none
Problemas con sitios windows 2008 RRS feed

  • Pregunta

  • mi caso es el siguiente:

    1. instale un servido con CG para las redes x.x.20.x  x.x.25.x  y x.x.26.x que estan ubicadas en un sitio remoto

    2. mi intencion era que las pcs remotas se autenticaran con el servidor remoto, cree un sitio XXX y asocie a este el servidor remoto

    sin embargo cuando el enlace de comunicacion se caia las pcs remotas no se autenticaban

    3. despromovi el servidor remoto y asocie las redes al sitio Nombre-predeterminado-primer-sitio

    4. elimine el sitio XXX

    el problema que tengo es que las redes x.x.20.x  x.x.25.x  y x.x.26.x que estan en el sitio remoto se autentican y los usuarios pueden ingresar al dominio sin problema pero al ejecutar DCDIAG tengo problemas de rcp por lo que las directivas de grupo para estas redes no me funcionan, he probado cambiando el direccionamiento de red en las pcs y asi funciona todo con normalidad pero quiero saber si ustedes me pueden guiar sobre cual es la falla.

    DCDIAG en red x.x.20.x

    PS C:\Users\admin> DCDIAG /test:CHECKSECURITYERROR /n:DOMINIO.local
    El nombre distintivo del dominio es DC=DOMINIO,DC=local.

    Diagnóstico del servidor de directorio

    Realizando instalación inicial:
       Buscando el servidor para el dominio DC=DOMINIO,DC=local...
       Servidor para el dominio = SRVDC01.DOMINIO.local
       [SRVDC01.DOMINIO.local] Error de enlace de directorios 1722:
       Win32 Error 1722
       Esto puede limitar algunas de las pruebas que pueden realizarse.
       * Se identificó el bosque de AD.
       Recopilación de información inicial finalizada.

    Realizando pruebas requeridas iniciales

       Probando servidor: Nombre-predeterminado-primer-sitio\SRVDC01
          Iniciando prueba: Connectivity
             [SRVDC01] Error en DsBindWithSpnEx(): 1722,
             Win32 Error 1722.
             ......................... SRVDC01 no superó la prueba Connectivity

    Realizando pruebas principales

       Probando servidor: Nombre-predeterminado-primer-sitio\SRVDC01


       Ejecutando pruebas de partición en: DOMINIO

       Ejecutando pruebas de empresa en: DOMINIO.local

    gpupdate red x.x.25.x

    PS C:\Users\salvador.osorio> gpupdate /force
    Actualizando directiva...

    La directiva de usuario no se puede actualizar correctamente debido a los siguientes errores:

    Error al procesar la directiva de grupo. Windows no pudo resolver el nombre del usuario. Esto puede deberse a una o más
    de las causas siguientes:
    a) Error en la resolución de nombres en el controlador de dominio actual.
    b) Latencia de replicación de Active Directory (una cuenta creada en otro controlador de dominio no se replicó al contro
    lador de dominio actual).
    La directiva de equipo no se puede actualizar correctamente debido a los siguientes errores:

    Error al procesar la directiva de grupo. Windows no pudo resolver el nombre del equipo. Las posibles razones son:
    a) Error en la resolución de nombres en el controlador de dominio actual.
    b) Latencia de replicación de Active Directory (una cuenta creada en otro controlador de dominio no se replicó en el con
    trolador de dominio actual).

    Para diagnosticar el error, revise el registro de eventos o ejecute GPRESULT /H GPReport.html para obtener acceso a la i
    nformación sobre los resultados de la directiva de grupo.



    resultado dcdiag en el controlador de dominio


    Diagnóstico del servidor de directorio


    Realizando instalación inicial:

       Intentando encontrar el servidor principal...

       * Comprobando que el equipo local SRVDC01 sea un servidor de directorio.

       Servidor principal = SRVDC01

       * Conectándose al servicio de directorio en el servidor SRVDC01.

       * Se identificó el bosque de AD.
       Collecting AD specific global data
       * Recopilando información del sitio.

       Calling ldap_search_init_page(hld,CN=Sites,CN=Configuration,DC=DOMINIO,DC=local,LDAP_SCOPE_SUBTREE,(objectCategory=ntDSSiteSettings),.......
       The previous call succeeded
       Iterating through the sites
       Looking at base site object: CN=NTDS Site Settings,CN=Nombre-predeterminado-primer-sitio,CN=Sites,CN=Configuration,DC=DOMINIO,DC=local
       Getting ISTG and options for the site
       * Identificando todos los servidores.

       Calling ldap_search_init_page(hld,CN=Sites,CN=Configuration,DC=DOMINIO,DC=local,LDAP_SCOPE_SUBTREE,(objectClass=ntDSDsa),.......
       The previous call succeeded....
       The previous call succeeded
       Iterating through the list of servers
       Getting information for the server CN=NTDS Settings,CN=SRVDC01,CN=Servers,CN=Nombre-predeterminado-primer-sitio,CN=Sites,CN=Configuration,DC=DOMINIO,DC=local
       objectGuid obtaDOMINIOd
       InvocationID obtaDOMINIOd
       dnsHostname obtaDOMINIOd
       site info obtaDOMINIOd
       All the info for the server collected
       * Identificando todas las referencias cruzadas de NC.

       * Se encontraron 1 DC. Probando 1 de ellos.

       Recopilación de información inicial finalizada.


    Realizando pruebas requeridas iniciales

       
       Probando servidor: Nombre-predeterminado-primer-sitio\SRVDC01

          Iniciando prueba: Connectivity

             * Active Directory LDAP Services Check
             Determining IP4 connectivity
             Determining IP6 connectivity
             * Active Directory RPC Services Check
             ......................... SRVDC01 superó la prueba Connectivity



    Realizando pruebas principales

       
       Probando servidor: Nombre-predeterminado-primer-sitio\SRVDC01

          Iniciando prueba: Advertising

             The DC SRVDC01 is advertising itself as a DC and having a DS.
             The DC SRVDC01 is advertising as an LDAP server
             The DC SRVDC01 is advertising as having a writeable directory
             The DC SRVDC01 is advertising as a Key Distribution Center
             The DC SRVDC01 is advertising as a time server
             The DS SRVDC01 is advertising as a GC.
             ......................... SRVDC01 superó la prueba Advertising

          Prueba omitida por solicitud del usuario: CheckSecurityError

          Prueba omitida por solicitud del usuario: CutoffServers

          Iniciando prueba: FrsEvent

             * Prueba del registro de eventos del servicio de replicación de

             archivos
             ......................... SRVDC01 superó la prueba FrsEvent

          Iniciando prueba: DFSREvent

             The DFS Replication Event Log.
             ......................... SRVDC01 superó la prueba DFSREvent

          Iniciando prueba: SysVolCheck

             * Prueba de preparación de SYSVOL del servicio de replicación de

             archivos
             SYSVOL del servicio de replicación de archivos está preparado
             ......................... SRVDC01 superó la prueba SysVolCheck

          Iniciando prueba: KccEvent

             * The KCC Event log test
             Found no KCC errors in "Directory Service" Event log in the last 15 minutes.
             ......................... SRVDC01 superó la prueba KccEvent

          Iniciando prueba: KnowsOfRoleHolders

             Role Schema Owner = CN=NTDS Settings,CN=SRVDC01,CN=Servers,CN=Nombre-predeterminado-primer-sitio,CN=Sites,CN=Configuration,DC=DOMINIO,DC=local
             Role Domain Owner = CN=NTDS Settings,CN=SRVDC01,CN=Servers,CN=Nombre-predeterminado-primer-sitio,CN=Sites,CN=Configuration,DC=DOMINIO,DC=local
             Role PDC Owner = CN=NTDS Settings,CN=SRVDC01,CN=Servers,CN=Nombre-predeterminado-primer-sitio,CN=Sites,CN=Configuration,DC=DOMINIO,DC=local
             Role Rid Owner = CN=NTDS Settings,CN=SRVDC01,CN=Servers,CN=Nombre-predeterminado-primer-sitio,CN=Sites,CN=Configuration,DC=DOMINIO,DC=local
             Role Infrastructure Update Owner = CN=NTDS Settings,CN=SRVDC01,CN=Servers,CN=Nombre-predeterminado-primer-sitio,CN=Sites,CN=Configuration,DC=DOMINIO,DC=local
             ......................... SRVDC01 superó la prueba

             KnowsOfRoleHolders

          Iniciando prueba: MachDOMINIOAccount

             Checking machDOMINIO account for DC SRVDC01 on DC SRVDC01.
             * SPN found :LDAP/SRVDC01.DOMINIO.local/DOMINIO.local
             * SPN found :LDAP/SRVDC01.DOMINIO.local
             * SPN found :LDAP/SRVDC01
             * SPN found :LDAP/SRVDC01.DOMINIO.local/DOMINIO
             * SPN found :LDAP/6d1bdfaf-5b04-43fc-8a1b-6e4b2071b506._msdcs.DOMINIO.local
             * SPN found :E3514235-4B06-11D1-AB04-00C04FC2DCD2/6d1bdfaf-5b04-43fc-8a1b-6e4b2071b506/DOMINIO.local
             * SPN found :HOST/SRVDC01.DOMINIO.local/DOMINIO.local
             * SPN found :HOST/SRVDC01.DOMINIO.local
             * SPN found :HOST/SRVDC01
             * SPN found :HOST/SRVDC01.DOMINIO.local/DOMINIO
             * SPN found :GC/SRVDC01.DOMINIO.local/DOMINIO.local
             ......................... SRVDC01 superó la prueba MachDOMINIOAccount

          Iniciando prueba: NCSecDesc

             * Security Permissions check for all NC's on DC SRVDC01.
             * Comprobación de permisos de seguridad para

               DC=ForestDnsZones,DC=DOMINIO,DC=local
                (NDNC,Version 3)
             * Comprobación de permisos de seguridad para

               DC=DomainDnsZones,DC=DOMINIO,DC=local
                (NDNC,Version 3)
             * Comprobación de permisos de seguridad para

               CN=Schema,CN=Configuration,DC=DOMINIO,DC=local
                (Schema,Version 3)
             * Comprobación de permisos de seguridad para

               CN=Configuration,DC=DOMINIO,DC=local
                (Configuration,Version 3)
             * Comprobación de permisos de seguridad para

               DC=DOMINIO,DC=local
                (Domain,Version 3)
             ......................... SRVDC01 superó la prueba NCSecDesc

          Iniciando prueba: NetLogons

             * Network Logons Privileges Check
             Verified share \\SRVDC01\netlogon
             Verified share \\SRVDC01\sysvol
             ......................... SRVDC01 superó la prueba NetLogons

          Iniciando prueba: ObjectsReplicated

             SRVDC01 is in domain DC=DOMINIO,DC=local
             Checking for CN=SRVDC01,OU=Domain Controllers,DC=DOMINIO,DC=local in domain DC=DOMINIO,DC=local on 1 servers
                Object is up-to-date on all servers.
             Checking for CN=NTDS Settings,CN=SRVDC01,CN=Servers,CN=Nombre-predeterminado-primer-sitio,CN=Sites,CN=Configuration,DC=DOMINIO,DC=local in domain CN=Configuration,DC=DOMINIO,DC=local on 1 servers
                Object is up-to-date on all servers.
             ......................... SRVDC01 superó la prueba

             ObjectsReplicated

          Prueba omitida por solicitud del usuario: OutboundSecureChannels

          Iniciando prueba: Replications

             * Replications Check
             * Replication Latency Check
                DC=ForestDnsZones,DC=DOMINIO,DC=local
                   Latency information for 3 entries in the vector were ignored.
                      3 were retired Invocations.  0 were either: read-only replicas and are not verifiably latent, or dc's no longer replicating this nc.  0 had no latency information (Win2K DC).  
                DC=DomainDnsZones,DC=DOMINIO,DC=local
                   Latency information for 3 entries in the vector were ignored.
                      3 were retired Invocations.  0 were either: read-only replicas and are not verifiably latent, or dc's no longer replicating this nc.  0 had no latency information (Win2K DC).  
                CN=Schema,CN=Configuration,DC=DOMINIO,DC=local
                   Latency information for 3 entries in the vector were ignored.
                      3 were retired Invocations.  0 were either: read-only replicas and are not verifiably latent, or dc's no longer replicating this nc.  0 had no latency information (Win2K DC).  
                CN=Configuration,DC=DOMINIO,DC=local
                   Latency information for 3 entries in the vector were ignored.
                      3 were retired Invocations.  0 were either: read-only replicas and are not verifiably latent, or dc's no longer replicating this nc.  0 had no latency information (Win2K DC).  
                DC=DOMINIO,DC=local
                   Latency information for 3 entries in the vector were ignored.
                      3 were retired Invocations.  0 were either: read-only replicas and are not verifiably latent, or dc's no longer replicating this nc.  0 had no latency information (Win2K DC).  
             ......................... SRVDC01 superó la prueba Replications

          Iniciando prueba: RidManager

             * Available RID Pool for the Domain is 3606 to 1073741823
             * SRVDC01.DOMINIO.local is the RID Master
             * DsBind with RID Master was successful
             * rIDAllocationPool is 2606 to 3105
             * rIDPreviousAllocationPool is 2606 to 3105
             * rIDNextRID: 2649
             ......................... SRVDC01 superó la prueba RidManager

          Iniciando prueba: Services

             * Checking Service: EventSystem
             * Checking Service: RpcSs
             * Checking Service: NTDS
             * Checking Service: DnsCache
             * Checking Service: DFSR
             * Checking Service: IsmServ
             * Checking Service: kdc
             * Checking Service: SamSs
             * Checking Service: LanmanServer
             * Checking Service: LanmanWorkstation
             * Checking Service: w32time
             * Checking Service: NETLOGON
             ......................... SRVDC01 superó la prueba Services

          Iniciando prueba: SystemLog

             * The System Event log test
             Found no errors in "System" Event log in the last 60 minutes.
             ......................... SRVDC01 superó la prueba SystemLog

          Prueba omitida por solicitud del usuario: Topology

          Prueba omitida por solicitud del usuario: VerifyEnterpriseReferences

          Iniciando prueba: VerifyReferences

             La referencia del objeto del sistema (serverReference)

             CN=SRVDC01,OU=Domain Controllers,DC=DOMINIO,DC=local y el vínculo de

             retroceso

             CN=SRVDC01,CN=Servers,CN=Nombre-predeterminado-primer-sitio,CN=Sites,CN=Configuration,DC=DOMINIO,DC=local

             son correctos.
             La referencia del objeto del sistema (serverReferenceBL)

             CN=SRVDC01,CN=Topology,CN=Domain System Volume,CN=DFSR-GlobalSettings,CN=System,DC=DOMINIO,DC=local

             y el vínculo de retroceso

             CN=NTDS Settings,CN=SRVDC01,CN=Servers,CN=Nombre-predeterminado-primer-sitio,CN=Sites,CN=Configuration,DC=DOMINIO,DC=local

             son correctos.
             ......................... SRVDC01 superó la prueba

             VerifyReferences

          Prueba omitida por solicitud del usuario: VerifyReplicas

       
          Prueba omitida por solicitud del usuario: DNS

          Prueba omitida por solicitud del usuario: DNS

       
       Ejecutando pruebas de partición en: ForestDnsZones

          Iniciando prueba: CheckSDRefDom

             ......................... ForestDnsZones superó la prueba

             CheckSDRefDom

          Iniciando prueba: CrossRefValidation

             ......................... ForestDnsZones superó la prueba

             CrossRefValidation

       
       Ejecutando pruebas de partición en: DomainDnsZones

          Iniciando prueba: CheckSDRefDom

             ......................... DomainDnsZones superó la prueba

             CheckSDRefDom

          Iniciando prueba: CrossRefValidation

             ......................... DomainDnsZones superó la prueba

             CrossRefValidation

       
       Ejecutando pruebas de partición en: Schema

          Iniciando prueba: CheckSDRefDom

             ......................... Schema superó la prueba CheckSDRefDom

          Iniciando prueba: CrossRefValidation

             ......................... Schema superó la prueba CrossRefValidation

       
       Ejecutando pruebas de partición en: Configuration

          Iniciando prueba: CheckSDRefDom

             ......................... Configuration superó la prueba CheckSDRefDom

          Iniciando prueba: CrossRefValidation

             ......................... Configuration superó la prueba

             CrossRefValidation

       
       Ejecutando pruebas de partición en: DOMINIO

          Iniciando prueba: CheckSDRefDom

             ......................... DOMINIO superó la prueba CheckSDRefDom

          Iniciando prueba: CrossRefValidation

             ......................... DOMINIO superó la prueba CrossRefValidation

       
       Ejecutando pruebas de empresa en: DOMINIO.local

          Prueba omitida por solicitud del usuario: DNS

          Prueba omitida por solicitud del usuario: DNS

          Iniciando prueba: LocatorCheck

             Nombre de GC: \\SRVDC01.DOMINIO.local

             Locator Flags: 0xe00013fd
             PDC Name: \\SRVDC01.DOMINIO.local
             Locator Flags: 0xe00013fd
             Time Server Name: \\SRVDC01.DOMINIO.local
             Locator Flags: 0xe00013fd
             Preferred Time Server Name: \\SRVDC01.DOMINIO.local
             Locator Flags: 0xe00013fd
             KDC Name: \\SRVDC01.DOMINIO.local
             Locator Flags: 0xe00013fd
             ......................... DOMINIO.local superó la prueba LocatorCheck

          Iniciando prueba: Intersite

             Omitiendo el sitio Nombre-predeterminado-primer-sitio. Este sitio está

             fuera del ámbito proporcionado por los argumentos de la línea de

             comandos facilitados.
             ......................... DOMINIO.local superó la prueba Intersite

    lunes, 5 de noviembre de 2012 22:49

Respuestas

  • Hola Lorenzo, nos has dado mucha información y es de agradecer ;-)

    Por partes:

    • Cuando dices que instalaste un  CG para las redes x.x.20.x  x.x.25.x  y x.x.26.x que estan ubicadas en un sitio remoto, confirma si creaste el site XXX y vinculaste a ese site las subredes x.x.20.x  x.x.25.x  y x.x.26.x y  tambien la subred del CG, además debiste crear algún site link. Sino lo hiciste es normal que te fallara.
    • Si estás trabajando con sedes remotas y tienes firewall entre las redes, te puede tambien afectar a varios niveles, si es el caso lo primero revisa por favor los puertos que necesitas tener abiertos entre esas redes y las oficinas donde hayan Controladores de Dominio. Para los clientes y el procesado de GPO hay una serie de puertos dinámicos.  Este link es de DCs contra DCs http://technet.microsoft.com/en-us/library/dd772723%28v=ws.10%29.aspxY este link para los puertos entre máquinas clientes y Controladores de Dominio http://support.microsoft.com/default.aspx?scid=kb;EN-US;832017&wa=wsignin1.0


    Daniel Graciá - Madrid / España

    ITIL v3, MCSA 2008, MCITP Enterprise Admin
    MCTS SCOM 2007, Windows Vista Configuration
    MCSA 2003 + Security, MCSE 2003 + Security
    MCP ISA SERVER 2000

    El Blog de Dani Gracia
    Dani Gracia en Twitter
    Dani Gracia en LinkedIn

    martes, 6 de noviembre de 2012 10:52
  • Deduzco por tu respuesta "El problema es con el direccionamiento ip de las redes, supongo que es en el servidor de dominio que estan bloquedas estas redes, porque al cambiar el direccionamiento ip de cualquiera de las redes con problemas: x.x.20.x  x.x.25.x  y x.x.26.x y colocarlo en otra red digamos la x.x.30.x esa computadora funciona ejecuto gpudate y se actualizan las politicas, ya no tengo el error de RPC."

    Que el problema está a nivel de networking.



    Daniel Graciá - Madrid / España

    ITIL v3, MCSA 2008, MCITP Enterprise Admin
    MCTS SCOM 2007, Windows Vista Configuration
    MCSA 2003 + Security, MCSE 2003 + Security
    MCP ISA SERVER 2000

    El Blog de Dani Gracia
    Dani Gracia en Twitter
    Dani Gracia en LinkedIn

    miércoles, 7 de noviembre de 2012 17:32

Todas las respuestas

  • Hola Lorenzo, nos has dado mucha información y es de agradecer ;-)

    Por partes:

    • Cuando dices que instalaste un  CG para las redes x.x.20.x  x.x.25.x  y x.x.26.x que estan ubicadas en un sitio remoto, confirma si creaste el site XXX y vinculaste a ese site las subredes x.x.20.x  x.x.25.x  y x.x.26.x y  tambien la subred del CG, además debiste crear algún site link. Sino lo hiciste es normal que te fallara.
    • Si estás trabajando con sedes remotas y tienes firewall entre las redes, te puede tambien afectar a varios niveles, si es el caso lo primero revisa por favor los puertos que necesitas tener abiertos entre esas redes y las oficinas donde hayan Controladores de Dominio. Para los clientes y el procesado de GPO hay una serie de puertos dinámicos.  Este link es de DCs contra DCs http://technet.microsoft.com/en-us/library/dd772723%28v=ws.10%29.aspxY este link para los puertos entre máquinas clientes y Controladores de Dominio http://support.microsoft.com/default.aspx?scid=kb;EN-US;832017&wa=wsignin1.0


    Daniel Graciá - Madrid / España

    ITIL v3, MCSA 2008, MCITP Enterprise Admin
    MCTS SCOM 2007, Windows Vista Configuration
    MCSA 2003 + Security, MCSE 2003 + Security
    MCP ISA SERVER 2000

    El Blog de Dani Gracia
    Dani Gracia en Twitter
    Dani Gracia en LinkedIn

    martes, 6 de noviembre de 2012 10:52
  • Gracias Daniel por tu respuesta, y te confirmo que el punto 1 lo realice tal como lo describistes, solo que despues de varias pruebas despromovi el servidor y actualmente esta inactivo, voy a revisar los enlaces que me has dejado y los retroalimento con los resultados, saludos
    martes, 6 de noviembre de 2012 16:23
  • he revisado "Para el error Error de enlace de directorios 1722:    Win32 Error 1722 échale un vistazo al siguiente link: http://support.microsoft.com/kb/839880/es" sin embargo yo trabajo con windows 2008 y esta nota es para windows 2003, hay algunas cosas que no aplican, he revisado y los firewalls estan abajo entre el controlador de dominio y las redes, probe tambien el dns y me resuelve bien.

    El problema es con el direccionamiento ip de las redes, supongo que es en el servidor de dominio que estan bloquedas estas redes, porque al cambiar el direccionamiento ip de cualquiera de las redes con problemas: x.x.20.x  x.x.25.x  y x.x.26.x y colocarlo en otra red digamos la x.x.30.x esa computadora funciona ejecuto gpudate y se actualizan las politicas, ya no tengo el error de RPC.
    miércoles, 7 de noviembre de 2012 16:30
  • Deduzco por tu respuesta "El problema es con el direccionamiento ip de las redes, supongo que es en el servidor de dominio que estan bloquedas estas redes, porque al cambiar el direccionamiento ip de cualquiera de las redes con problemas: x.x.20.x  x.x.25.x  y x.x.26.x y colocarlo en otra red digamos la x.x.30.x esa computadora funciona ejecuto gpudate y se actualizan las politicas, ya no tengo el error de RPC."

    Que el problema está a nivel de networking.



    Daniel Graciá - Madrid / España

    ITIL v3, MCSA 2008, MCITP Enterprise Admin
    MCTS SCOM 2007, Windows Vista Configuration
    MCSA 2003 + Security, MCSE 2003 + Security
    MCP ISA SERVER 2000

    El Blog de Dani Gracia
    Dani Gracia en Twitter
    Dani Gracia en LinkedIn

    miércoles, 7 de noviembre de 2012 17:32