none
Time skew error between client and 1 DCs! ERROR_ACCESS_DENIED RRS feed

  • Pregunta

  • Hola amigos,

    llevo dias tratando de buscar una solucion a un problema de replicacion de sitios entre DC entre dominio y subdominio.

    Al ejecutar dcdiag /test:checksecurityerror y arroja el siguiente error:

    Testing server: Argentina\ARDC-2
       Starting test: CheckSecurityError
          Source DC DC-2 has possible security error (5).  Diagnosing...
                Time skew error between client and 1 DCs!  ERROR_ACCESS_DENIED
                or down machine received by:
                         DC-2
          Source DC PDC-1 has possible security error (5).  Diagnosing...
                Time skew error between client and 2 DCs!  ERROR_ACCESS_DENIED
                or down machine received by:
                         PDC-1
                         DC-2
          ......................... ARDC-2 failed test CheckSecurityError

    Si necesitan mas info, aqui estoy.

    ya quiero darme un tiro.

    jueves, 7 de marzo de 2019 17:56

Respuestas

  • [Guillermo] Respondo entre líneas

     

    Buen dia Guillermo, comol estas?

    -Los 4 DC son Windows 2012 R2.

    -La restauracion fue un backup de una "copia en caliente" en vmware con vcenter 6.

    [Guillermo] Esta es la causa del problema, no debe hacerse así. Hay muchos procesos sensibles al tiempo o que pueden quedar incompletos y luego producen ... bueno, ya ves :)

     

    -los nombres de dominio si incluyen sufijo "Chile: contoso.net Argentina: ar.contoso.net"

    -Las conexiones entre dominios esta por VPN site to site configuradas ocn NO NAT, dejamos todo any any entre ellos mientras solucionamos el problema, tambien revisamos el fw local y el av.

    [Guillermo] Aunque no creo que sea parte del problema, cuidado con AV de terceros, es conocido que traen problemas, tanto por accesos, como que se toman funciones de cortafuegos

     

    -La verdad que comenzaron el 17-02-2019 desde esa fecha tenemos problemas y eventos de kcc en los servidores. no nos dimos cuentas hasta la semana pasada por un objeto que no se replico.

    [Guillermo] Esto no habla bien del administrador, dale una buena reprimenda :)

     

    -Yo estaba pensando lo mismo, solo que necesito tener mas seguridad respecto a dar de baja un servidor,
    yo pensaba en eliminarlo por completo, eliminar la metadata y luego poner otro DC, pero debo estar seguro que el del problema es el PDC-1.

    Muchas gracias Guillermo por tu ayuda,

    saludos :)

    Dejo enlaces que pueden ayudarte

    Windows Server 2012 (R2): Crear un Dominio – Quitar un Controlador de Dominio que No Se Puede “Despromover” y Reemplazarlo | WindowServer

    Eliminar un Controlador de Dominio Que Ya No Existe (Fácil) | WindowServer

     


    Guillermo Delprato
    Buenos Aires, Argentina

    MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    Perfecto Guillermo,

    realizare el trabajo de despromocion del PDC y montare uno nuevo.
    Muchas gracias por toda tu ayuda, eres muy gentil.

    que tengas un buen fin de semana y te cuento cuando este solucionado, trabajare el fin de semana en esto.   

    saludos.

    viernes, 8 de marzo de 2019 15:11
  • No te olvides de los "FSMO Roles"

    Windows Server 2012 (R2): Crear un Dominio – “FSMO Roles”: Ver, Mover y Apoderarse (Novedades) | WindowServer
    https://windowserver.wordpress.com/2015/01/06/windows-server-2012-r2-crear-un-dominio-fsmo-roles-ver-mover-y-apoderarse-novedades/

    Buen finde!

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    viernes, 8 de marzo de 2019 16:47
    Moderador

Todas las respuestas

  • Lo primero a revisar es que tengan correctamente configurada la zona horaria, fecha y hora en cada servidor. No puede haber más de 5 minutos de diferencia

    Una diferencia horaria no sólo trae problemas de replicación, sino lo más grave, de autenticación

    No te des un tiro, porque así no se solucionará :)

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    jueves, 7 de marzo de 2019 19:13
    Moderador
  • Hola Guillermo, gracias por responder.

    Ya me fije en todos los servidores (net time) y están todos con la hora bien sincronizada.

    Mira aqui van mas datos:

    Tengo 2 DC en una sucursal (PDC-1 y DC-2) y otros 2 (ARDC-1 y ARDC-2)en otra. La semana pasada fallo un DC de la primera sucursal y tuvimos que levantar un bkp (maquina virtual) de hace 2 semanas atras, una vez que levanto este servidor comenzaron los problemas de replicacion y los eventos KCC "1925,1926" servidores sucursal 2.  y Evendo KCC "28" en servidores sucursal 1.

    Algunos errores que se pueden ver:

    dcdiag /test:checksecurityerror

           Testing server: Argentina\ARDC-2
           Starting test: CheckSecurityError
           Source DC DC-2 has possible security error (5).  Diagnosing...
                 Time skew error between client and 1 DCs!  ERROR_ACCESS_DENIED
                 or down machine received by:
                          DC-2
           Source DC PDC-1 has possible security error (5).  Diagnosing...
                 Time skew error between client and 2 DCs!  ERROR_ACCESS_DENIED
                 or down machine received by:
                          PDC-1
                          DC-2
           ......................... ARSVDC-2 failed test CheckSecurityError

    repadmin /SHOWREPL

    Source: Chile\DC-2
    ******* 93 CONSECUTIVE FAILURES since 2019-03-06 18:23:13
    Last error: 5 (0x5):
                Access is denied.

    Naming Context: DC=contoso,DC=net
    Source: Chile\DC-2
    ******* WARNING: KCC could not add this REPLICA LINK due to error.

    Naming Context: DC=ForestDnsZones,DC=contoso,DC=net
    Source: Chile\DC-2
    ******* WARNING: KCC could not add this REPLICA LINK due to error.

    Naming Context: CN=Configuration,DC=contoso,DC=net
    Source: Chile\DC-2
    ******* WARNING: KCC could not add this REPLICA LINK due to error.

    Source: Chile\PDC-1
    ******* 93 CONSECUTIVE FAILURES since 2019-03-06 18:23:12
    Last error: 5 (0x5):
                Access is denied.

    Naming Context: CN=Configuration,DC=contoso,DC=net
    Source: Chile\PDC-1
    ******* WARNING: KCC could not add this REPLICA LINK due to error.

    Naming Context: DC=contoso,DC=net
    Source: Chile\PDC-1
    ******* WARNING: KCC could not add this REPLICA LINK due to error.

    DCDIAG

          Starting test: KccEvent
             A warning event occurred.  EventID: 0x80000785
                Time Generated: 03/07/2019   17:29:09
                Event String:
                The attempt to establish a replication link for the following writab
    le directory partition failed.

          Starting test: KnowsOfRoleHolders
             [PDC-1] DsBindWithSpnEx() failed with error 5,
             Access is denied..
             Warning: PDC-1 is the Schema Owner, but is not responding to DS RPC
             Bind.
             [PDC-1] LDAP bind failed with error 1326,
             The user name or password is incorrect..
             Warning: PDC-1 is the Schema Owner, but is not responding to LDAP
             Bind.
             Warning: PDC-1 is the Domain Owner, but is not responding to DS RPC
             Bind.
             Warning: PDC-1 is the Domain Owner, but is not responding to LDAP
             Bind.
             ......................... ARDC-2 failed test KnowsOfRoleHolders

          Starting test: Replications
             REPLICATION-RECEIVED LATENCY WARNING
             ARDC-2:  Current time is 2019-03-07 17:37:14.
                DC=ForestDnsZones,DC=contoso,DC=net
                   Last replication received from PDC-1 at
              2019-02-17 21:56:34
                   Last replication received from DC-2 at
              2019-02-17 15:13:54
                CN=Schema,CN=Configuration,DC=contoso,DC=net
                   Last replication received from PDC-1 at
              2019-02-17 21:56:34
                   Last replication received from DC-2 at
              2019-02-17 15:13:54
                CN=Configuration,DC=contoso,DC=net
                   Last replication received from PDC-1 at
              2019-02-17 21:56:34
                   Last replication received from DC-2 at
              2019-02-17 15:13:54
                DC=contoso,DC=net
                   Last replication received from PDC-1 at
              2019-02-17 21:56:34
                   Last replication received from DC-2 at
              2019-02-17 15:13:54
             ......................... ARSVDC-2 passed test Replications

    lo del tiro lo sigo pensando ah jaja.  muchas gracias.
    saludos

    jueves, 7 de marzo de 2019 20:43
  • Comienzo preguntando

    - ¿Server 2012 o 2012R2?

    - Esa restauración ¿fue de Backup o de un punto de restauración virtual? ¿qué hypervisor?

    - Los nombres de Dominio ¿incluyen sufijo?

    - La conexión entre los dos sitios ¿es Routing puro? ¿no hay NAT? ¿no hay cortafuegos de por medio?

    - Aparentemente los errores comenzaron ayer 6/3/19 18:23 según el REPADMIN ¿qué y quien estuvo "jugando" a esa hora o un rato antes? jurá decir la verdad :)

    - Aparentemente PDC1 está "muerto", teniendo más de un DC en el Dominio es más fácil reemplazarlo que una "mala" recuperación

    [Edito y agrego] justamente PDC1 es el "time server" de la red

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.


    jueves, 7 de marzo de 2019 22:28
    Moderador
  • Buen dia Guillermo, comol estas?

    -Los 4 DC son Windows 2012 R2.

    -La restauracion fue un backup de una "copia en caliente" en vmware con vcenter 6.

    -los nombres de dominio si incluyen sufijo "Chile: contoso.net Argentina: ar.contoso.net"

    -Las conexiones entre dominios esta por VPN site to site configuradas ocn NO NAT, dejamos todo any any entre ellos mientras solucionamos el problema, tambien revisamos el fw local y el av.

    -La verdad que comenzaron el 17-02-2019 desde esa fecha tenemos problemas y eventos de kcc en los servidores. no nos dimos cuentas hasta la semana pasada por un objeto que no se replico.

    -Yo estaba pensando lo mismo, solo que necesito tener mas seguridad respecto a dar de baja un servidor,
    yo pensaba en eliminarlo por completo, eliminar la metadata y luego poner otro DC, pero debo estar seguro que el del problema es el PDC-1.

    Muchas gracias Guillermo por tu ayuda,

    saludos :)

    viernes, 8 de marzo de 2019 12:58
  • [Guillermo] Respondo entre líneas

     

    Buen dia Guillermo, comol estas?

    -Los 4 DC son Windows 2012 R2.

    -La restauracion fue un backup de una "copia en caliente" en vmware con vcenter 6.

    [Guillermo] Esta es la causa del problema, no debe hacerse así. Hay muchos procesos sensibles al tiempo o que pueden quedar incompletos y luego producen ... bueno, ya ves :)

     

    -los nombres de dominio si incluyen sufijo "Chile: contoso.net Argentina: ar.contoso.net"

    -Las conexiones entre dominios esta por VPN site to site configuradas ocn NO NAT, dejamos todo any any entre ellos mientras solucionamos el problema, tambien revisamos el fw local y el av.

    [Guillermo] Aunque no creo que sea parte del problema, cuidado con AV de terceros, es conocido que traen problemas, tanto por accesos, como que se toman funciones de cortafuegos

     

    -La verdad que comenzaron el 17-02-2019 desde esa fecha tenemos problemas y eventos de kcc en los servidores. no nos dimos cuentas hasta la semana pasada por un objeto que no se replico.

    [Guillermo] Esto no habla bien del administrador, dale una buena reprimenda :)

     

    -Yo estaba pensando lo mismo, solo que necesito tener mas seguridad respecto a dar de baja un servidor,
    yo pensaba en eliminarlo por completo, eliminar la metadata y luego poner otro DC, pero debo estar seguro que el del problema es el PDC-1.

    Muchas gracias Guillermo por tu ayuda,

    saludos :)

    Dejo enlaces que pueden ayudarte

    Windows Server 2012 (R2): Crear un Dominio – Quitar un Controlador de Dominio que No Se Puede “Despromover” y Reemplazarlo | WindowServer
    https://windowserver.wordpress.com/2015/01/13/windows-server-2012-r2-crear-un-dominio-quitar-un-controlador-de-dominio-que-no-se-puede-despromover-y-reemplazarlo/

    Eliminar un Controlador de Dominio Que Ya No Existe (Fácil) | WindowServer
    https://windowserver.wordpress.com/2012/06/02/eliminar-un-controlador-de-dominio-que-ya-no-existe-fcil/

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    viernes, 8 de marzo de 2019 13:15
    Moderador
  • [Guillermo] Respondo entre líneas

     

    Buen dia Guillermo, comol estas?

    -Los 4 DC son Windows 2012 R2.

    -La restauracion fue un backup de una "copia en caliente" en vmware con vcenter 6.

    [Guillermo] Esta es la causa del problema, no debe hacerse así. Hay muchos procesos sensibles al tiempo o que pueden quedar incompletos y luego producen ... bueno, ya ves :)

     

    -los nombres de dominio si incluyen sufijo "Chile: contoso.net Argentina: ar.contoso.net"

    -Las conexiones entre dominios esta por VPN site to site configuradas ocn NO NAT, dejamos todo any any entre ellos mientras solucionamos el problema, tambien revisamos el fw local y el av.

    [Guillermo] Aunque no creo que sea parte del problema, cuidado con AV de terceros, es conocido que traen problemas, tanto por accesos, como que se toman funciones de cortafuegos

     

    -La verdad que comenzaron el 17-02-2019 desde esa fecha tenemos problemas y eventos de kcc en los servidores. no nos dimos cuentas hasta la semana pasada por un objeto que no se replico.

    [Guillermo] Esto no habla bien del administrador, dale una buena reprimenda :)

     

    -Yo estaba pensando lo mismo, solo que necesito tener mas seguridad respecto a dar de baja un servidor,
    yo pensaba en eliminarlo por completo, eliminar la metadata y luego poner otro DC, pero debo estar seguro que el del problema es el PDC-1.

    Muchas gracias Guillermo por tu ayuda,

    saludos :)

    Dejo enlaces que pueden ayudarte

    Windows Server 2012 (R2): Crear un Dominio – Quitar un Controlador de Dominio que No Se Puede “Despromover” y Reemplazarlo | WindowServer

    Eliminar un Controlador de Dominio Que Ya No Existe (Fácil) | WindowServer

     


    Guillermo Delprato
    Buenos Aires, Argentina

    MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    Perfecto Guillermo,

    realizare el trabajo de despromocion del PDC y montare uno nuevo.
    Muchas gracias por toda tu ayuda, eres muy gentil.

    que tengas un buen fin de semana y te cuento cuando este solucionado, trabajare el fin de semana en esto.   

    saludos.

    viernes, 8 de marzo de 2019 15:11
  • No te olvides de los "FSMO Roles"

    Windows Server 2012 (R2): Crear un Dominio – “FSMO Roles”: Ver, Mover y Apoderarse (Novedades) | WindowServer
    https://windowserver.wordpress.com/2015/01/06/windows-server-2012-r2-crear-un-dominio-fsmo-roles-ver-mover-y-apoderarse-novedades/

    Buen finde!

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    viernes, 8 de marzo de 2019 16:47
    Moderador
  • Buen dia Guillermo, como estas?

    te cuento que realice el trabajo el fin de semana, elimine completamente PDC1, agregue un DC3,

    pero aun asi hay problemas de replicacion entre Argentina y Chile.

    El error que mas veo, es acceso denegado (5).

    Ademas Argentina aun no reconoce el nuevo controlador,

    NETDOM QUERY FSMO (en un server de Argentina)

    Schema master               *** Warning: role owner is a deleted DC: CN=NTDS Set
    tings\0ADEL:f1798179-aa85-48ed-8ed7-3b78b7371e24,CN=PDC\0ADEL:d7981391-b22a
    -4eb7-a685-05aa5ecb5cfb,CN=Servers,CN=Chile,CN=Sites,CN=Configuration,DC=contoso,DC=net

    Domain naming master        *** Warning: role owner is a deleted DC: CN=NTDS Set
    tings\0ADEL:f1798179-aa85-48ed-8ed7-3b78b7371e24,CN=PDC\0ADEL:d7981391-b22a
    -4eb7-a685-05aa5ecb5cfb,CN=Servers,CN=Chile,CN=Sites,CN=Configuration,DC=contoso,DC=net

    PDC                                  ardc1.arg.contoso.net
    RID pool manager            ardc1.arg.contoso.net
    Infrastructure master       ardc1.arg.contoso.net
    The command completed successfully.

    PDC es el servidor que dimos de baja y cambiamos por DC3, en Chile esta todo ok, sin problema de replicaciones entre servidores locales y hacia Argentina, el problema es solo en Argentina que al querer forzar la replica arroja error "acceso denegado"

    saludos amigo.

    martes, 12 de marzo de 2019 15:51
  • Como dato extra, si es que quiero agregar el DC2 a la consola DNS en un servidor en Argentina, también arroja "acceso denegado", Pero si pude agregar bien el DC3 (el nuevo).

    Es como si existiera un bloqueo por parte de PDC1 (eliminado) y DC2.  (DC3 nuevo,no tiene problemas de permisos, pero no lo reconocen aun como un nuevo DC en Argentina)

    saludos Guillermo.

    martes, 12 de marzo de 2019 16:01
  • Tienes los tres roles a nivel del Dominio, pero faltan los dos de nivel del Bosque: "Schema master" y "Domain naming master". Debes hacer que se apodere de los mismos el nuevo servidor

    Sigo en la pregunta siguiente

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    martes, 12 de marzo de 2019 16:45
    Moderador
  • El tema de sincronización de horario es algo que lleva tiempo resolver, nombro algunos temas referidos

    - Cada tanto aparecen acá en el foro preguntas sobre problemas del horario en Chile, por el tema del cambio horario Verano/Invierno y que aparentemente hay un bug. Busca y revisa este tema primero

    - El que maneja la fecha y hora es el "PDC Emulator", pero acá como éste se "ha ido por las malas" puede que no quede como debería. Esto habría que controlarlo. Hace tiempo hice una nota, que explica el funcionamiento, pero para tu caso, en la misma hay varios enlaces a documentos de Microsoft que tienen información imporante, no sólo para ver quién es el "Time server" de la red, sino cómo poder cambiar la jerarquía de sincronización horaria. Vas a tener que leer un poco ;) pero revisa esos enlaces externos que seguro ahí está la solución del tema

    [Edito y agrego] Revisa este hilo que entiendo puede servir https://social.technet.microsoft.com/Forums/es-ES/37a53f73-7989-4258-a822-ced917cb17b4/ntp?forum=wsades

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.



    martes, 12 de marzo de 2019 16:52
    Moderador