Domain Controller KO Roles perdidos

Todas las respuestas

• 

  

  0

  Inicie sesión para votar

  Hola Igor,

  Con ntdsutil, entrando en roles, puedes transferir los roles del controlador SI o SI. No vayas por metada cleanup. Tienes que entrar en roles y despues hacer un Seize del RID master, del PDC master del schema master, naming.... y infrastructure (revisalo porque lo nombro de cabeza, no me deje alguno). Esta opción de ntdsutil, es precisamente para solucionar lo que a ti te ocurre.

   

  Echale un ojo a este articulo de MS antes de comenzar.

  http://support.microsoft.com/kb/255504/es

   

   

  Suerte y un saludo.

   

  Edtio:

  Metadata cleanup

  Roles

  Seize RID master

  Seize PDC

  .....

  Así hasta sobreescribir todos los roles que tenia el DC muerto.

   

  Un saludo

   

   

  • Propuesto como respuesta Marc SalvadorModerator viernes, 11 de noviembre de 2011 20:30
  • Marcado como respuesta Eduardo PorteschellerModerator jueves, 1 de diciembre de 2011 15:52

  viernes, 11 de noviembre de 2011 16:12

  Responder

  |

  Citar
• 

  

  0

  Inicie sesión para votar

  Gracias Nitus,

  eso es lo que hice, pero al entrar en "AD users and computers" y hacer click derecho en mi dominio, elegir operation masters, me sale en las pestañas de "RID" y "PDC" : "The current operation master is offline. The role cannot be transfered", con lo que entiendo que aún habiendo hecho el seize, hay un rol perdido.

  Se te ocurre que podría hacer?

  Muchas gracias por tu tiempo.

  Un saludo.

  viernes, 11 de noviembre de 2011 16:18

  Responder

  |

  Citar
• 

  

  0

  Inicie sesión para votar

  Eso es justamente porque no tienes los roles, y como bien te dice Nitus, *tienes que usar NTDSUTIL* para apoderarte (seize) de los roles

   

  ---

  Guillermo Delprato - Buenos Aires, Argentina
  Visite Notas Windows Server
  MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
  Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

  viernes, 11 de noviembre de 2011 16:52

  Responder

  |

  Citar

  Moderador
• 

  

  0

  Inicie sesión para votar

  Hola Guillermo, 

  al hacer el Seize, me dice que ese DC tiene 5 roles asignados, sin embarfo al entrar en AD users and computers me sigue poniendo "The current operation master is offline. The role cannot be transfered".

  Un saludo.

  lunes, 14 de noviembre de 2011 8:21

  Responder

  |

  Citar
• 

  

  0

  Inicie sesión para votar

  Hola Igor,

   

  Es que no tienes que entrar a ningún lado más que a la utilidad ntdsutil. Hacer el size de todos los roles y una vez hecho ya está.

   

  Un saludo!

   

  lunes, 14 de noviembre de 2011 9:05

  Responder

  |

  Citar
• 

  

  0

  Inicie sesión para votar

  Ok, al ver ese error, entendía que quizas el seize no había funcionado bien.

  lunes, 14 de noviembre de 2011 10:05

  Responder

  |

  Citar
• 

  

  0

  Inicie sesión para votar

  De todas formas al entrar al Active directory Domains and Trust me dice:

  "You cannot modify domain otr trust information beacause a Primary Domain Controller (PDC) emulator cannot be contacted.

  Please verify that the PDC emulator for the current domain and the netwok are both online and functinning properly."

  Es por eso por lo que creo que el seize no ha echo bien su trabajo.

  Un saludo.

  lunes, 14 de noviembre de 2011 10:27

  Responder

  |

  Citar
• 

  

  0

  Inicie sesión para votar

  Pues entonces, para verificarlo, haz lo siguiente:

   

  Abre una consola de CMD y entra al NTDSUTIL.

  Ahí pones lo siguiente:

   Roles (intro)

  Select operation Target (intro)

  Connections (Intro)

  Connect to server "nombre del servidor que tiene los roles ahora" (intro)

  quit (intro)

  List Roles For connected server (intro)

   

  Ahí, verás un listado de los roles actuales que tiene el Domain Controller. Si has hecho bien el size de todos los roles del servidor antiguo, tienes que ver en el listado que todos los roles están al servidor correspondiente, si ves que alguno de los roles no es correcto, haz el Sieze de ese rol únicamente.

   

  Un saludo!

   

  
  

  • Editado Nitus García lunes, 14 de noviembre de 2011 10:39

  lunes, 14 de noviembre de 2011 10:38

  Responder

  |

  Citar
• 

  

  0

  Inicie sesión para votar

  Hola Nitus, 

  me dice que ese servidor conoce 5 roles, excepto el maestro de infraestructura que está asignado a otro.

  Me he fijado en lo siguiente, en las etiquetas de CN, el nombre del servidor no se corresponde con el que es, es decir, el nombre del servidor es DCserverA, sin embargos en las etiquetas aparece DCserverB. Hace un tiempo que le cambie el nombre a este equipo. ¿Puede el problema estar causado por esto? Debería cambiar el nombre al servidor o hay alguna forma de cambiar el valor de estas etiquetas?

  Server "DCserverA" knows about 5 roles

  Schema - CN=NTDS Settings,CN=DCserverB,CN=Servers,CN=Default-First-Site-Name,CN=S

  ites,CN=Configuration,DC=midominio,DC=LOCAL

  Naming Master - CN=NTDS Settings,CN=DCserverB,CN=Servers,CN=Default-First-Site-Na

  me,CN=Sites,CN=Configuration,DC=midominio,DC=LOCAL

  PDC - CN=NTDS Settings,CN=DCserverB,CN=Servers,CN=Default-First-Site-Name,CN=Site

  s,CN=Configuration,DC=midominio,DC=LOCAL

  RID - CN=NTDS Settings,CN=DCserverB,CN=Servers,CN=Default-First-Site-Name,CN=Site

  s,CN=Configuration,DC=midominio,DC=LOCAL

  Infrastructure - CN=NTDS Settings,CN=OAserverA,CN=Servers,CN=Default-First-Site-N

  ame,CN=Sites,CN=Configuration,DC=midominio,DC=LOCAL

   

  Muchas gracias, un saludo.

  lunes, 14 de noviembre de 2011 11:25

  Responder

  |

  Citar
• 

  

  0

  Inicie sesión para votar

   

  Para aclarar...

   

  Tenias un DC con todos los roles, llamemosle DCServerC.

   

  Después tenías un DC que se llamaba DCServerB y después le cambiaste el nombre a DCServerA.

   

  Después, se murio el DCServerC y al hacer el Seize de roles te aparece esto en la utilidad NTDSUTIL?

   

  Y por último...¿como le cambiaste el nombre al DC? ¿Boton derecho encima de Mi PC, propiedades, cambiar nombre?

   

  Edito de nuevo... Es windows 2008 o Windows 2000/2003?

  
  

  • Editado Nitus García lunes, 14 de noviembre de 2011 12:00

  lunes, 14 de noviembre de 2011 11:57

  Responder

  |

  Citar
• 

  

  0

  Inicie sesión para votar

  Hola, 

  tenía un DCserverA, un DCserverB y un OAserverA.

  Todos los roles, excepto el de maestro de infraestructura que estaba en el OAserverA, estaban en el DCserverA.

  Al estropearse este último le eliminé del dominio y al DCserverB le llamé DCserverA.

  Un saludo.

  lunes, 14 de noviembre de 2011 12:02

  Responder

  |

  Citar
• 

  

  0

  Inicie sesión para votar

  Hola, 

  tenía un DCserverA, un DCserverB y un OAserverA.

  Todos los roles, excepto el de maestro de infraestructura que estaba en el OAserverA, estaban en el DCserverA.

  Al estropearse este último le eliminé del dominio y al DCserverB le llamé DCserverA.

  Un saludo.

  ¿Que proceso seguiste para "llamarlo" DCServerA?

  ¿Hiciste un NETDOM o simplemente le cambiaste el nombre al servidor? A eso me refiero... por lo que veo, simplemente le cambiaste el nombre al servidor, a lo cual, tienes todo apuntando al nombre antiguo del servidor.

   

  Tampoco me dices que SO tienes, dando por supuesto que tienes Windows 2008, echale un ojo a este articulo de Microsoft y verás los pasos que te faltan..

   

  http://technet.microsoft.com/en-us/library/cc794951%28WS.10%29.aspx

   

  Un saludo.

   

  Edito: En pocas palabras, revisa la configuración DNS del dominio y del DC.
  

  • Editado Nitus García lunes, 14 de noviembre de 2011 12:35

  lunes, 14 de noviembre de 2011 12:31

  Responder

  |

  Citar
• 

  

  0

  Inicie sesión para votar

  Gracias Nitus,

  He hecho un netdom query FSMO y efectivamente me dice que todos los roles están en la DCserverB, así que he intentado volver a ponerle ese nombre de la forma tradicional y luego ejecutar el netdom y me dice "especified account does not exists".

  He probado a cambiarle el nombre también con netdom en vez de la forma tradicional y tambien me dice "The especified account does not exists".

  Alguna idea de como puedo cambiarle el nombre ó porque puede darse este error?

  Muchas gracias por vuestro tiempo.

  lunes, 14 de noviembre de 2011 15:11

  Responder

  |

  Citar
• 

  

  0

  Inicie sesión para votar

  Por cierto me acabo de dar cuenta que en active directory users and computers aparece DCserverB, y no aparece DCserverA que es el nombre del equipo...

  Estoy pensando en pasar las tareas al otro DC que tengo, depromocionar y sacar a este que me da problemas del dominio, cambiarle el nombre y volver a meterlo al dominio y luego pasarle los roles.

  ¿Que opinais?

  Un saludo. 

  lunes, 14 de noviembre de 2011 15:26

  Responder

  |

  Citar
• 

  

  0

  Inicie sesión para votar

  Hola Igor!

  Pienso que con el lío de DNS que tienes, no podras hacer un dcpromo para sacarlo de dominio. Yo intentaría solucionar primero el tema del registro del servidor y si no me quedase otra, le pasaría los roles a otro servidor. Pero ya te digo, arreglando el tema de resoluciónd e nombres debería funcionar.

   

  Si no, pues si, siempre tienes la otra opción, pero sería hacer un Size de nuevo, ya que dudo que puedas despromocionar el servidor actual sin arreglar en DNS. Eso significa reinstalar el servidor.

   

  Esto ya es a tu elección.

   

  Un saludo!

   

  lunes, 14 de noviembre de 2011 15:54

  Responder

  |

  Citar
• 

  

  0

  Inicie sesión para votar

  Hola Nitus, 

  y como podría arreglarlo? Ya que todas las herramientas que estoy utilizando para arreglarlo me están dando error.

  En cuanto al tema del seize te refieres a hacerlo como lo comento en mi anterior post, cierto?

  Un saludo y gracias por tu paciencia.

  lunes, 14 de noviembre de 2011 16:10

  Responder

  |

  Citar
• 

  

  0

  Inicie sesión para votar

  Hola Igor,

   

  Pues primero, tendrías que mirar en el DNS, que servidores tienes registrados. Ahora que pienso, por casualidad el DC que tuviste que eliminar, ¿no sería el único servidor de DNS del dominio, no?

   

  Si, con lo del Size me refiero a la misma operación que realizaste con el ntdsutil.

   

  Un saludo

  lunes, 14 de noviembre de 2011 16:36

  Responder

  |

  Citar
• 

  

  0

  Inicie sesión para votar

  Pues si, el servicio solo estaba activado en ese, asi que luego tuve que levantarlo en otro server que es ahora mismo el que me está dando problemas..

  Lo que tengo pensado hacer es:

  Seize de todo al DC que me queda.

  depromocionar este

  Cambiarle el nombre fuera de dominio

  promocionarlo

  transferir roles

   

  Que opinas?

  Un saludo.

  lunes, 14 de noviembre de 2011 16:39

  Responder

  |

  Citar
• 

  

  0

  Inicie sesión para votar

  Ufff, ¿Y que rol dentro del DNS tiene ese servidor? ¿Es integrado en la zona de Directorio Activo? ¿está como primario/secundario?

   

  Esto es bastante importante.

  lunes, 14 de noviembre de 2011 16:52

  Responder

  |

  Citar
• 

  

  0

  Inicie sesión para votar

  Que rol dentro del DNS? A qué te refieres exactamente?

  De momento he pasado todos los roles a OAserverA, y me han desaparecido los errores que comentaba de RID y PDC.

  Asi que entiendo que la raiz de todo el problema es el nombre del DCserverA.

  Antes de tirarlo abajo cambiaré la configuración de DNS y DHCP para que apunte al OAserverA, y así poder depromocionar DCserverA sin que me quite funciones.

  lunes, 14 de noviembre de 2011 17:06

  Responder

  |

  Citar
• 

  

  0

  Inicie sesión para votar

  Esperarte Igor, no vaya a ser que la lies y te quedes sin ningún sevidor DNS válido para tu dominio.

   

  Mira esto:

   

  Tienes que ir al servidor DNS que tienes configurado y en la zona principal que tiene el nombre de tu dominio, hacer boton derecho e ir a propiedades, ahí verás que tipo de zona DNS tienes.

  lunes, 14 de noviembre de 2011 17:13

  Responder

  |

  Citar