none
Acceso denegado al Borrar un DC Antiguo RRS feed

  • Pregunta

  • Buenos Dias, Tengo un Dominio en Windows 2003, y el DC principal se me rompio y no lo pude levantar nunca mas, tuve que hacer un size de los roles de fsmo y me dio correcto, luego de transferir los Roles FSMO hago una query para preguntar quien tiene los roles, y me dice que el nuevo dc que yo mismo cree tiene los 5 roles, hasta aca todo bien, no me da ningun error y todo viene siendo normal, pero cuando quiero borrar el dc desde el ntdsutil a travez del comando de metada clean up, me dice si estoy seguro que quiero borrar ese servidor y me da el siguiente error:

    Transferring / Seizing FSMO roles off the selected server.
    Removing FRS metadata for the selected server.
    Unable to find server reference on "CN=MORFEO,CN=Servers,CN=Buenos-Aires,CN=Sites,CN=Configuration,DC=topgroup,DC=com,DC=ar".

    DAP error 0x5e(94 (No result present in message).

    The attempt to remove the FRS settings on CN=MORFEO,CN=Servers,CN=Buenos-Aires,CN=Sites,CN=Configuration,DC=topgroup,DC=com,DC=ar failed because "Element not found.";

    metadata cleanup is continuing.
    DsRemoveDsServerW error 0x5(Access is denied.)

    Los pasos los segui de un foro de microsoft, a continuacion les dejo el link:

    http://technet.microsoft.com/en-us/library/cc736378(v=ws.10).aspx

    Saludos y Muchas Gracias a todos

    martes, 10 de julio de 2012 20:00

Respuestas

  • Hola Javier, revisa el siguiente enlace, porque dependiendo de la versión y service pack puede variar el procedimiento

    How to remove data in Active Directory after an unsuccessful domain controller demotion:
    http://support.microsoft.com/kb/216498

    Otra opción, más fácil está en: Eliminar un Controlador de Dominio Que Ya No Existe (Fácil) « WindowServer:
    http://windowserver.wordpress.com/2012/06/02/eliminar-un-controlador-de-dominio-que-ya-no-existe-fcil/

     

    Muevo el hilo al foro de Directorio Activo que es más apropiado por el tema

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP - MCT - MCSE - MCSA
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    martes, 10 de julio de 2012 21:14
    Moderador
  • Hola,

    Sumando a lo que te comenta Guille, me gustaría sumar los siguientes puntos.

    * Una vez logeado en el Domain Controller, corre el siguiente comando: whoami /groups.-

    * En la lista de grupos, chequea que te aparezca "Enterprise Admins" o "Domain Admins" del dominio al cual es el Domain Controller que deseas quitar porque el mismo ya no existe.-

    * Si no aparecen los grupos del punto anterior, tienes que agregarte al menos uno, re-logearte y correr los comandos que estabas corriendo o los pasos que te pasó Guillermo o sino realizarlo de la siguiente manera:

    1. Type ntdsutil, and then press ENTER.

    2. Type metadata cleanup, and then press ENTER.

    3. Type connections and press ENTER.

    4. Type set creds <domain name> <usernameoftheEnterpriseAdmins> <password> and press ENTER.

    5. Type connect to server <servername> and press ENTER.

    Luego, seguir los pasos que se detallan en el articulo 216498 para remover el Domain Controller.

    http://support.microsoft.com/kb/216498

    Si el problema persiste, por favor exporta los resultados de los siguientes comandos y muéstralos en el post para poderlo estudiar:

    • Dsacls cn=sites,cn=configuration,dc=domain,dc=com
    • Dsacls “ou=domain controllers,dc=domain,dc=com”

    Entre cada comando de los detallados, presionar ENTER.

    Esperto tu problema sea solucionado y desde ya, Guille perdon por meterme.. :=)

    Salu2


    Leonardo Ponti
    MVP: Directory Services
    MCTS: Microsoft Certified Technology Specialist
    MCSE: Microsoft Certified Systems Engineer (Windows Server 2003)
    MCSA: Microsoft Certified Systems Administrator (Windows Server 2003)
    Blog: Link!

    Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los riesgos.
    This posting is provided "AS IS" with no warranties, and confer no rights. You assume all risk for your use.

    miércoles, 11 de julio de 2012 1:56
    Moderador

Todas las respuestas

  • Hola Javier, revisa el siguiente enlace, porque dependiendo de la versión y service pack puede variar el procedimiento

    How to remove data in Active Directory after an unsuccessful domain controller demotion:
    http://support.microsoft.com/kb/216498

    Otra opción, más fácil está en: Eliminar un Controlador de Dominio Que Ya No Existe (Fácil) « WindowServer:
    http://windowserver.wordpress.com/2012/06/02/eliminar-un-controlador-de-dominio-que-ya-no-existe-fcil/

     

    Muevo el hilo al foro de Directorio Activo que es más apropiado por el tema

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP - MCT - MCSE - MCSA
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    martes, 10 de julio de 2012 21:14
    Moderador
  • Hola,

    Sumando a lo que te comenta Guille, me gustaría sumar los siguientes puntos.

    * Una vez logeado en el Domain Controller, corre el siguiente comando: whoami /groups.-

    * En la lista de grupos, chequea que te aparezca "Enterprise Admins" o "Domain Admins" del dominio al cual es el Domain Controller que deseas quitar porque el mismo ya no existe.-

    * Si no aparecen los grupos del punto anterior, tienes que agregarte al menos uno, re-logearte y correr los comandos que estabas corriendo o los pasos que te pasó Guillermo o sino realizarlo de la siguiente manera:

    1. Type ntdsutil, and then press ENTER.

    2. Type metadata cleanup, and then press ENTER.

    3. Type connections and press ENTER.

    4. Type set creds <domain name> <usernameoftheEnterpriseAdmins> <password> and press ENTER.

    5. Type connect to server <servername> and press ENTER.

    Luego, seguir los pasos que se detallan en el articulo 216498 para remover el Domain Controller.

    http://support.microsoft.com/kb/216498

    Si el problema persiste, por favor exporta los resultados de los siguientes comandos y muéstralos en el post para poderlo estudiar:

    • Dsacls cn=sites,cn=configuration,dc=domain,dc=com
    • Dsacls “ou=domain controllers,dc=domain,dc=com”

    Entre cada comando de los detallados, presionar ENTER.

    Esperto tu problema sea solucionado y desde ya, Guille perdon por meterme.. :=)

    Salu2


    Leonardo Ponti
    MVP: Directory Services
    MCTS: Microsoft Certified Technology Specialist
    MCSE: Microsoft Certified Systems Engineer (Windows Server 2003)
    MCSA: Microsoft Certified Systems Administrator (Windows Server 2003)
    Blog: Link!

    Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los riesgos.
    This posting is provided "AS IS" with no warranties, and confer no rights. You assume all risk for your use.

    miércoles, 11 de julio de 2012 1:56
    Moderador
  • Respondiendo a tu pregunta leo, aca te dejo lo que me pediste.

    Dsacls cn=sites,cn=configuration,dc=domain,dc=com

    Access list:
    Effective Permissions on this object are:
    Deny  Everyone                                       SPECIAL ACCESS
                                                         DELETE CHILD
    Allow NT AUTHORITY\Authenticated Users               SPECIAL ACCESS
                                                         READ PERMISSONS
                                                         LIST CONTENTS
                                                         READ PROPERTY
                                                         LIST OBJECT
    Allow TOPGROUP\Enterprise Admins                     SPECIAL ACCESS
                                                         READ PERMISSONS
                                                         WRITE PERMISSIONS
                                                         CHANGE OWNERSHIP
                                                         CREATE CHILD
                                                         LIST CONTENTS
                                                         WRITE SELF
                                                         WRITE PROPERTY
                                                         READ PROPERTY
                                                         LIST OBJECT
                                                         CONTROL ACCESS
    Allow NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS     SPECIAL ACCESS
                                                         READ PERMISSONS
                                                         LIST CONTENTS
                                                         READ PROPERTY
    Allow NT AUTHORITY\SYSTEM                            FULL CONTROL
    Allow NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS     SPECIAL ACCESS
                                                         READ PERMISSONS
                                                         LIST CONTENTS
                                                         READ PROPERTY
                                                         LIST OBJECT
    Allow TOPGROUP\Enterprise Admins                     FULL CONTROL   <Inherited from parent>
    Allow TOPGROUP\Domain Admins                         SPECIAL ACCESS   <Inherited from parent>
                                                         DELETE
                                                         READ PERMISSONS
                                                         WRITE PERMISSIONS
                                                         CHANGE OWNERSHIP
                                                         CREATE CHILD
                                                         LIST CONTENTS
                                                         WRITE SELF
                                                         WRITE PROPERTY
                                                         READ PROPERTY
                                                         LIST OBJECT
                                                         CONTROL ACCESS
    Allow S-1-5-21-839522115-920026266-854245398-4645    SPECIAL ACCESS for msExchVersion
                                                         WRITE PROPERTY
    Allow S-1-5-21-839522115-920026266-854245398-4645    SPECIAL ACCESS for msExchCost
                                                         WRITE PROPERTY
    Allow S-1-5-21-839522115-920026266-854245398-4645    SPECIAL ACCESS for msExchVersion
                                                         WRITE PROPERTY
    Allow S-1-5-21-839522115-920026266-854245398-4645    SPECIAL ACCESS for msExchTransportSiteFlags
                                                         WRITE PROPERTY
    Allow S-1-5-21-839522115-920026266-854245398-4653    SPECIAL ACCESS for msExchVersion
                                                         WRITE PROPERTY
    Allow S-1-5-21-839522115-920026266-854245398-4653    SPECIAL ACCESS for msExchCost
                                                         WRITE PROPERTY
    Allow S-1-5-21-839522115-920026266-854245398-4653    SPECIAL ACCESS for msExchVersion
                                                         WRITE PROPERTY
    Allow S-1-5-21-839522115-920026266-854245398-4653    SPECIAL ACCESS for msExchTransportSiteFlags
                                                         WRITE PROPERTY
    Allow S-1-5-21-839522115-920026266-854245398-4659    SPECIAL ACCESS for msExchVersion
                                                         WRITE PROPERTY
    Allow S-1-5-21-839522115-920026266-854245398-4659    SPECIAL ACCESS for msExchCost
                                                         WRITE PROPERTY
    Allow S-1-5-21-839522115-920026266-854245398-4659    SPECIAL ACCESS for msExchVersion
                                                         WRITE PROPERTY
    Allow S-1-5-21-839522115-920026266-854245398-4659    SPECIAL ACCESS for msExchTransportSiteFlags
                                                         WRITE PROPERTY
    Allow S-1-5-21-839522115-920026266-854245398-4744    SPECIAL ACCESS for msExchVersion
                                                         WRITE PROPERTY
    Allow S-1-5-21-839522115-920026266-854245398-4744    SPECIAL ACCESS for msExchCost
                                                         WRITE PROPERTY
    Allow S-1-5-21-839522115-920026266-854245398-4744    SPECIAL ACCESS for msExchVersion
                                                         WRITE PROPERTY
    Allow S-1-5-21-839522115-920026266-854245398-4744    SPECIAL ACCESS for msExchTransportSiteFlags
                                                         WRITE PROPERTY
    Allow S-1-5-21-839522115-920026266-854245398-4749    SPECIAL ACCESS for msExchVersion
                                                         WRITE PROPERTY
    Allow S-1-5-21-839522115-920026266-854245398-4749    SPECIAL ACCESS for msExchCost
                                                         WRITE PROPERTY
    Allow S-1-5-21-839522115-920026266-854245398-4749    SPECIAL ACCESS for msExchVersion
                                                         WRITE PROPERTY
    Allow S-1-5-21-839522115-920026266-854245398-4749    SPECIAL ACCESS for msExchTransportSiteFlags
                                                         WRITE PROPERTY
    Allow S-1-5-21-839522115-920026266-854245398-4756    SPECIAL ACCESS for msExchVersion
                                                         WRITE PROPERTY
    Allow S-1-5-21-839522115-920026266-854245398-4756    SPECIAL ACCESS for msExchCost
                                                         WRITE PROPERTY
    Allow S-1-5-21-839522115-920026266-854245398-4756    SPECIAL ACCESS for msExchVersion
                                                         WRITE PROPERTY
    Allow S-1-5-21-839522115-920026266-854245398-4756    SPECIAL ACCESS for msExchTransportSiteFlags
                                                         WRITE PROPERTY
    Allow S-1-5-21-839522115-920026266-854245398-4829    SPECIAL ACCESS for msExchVersion
                                                         WRITE PROPERTY
    Allow S-1-5-21-839522115-920026266-854245398-4829    SPECIAL ACCESS for msExchCost
                                                         WRITE PROPERTY
    Allow S-1-5-21-839522115-920026266-854245398-4829    SPECIAL ACCESS for msExchVersion
                                                         WRITE PROPERTY
    Allow S-1-5-21-839522115-920026266-854245398-4829    SPECIAL ACCESS for msExchTransportSiteFlags
                                                         WRITE PROPERTY
    Allow TOPGROUP\Exchange Organization Administrators  SPECIAL ACCESS for msExchVersion
                                                         WRITE PROPERTY
    Allow TOPGROUP\Exchange Organization Administrators  SPECIAL ACCESS for msExchCost
                                                         WRITE PROPERTY
    Allow TOPGROUP\Exchange Organization Administrators  SPECIAL ACCESS for msExchVersion
                                                         WRITE PROPERTY
    Allow TOPGROUP\Exchange Organization Administrators  SPECIAL ACCESS for msExchTransportSiteFlags
                                                         WRITE PROPERTY

    Permissions inherited to subobjects are:
    Inherited to all subobjects
    Allow TOPGROUP\Enterprise Admins                     FULL CONTROL   <Inherited from parent>
    Allow TOPGROUP\Domain Admins                         SPECIAL ACCESS   <Inherited from parent>
                                                         DELETE
                                                         READ PERMISSONS
                                                         WRITE PERMISSIONS
                                                         CHANGE OWNERSHIP
                                                         CREATE CHILD
                                                         LIST CONTENTS
                                                         WRITE SELF
                                                         WRITE PROPERTY
                                                         READ PROPERTY
                                                         LIST OBJECT
                                                         CONTROL ACCESS

    The command completed successfully

    En el Otro Comando me Devolvio los 5 DC que tengo, obviamente no estaba el sexto DC que es el que quiero terminar de borrar, otro dato, es que el Sexto DC solo Aparece en el DNs y en SItes & Services, es algo muy raro

    miércoles, 18 de julio de 2012 13:38