados si lo instalas totalmente diferente (DNS, LDAP, etc). Tambien es recomendable, antes de despromover el DC en cuestion, chequear que no tenga roles FSMO, igualmente si corres el DCPROMO y tiene alguno, pasarian en forma automatica al segundo DC, pero si lo podemos hacer antes aun mejor.-

    Algunos links: http://technet.microsoft.com/en-us/library/cc759011(WS.10).aspx
    http://technet.microsoft.com/en-us/library/cc779518(WS.10).aspx
    http://technet.microsoft.com/en-us/library/cc771844(WS.10).aspx
    http://technet.microsoft.com/en-us/library/cc733027(WS.10).aspx
    http://support.microsoft.com/kb/255690/en-us

    Salu2


    Leonardo Ponti
    MCSE (Windows Server 2003)
    MCSA (Windows Server 2003)
    MVA
    MAP 2010/2011
    • Marcado como respuesta Ismael Borche jueves, 31 de marzo de 2011 0:13
    viernes, 25 de marzo de 2011 16:00
    Moderador

Todas las respuestas

  • Haz un transfer de los cinco roles desde el DC que vas a migrar al segundo, antes de comenzar la reinstalación. Esto lo tienes que hacer con ntdsutil, pues aunque algunos de los roles solo se puede migrar de esta forma. Aunque teóricamente cuando despromociones el primer DC se deben transferir al segundo, si por alguna razón falla la despromoción, los roles no pasarían al segundo, por lo que es mejor forzar el cambio antes de empezar.

    Por otro lado, que el segundo DC sea Catálogo Global antes de empezar el proceso, y también, en el que vas a despromocionar le pones como servidor DNS sólo la IP del segundo. Una causa común de fallo al despromocionar un DC es que se tenga como servidor DNS a sí mismo. Si entonces comienzas el dcpromo, a mitad de proceso desinstala el servicio DNS del propio servidor, con lo que dejas de tener acceso al AD y se para el proceso quedando en un estado inestable; si le pones como DNS la IP del segundo DC, el proceso termina correctamente.

    En la siguiente página tienes el procedimiento para hacer un transfer de los cinco roles con ntdsutil. Te pngo la página en inglés, ya que las traducciones automáticas hacen estragos con el código a teclear.

    http://support.microsoft.com/kb/255504/en-us

    IMPORTANTE: Tienes que usar la opción transfer, no seize, ya que esta última solo hay que usarla si no tienes online el servidor que tiene los roles (ni lo vas a tener más adelante).

     


    Saludos
    José Antonio Quílez
    Mi Blog
    • Marcado como respuesta Ismael Borche jueves, 31 de marzo de 2011 0:13
    viernes, 25 de marzo de 2011 15:07
    Moderador
  • Hola,

    En realidad el comando ntdsutil es una de las herramientas que dispones si el Controlador de dominio, no se despromueve en forma correcta, entonces mediante ntdsutil, uno puede limpiar toda referencia de dicho DC, ahora mediante un DCPROMO, tranquilamente lo puedes despromover y no es necesario el ntdsutil si todo corre en forma correcta.-

    Ahora bien, si luedo de reinstalar el DC, mantienes el nombre y la IP del mismo, no tendrias que tener problemas, digo de mantener esas referencias por si tienes alguna aplicacion y hasta mismo los clientes que hacen consultas a dicho DC, se verian afectados si lo instalas totalmente diferente (DNS, LDAP, etc). Tambien es recomendable, antes de despromover el DC en cuestion, chequear que no tenga roles FSMO, igualmente si corres el DCPROMO y tiene alguno, pasarian en forma automatica al segundo DC, pero si lo podemos hacer antes aun mejor.-

    Algunos links: http://technet.microsoft.com/en-us/library/cc759011(WS.10).aspx
    http://technet.microsoft.com/en-us/library/cc779518(WS.10).aspx
    http://technet.microsoft.com/en-us/library/cc771844(WS.10).aspx
    http://technet.microsoft.com/en-us/library/cc733027(WS.10).aspx
    http://support.microsoft.com/kb/255690/en-us

    Salu2


    Leonardo Ponti
    MCSE (Windows Server 2003)
    MCSA (Windows Server 2003)
    MVA
    MAP 2010/2011
    • Marcado como respuesta Ismael Borche jueves, 31 de marzo de 2011 0:13
    viernes, 25 de marzo de 2011 16:00
    Moderador
  • Gracias ha todos,

    ayer por fin tuve tiempo para despromover el DC principal, y transferir los 5 roles al secundario, previamente instale el servidor de DNS al server secundario y comprobe que contenia la misma informacion que el servidor DNS del DC primarioy por último elimine manualmente cualquier referencia del servidor primario en el secundario

    Aunque todo funciona bien, me aparece este mensaje de error en el visor de suceso:

    Tipo de suceso:    Error
    Origen del suceso:    NTDS Replication
    Categoría del suceso:    Cliente de RPC DS
    Id. suceso:    2087
    Fecha:        01/04/2011
    Hora:        15:28:37
    Usuario:        NT AUTHORITY\ANONYMOUS LOGON
    Equipo:    SERVERHP
    Descripción:
    Active Directory no puede resolver el siguiente nombre de host DNS del controlador de dominio de origen en una dirección IP. Este error impide que  las adiciones, eliminaciones y cambios en Active Directory se repliquen entre uno o más controladores de dominio en el bosque. Los grupos de seguridad,  directivas de grupo, usuarios y equipos y sus contraseñas no serán consistentes entre controladores de dominio hasta que este error se resuelva, lo que afecta potencialmente a la autenticación de inicio de sesiones y el acceso a recursos  de la red.
     
    Controlador de dominio de origen:
     servidor
    Nombre de host DNS con error:
     2eeb65d9-b459-4077-a4e6-12eaeda090e0._msdcs.MIDOMINIO.NET
     
    Nota: de manera predeterminada, sólo se muestran 10 errores DNS por cada periodo de 12 horas, incluso si se produjeron más de 10.  Para registrar todos  los sucesos de error individuales, establezca el siguiente valor de registro a  diagnóstico a 1:
     
    Ruta del Registro:
    HKLM\System\CurrentControlSet\Services\NTDS\Diagnostics\22 DS RPC Client
     
    Acción de usuario:
     
     1) Si el controlador de dominio de origen ya no está funcionando o su sistema operativo se reinstaló con un nombre de equipo o GUID de objeto NTDSDSA diferente, quite los metadatos del controlador de dominio de origen con  ntdsutil.exe, usando los pasos descritos en el artículo de MSKB 216498.
     
     2) Confirme que el controlador de dominio de origen esté ejecutando Active Directory y sea accesible desde la red; escriba "net view \\  <ContrDom de origen>" o "ping <ContrDom de origen>".
     
     3) Compruebe que el controlador de dominio de origen esté usando un servidor DNS válido para los servicios DNS, y que los registros host y CNAME del controlador de dominio de origen se registren correctamente, por  medio de la versión mejorada de DNS de DCDIAG.EXE, disponible en http://www.microsoft.com/dns
     
      dcdiag /test:dns
     
     4) Compruebe que este controlador de dominio de destino use un servidor DNS válido para los servicios DNS, ejecutando como sigue la versión mejorada de DNS del comando DCDIAG.EXE en la consola del controlador de dominio de  destino:
     
      dcdiag /test:dns
     
     5) Para consultar un análisis más profundo de los errores DNS, vea el  artículo de KB 824449:
       http://support.microsoft.com/?kbid=824449
     
    Datos adicionales
    Valor de error:
     11004 El nombre solicitado es válido pero no se encontraron datos del tipo solicitado.


    Para obtener más información, vea el Centro de ayuda y soporte técnico en http://go.microsoft.com/fwlink/events.asp.

     

    Sabe alguien que debo hacer para corregir este problema.

     

    Muchas gracias
    viernes, 1 de abril de 2011 18:49
  • Hola,

    Te invito pasar por el siguiente link asi encontraras solucion a tu problema: http://support.microsoft.com/kb/824449/en-us

    Salu2


    Leonardo Ponti
    MCSE (Windows Server 2003)
    MCSA (Windows Server 2003)
    MVA
    MAP 2010/2011
    sábado, 2 de abril de 2011 4:45
    Moderador