none
ERROR DIRECTORIO ACTIVO EN WINDOWS SERVER 2008 CON DC'S CORRIENDO 2003 RRS feed

  • Pregunta

  • Buen Dia A Todos...

    Tengo el siguiente inconveniente..

    Y el escenario es el siguiente.

    1. Controlador de Dominio Windows Server 2008 R2 Standard SP1 (GC)
    2. Controlador de Dominio Windows Server 2003 R2 Standard 32 bits (GC) SP2 (Servidor Miembro)
    3. Nivel Funcional del Dominio “Windows Server 2003”

    El problema lo tengo en el Server corriendo 2008, ya que al momento de visualizar el directorio Activo, se tarda demasiado para mostrar cualquier propiedad de algún objeto del AD, bien sea… usuarios, y/o unidades organizativas. .. He revisado el Visor y siempre tengo cada cinco minutos un evento 1030 que hace referencia a un error de Group Policy..

    Tengo Perfiles móviles configurados en cada una de las unidades organizativas.. Descritas por dpto. (Por Ejem), y para cada una de estas, una GPO…  a nivel de DNS no tengo ningún error, que pensé había algo de eso por allí..

    Veo los resultados del DCDIAG, pero quedo en la misma…

    De antemano.. Mil Gracias!!!

    Anexo los resultados del DCDIAG.

             Error: NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS no tiene

                Replicating Directory Changes In Filtered Set
             derechos de acceso para el contexto de nomenclatura:

             DC=ForestDnsZones,DC=lithomundo,DC=net
             Error: NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS no tiene

                Replicating Directory Changes In Filtered Set
             derechos de acceso para el contexto de nomenclatura:

             DC=DomainDnsZones,DC=lithomundo,DC=net
             ......................... SERVIDORGT no super¢ la prueba NCSecDesc

             Evento de error. Id. de evento: 0x00000406

                Hora de creaci¢n: 06/04/2012   11:51:52

                Cadena de eventos:

                Error al procesar la directiva de grupo. Windows intent¢ recuperar una configuraci¢n de directiva de grupo nueva para este usuario o equipo y reintentar  autom ticamente esta operaci¢n en el siguiente ciclo de actualizaci¢n. Busque el c¢digo y la descripci¢n del error en la ficha de detalles. Los equipos unidos al dominio deben contar con resoluci¢n de nombres y conectividad de red adecuadas en un controlador de dominio para detectar nuevos valores y objetos de directiva de grupo. Se registrar  un evento cuando se procese la directiva de grupo correctamente.

             ......................... SERVIDORGT no super¢ la prueba SystemLog


    German E. Ardila

    lunes, 4 de junio de 2012 16:23

Respuestas

  • Buenas Noches Guillermo...

    Como bien dijiste y es sabido por este humilde..... APIPA solo se asigna de manera automatica cuando la Tarj o tarjetas de red del equipo no alcanzan un Servidor DHCP en la Red o medio fisico...

    NLTEST era el que arrojaba la direccion 169.xx.xx.xx y nunca, nunca, nunca fue algo que estuviese configurado en el servidor con el error...

    El punto es... que verificando en el BACS... tenia un error en el arreglo de las Tarjs de red.. Lo regenere y luego de actualizar el driver de la misma, (el software nuevo del BACS no levantaba la configuracion del arreglo de las mismas con el anterior driver), FUNCIONO BIEN, HASTA AHORA YA LLEVO CASI MAS DE 30MINS MONITOREANDO Y NO REFLEJA EL ERROR..

    POR FIN... ESPERO SEA DE AYUDA A LOS LECTORES...

    SALUDOS GUILLERMO...!!!!


    German E. Ardila

    • Marcado como respuesta German_A jueves, 7 de junio de 2012 0:46
    jueves, 7 de junio de 2012 0:46

Todas las respuestas

  • Lo primero a revisar es que ninguno de los Controladores de Dominio esté configurado para usar como DNS a otro servidor que no sean ellos mismos (el mismo y como alternativo al otro)

    Descartando lo anterior, revisa el siguiente enlace para ver qué aplica

    http://www.eventid.net/display-eventid-1030-source-Userenv-eventno-1542-phase-1.htm

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP - MCT - MCSE - MCSA
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    lunes, 4 de junio de 2012 19:18
    Moderador
  • Gracias Guillermo...

    De hecho revisando unas herramientas de testeo como "nltest" al momento de reportarme los resultados el servidor con el error de GroupPolicy.. me muestra direccion 169.xxx.xxx.xxx, cosa que me parece bien extrano.. este servidor reporta bien por DCDIAG /TEST:DNS al igual que el otro servidor miembro...

    Que pudiera testear adicional para ver donde pudiera estar el error?


    German E. Ardila

    lunes, 4 de junio de 2012 20:02
  • ¿169.254.y.z? No puedes usar esa dirección IP

    Un Controlador de Dominio debe usar configuración IP (toda) fija. No puede ser cliente de DHCP. Y esa es la dirección que toma si le dices que use configuración automática y no hay DHCP en la red.

    Y si estuvieras usando una dirección IP que comienza con 169, cuidado que salvo 169.254.0.0/24 todas las demás son direcciones públicas de Internet

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP - MCT - MCSE - MCSA
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    lunes, 4 de junio de 2012 21:51
    Moderador
  • Guillermo...

    Cada Servidor tiene su direccion Ip,  y es Servidor DNS, y esa configuracion funciona sin problemas, Pero como escribi en el item anterior, es con la herramienta por DOS "nltest" que aparentemente no resuelve el nombre de uno de los servidores..


    German E. Ardila

    martes, 5 de junio de 2012 10:49
  • NLTEST no es para probar la resolución de nombres :)

    Para comenzar necesitaría las respuestas a las preguntas que hice anteriormente. E inclusive que revises en el enlace que puse para que veas cuál puede aplicar, ya que no tengo tu servidor adelante como para poder ver más datos.

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP - MCT - MCSE - MCSA
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    martes, 5 de junio de 2012 13:32
    Moderador
  • Saludos Guillermo..

    Te entiendo perfectamente, pero el NLTEST lo corri como una manera de testear EL GC.. como una sugerencia del TechNet, el testeo de DNS contra cada servidor lo hago con las herramientas del entorno grafico, y las de tipo DOS ejm... DCDIAG /test:dns y no reporta errores (aparentemente), no tengo problemas a nivel de Red con la resolucion DNS (clientes, recursos etc), lo que me llama la atencion y creo es el problema que esta generando el 1er Servidor (W2008R2) es ese recurrente reporte de error 1030 cada 5 minutos, y la no correcta visualizacion de los objetos del AD... como te digo este NLTEST me muestra la direccion 169.254.XXX.XXX, Y cuando corro este comando en el 2do servidor lo muestra correctamente (con la Ip fija que debidamente tiene configurada).

    Las Ip de cada uno son las siguientes:

    1er Servidor (w2008R2)                          2do Servidor (W2003R2)

    192.168.0.4/24                                            192.168.0.7/24

    DNS primario: 192.168.0.7                         192.168.0.4

    DNS Sesundario: 192.168.0.4                     192.168.0.7

    te anexo aqui los resultados el DCDIAG DNS

    C:\>DCDIAG /TEST:DNS

    Diagnóstico del servidor de directorio

    Realizando instalación inicial:
       Intentando encontrar el servidor principal...
       Servidor principal = SERVIDORGT
       * Se identificó el bosque de AD.
       Recopilación de información inicial finalizada.

    Realizando pruebas requeridas iniciales

       Probando servidor: Nombre-predeterminado-primer-sitio\SERVIDORGT
          Iniciando prueba: Connectivity
             ......................... SERVIDORGT superó la prueba Connectivity

    Realizando pruebas principales

       Probando servidor: Nombre-predeterminado-primer-sitio\SERVIDORGT

          Iniciando prueba: DNS

             Las pruebas de DNS se están ejecutando y responden. Espere unos
             minutos...
             ......................... SERVIDORGT superó la prueba DNS

       Ejecutando pruebas de partición en: ForestDnsZones

       Ejecutando pruebas de partición en: DomainDnsZones

       Ejecutando pruebas de partición en: Schema

       Ejecutando pruebas de partición en: Configuration

       Ejecutando pruebas de partición en: NOMBREDOMINIOX

       Ejecutando pruebas de empresa en: NOMBREDOMINIOX.net
          Iniciando prueba: DNS
             ......................... NOMBREDOMINIOX.net superó la prueba DNS


    German E. Ardila

    martes, 5 de junio de 2012 14:06
  • Guillermo...

    Hermano... en los DNS Primario y Secundario estan escritos al reves, es decir, el primario es el mismo y luego hacia el otro Servidor...

    Fue que lo escribi mal...


    German E. Ardila

    martes, 5 de junio de 2012 14:09
  • No hay problemas en tenerlos "cruzados" o "derechos" los DNSs. En W2000 era obligatorio "cruzarlos", pero ya no. Y de todas formas de una forma u otra no da problemas

    Lo que no tiene que haber, y no sé dónde es que aparece porque no lo dices, es lo de la IP 169.254.y.z
    Apuesto a que uno de esos servidores tiene dos placas de red, y una no tiene asignada dirección IP :)
    Se puede ver fácil con IPCONFIG ejecutado en ambos servidores

    Y muy importante para tener en cuenta es que los Controladores de Domino con más de una dirección IP es conocido que traen problemas

    Por lo del evento revisa el enlace que ya puse antes porque hay varias causas posibles
    http://www.eventid.net/display-eventid-1030-source-Userenv-eventno-1542-phase-1.htm

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP - MCT - MCSE - MCSA
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    martes, 5 de junio de 2012 17:29
    Moderador
  • Saludos Guillermo...

    Lo del NLTEST.. lo ejecuto para testear el catalogo global.. para ver si por alli (u debido al error que arroja) verificar si todo a nivel del AD funciona bien, y determinar por donde puede estar lo que esta generando este evento (1030), en efecto, aciertas... ya que este equipo posee 4 tarjetas de Red.. Pero las mismas estan configuradas mediante BACS de Broadcom.. para balanceo de carga.. y para que a nivel del SO solo vea una unica tarj de red.. (agrupando las 4).

    De todos modos te anexo aqui el reporte del NLTEST... y en este momento estoy viendo si existe alguna incompatibilidad a nivel del BACS...

    Estos son los resultados del NLTEST

    C:\>nltest /server:servidor1 /dsgetdc:nombredominiox
               DC: \\SERVIDOR1
          Address: \\192.168.0.7
         Dom Guid: 6155b776-dcd2-43c5-8548-6be7964dcae3
         Dom Name: nombredominiox
      Forest Name: nombredominiox.net
     Dc Site Name: Nombre-predeterminado-primer-sitio
    Our Site Name: Nombre-predeterminado-primer-sitio
            Flags: GC DS LDAP KDC TIMESERV WRITABLE DNS_FOREST CLOSE_SITE
    The command completed successfully

    C:\>nltest /server:servidor2 /dsgetdc:nombredominiox
               DC: \\SERVIDOR2
          Address: \\169.254.107.152
         Dom Guid: 6155b776-dcd2-43c5-8548-6be7964dcae3
         Dom Name: nombredominiox
      Forest Name: nombredominiox.net
     Dc Site Name: Nombre-predeterminado-primer-sitio
    Our Site Name: Nombre-predeterminado-primer-sitio
            Flags: PDC GC DS LDAP KDC TIMESERV GTIMESERV WRITABLE DNS_FOREST CLOSE_S
    ITE 0x3000
    The command completed successfully


    German E. Ardila

    martes, 5 de junio de 2012 19:47
  • El equipo "servidor2" *no puede* usar dirección IP 169.254.y.z eso es APIPA
    Esto es lo primero a solucionar

    APIPA (Automatic Private IP Address Assignment) se autogenera cuando le dices que obtenga una IP automáticamente y no no hay DHCP. Y *además* un DC no puede ser cliente DHCP *debe* tener parámetros de IP fijos puestos manualmente

    Y algo más, aunque escondas el nombre real del dominio, que no viene al caso, pero veo algo raro
    ¿El nombre de dominio contiene un "."? porque por un lado veo "Forest Name nombredominiox.net" pero por otro lado informa "Dom Name nombredominiox"

    Siempre, siempre, siempre :) que hagas operaciones con dominio usa el nombre DNS (nombredominio.net) y no el nombre NetBIOS (nombredominiox)

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP - MCT - MCSE - MCSA
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    martes, 5 de junio de 2012 20:21
    Moderador
  • AMIGO GUILLERMO...

    1. Los resultados que ves como direccion 169.xxx.xxx.xxx son los resultados (valga la redundancia) del propio comando luego de ser ejecutado ( NLTEST ).. y no son direcciones asignadas por APIPA.

    2. Los resultados son netamente del NLTEST, y como mencionas el nombre real del dominio lo cambie por "NOMBREDOMINIOX" por temas ya conocidos aca en los foros.

    3. La configuracion Ip de la tarjetas de red de cada uno de los servidores esta como en nota anterior lo expuse.

    Gracias por su ayuda, pero quedo en la misma!!!


    German E. Ardila

    martes, 5 de junio de 2012 23:02
  • No se puede usar la red 169.254.0.0/16 el sistema la reconoce como APIPA aunque no sea

    Y no me contestas si el nombre de dominio tiene un "." o no

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP - MCT - MCSE - MCSA
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    miércoles, 6 de junio de 2012 18:56
    Moderador
  • Buenas Noches Guillermo...

    Como bien dijiste y es sabido por este humilde..... APIPA solo se asigna de manera automatica cuando la Tarj o tarjetas de red del equipo no alcanzan un Servidor DHCP en la Red o medio fisico...

    NLTEST era el que arrojaba la direccion 169.xx.xx.xx y nunca, nunca, nunca fue algo que estuviese configurado en el servidor con el error...

    El punto es... que verificando en el BACS... tenia un error en el arreglo de las Tarjs de red.. Lo regenere y luego de actualizar el driver de la misma, (el software nuevo del BACS no levantaba la configuracion del arreglo de las mismas con el anterior driver), FUNCIONO BIEN, HASTA AHORA YA LLEVO CASI MAS DE 30MINS MONITOREANDO Y NO REFLEJA EL ERROR..

    POR FIN... ESPERO SEA DE AYUDA A LOS LECTORES...

    SALUDOS GUILLERMO...!!!!


    German E. Ardila

    • Marcado como respuesta German_A jueves, 7 de junio de 2012 0:46
    jueves, 7 de junio de 2012 0:46