none
No se puede contactar con el servidor DNS. Acceso Denegado RRS feed

 > 

  • Pregunta

  • Question
    Inicie sesión para votar
    0
    Inicie sesión para votar
    Muy buenas,
    Desde hace unos meses, me sale este mensaje en la consola mmc de DNS en uno de los dos DC que tengo. Simplemente con pulsar en el arbol de la consola desde el DC que funciona al otro, ya sale el error en la parte derecha.
    Del mismo modo desde el DC que funciona ok o desde algunos pcs, cuando accedo mediante UNC al otro DC, tambien da error.

    Se lo que está pasando. Simplemente el nombre de ese dc no está resolviendo bien (con todos los errores de replicación que ello conlleva).
    Lo que estoy haciendo para intentar arreglarlo es intentar restablecer la cuenta del equipo y de ese modo validarlo de nuevo, pero al ser DC, tengo que despromoverlo primero y aquí me he quedado puesto que este DC en el que falla el DNS, es el maestro de operaciones. Y cuando voy a cambiar ésto de un DC al otro, evidentemente falla por lo mismo (No se puede conectar con el titular de FSMO actual).

    No sé que mas probar. Actualmente los servidores están en cuanto a AD se refiere, aislados. En sitios y servicios de AD, he probado a replicar manualmente tanto desde uno como desde otro en ambas direcciones pero el mensaje siempre es el mismo: "El nombre principal de destino es incorrecto". En algunos equipos tengo que sacarlos del dominio y volverlos a meter para poder acceder con cuenta de dominio, y para poder acceder a los recursos del servidor tengo que usar la IP en lugar del nombre.

    Los eventos del visor de sucesos más significativos en cuanto a DNS son estos dos, aunque no dicen mucho más.

    113: El servidor DNS no pudo señalar el servicio "NAT". El error fue 1168. Quizá haya problemas de interoperabilidad entre el servicio DNS y este servicio.

    4515: La zona dominio.local se cargó anteriormente desde la partición del directorio MicrosoftDNS, pero se ha encontrado otra copia de la zona en la partición del directorio DomainDnsZones.dominio.local. El servidor DNS omitirá esta nueva copia de la zona. Resuelva este conflicto lo antes posible.
    ...

    No sé que más hacer para arreglarlo ¿Existe alguna manera de solucionar esto?

    Muchas gracias de antemano.
    jueves, 2 de julio de 2009 13:16
    |

Respuestas

  • Question
    Inicie sesión para votar
    1
    Inicie sesión para votar
    No tiene mucho sentido borrar las registraciones automáticas y luego crearlas manualmente, va a ser para complicar aún más pues en ese caso los registros tienen a tí como Owner y no al DC, por lo cual no podrá modificarlos en caso de ser necesarios.

    Para verificar si replica o no, puedes crear, por ejemplo un usuario o UO, en un DC, forzar la replicación en Sitios y Servicios de AD, y verificar que aparezca en el otro.

    La solución "dura" :-)

    Asegurarse que el que queda, sea GC, tenga DNS y los clientes lo estén apuntando como tal

    En el que vas a sacar por la fuerza: DCPROMO /FORCEREMOVAL

    En el que queda:
    Cómo quitar datos en Active Directory después de una degradación sin éxito de un controlador de dominio:
    http://support.microsoft.com/kb/216498/es
    Guillermo Delprato - MVP - MCT - MCSE - MCSA - MCTS:AD Buenos Aires, Argentina
    • Marcado como respuesta igm82 martes, 7 de julio de 2009 15:47
    lunes, 6 de julio de 2009 13:29
    |
    Moderador
  • Question
    Inicie sesión para votar
    0
    Inicie sesión para votar
    Al despromoverlo forzado no se pasan los roles.

    Yo probaría antes que nada si los puedes transferir, aunque lo dudo mucho.
    En cuyo caso habría que apoderarse de los roles

    Utilizar Ntdsutil.exe para asumir o transferir las funciones de FSMO a un controlador de dominio:
    http://support.microsoft.com/kb/255504/es
    Guillermo Delprato - MVP - MCT - MCSE - MCSA - MCTS:AD Buenos Aires, Argentina
    • Marcado como respuesta igm82 martes, 7 de julio de 2009 15:47
    lunes, 6 de julio de 2009 22:15
    |
    Moderador

Todas las respuestas

  • Question
    Inicie sesión para votar
    0
    Inicie sesión para votar

    Quizás solucionando primero el  problema que tienes de DNS se resuelva todo lo demás.

    Si tienes un DC que "funciona bien" revisa que la zona dominio.local esté creada e integrada en AD. También controla que tengas creada la zona _msdcs.domino.local
    Si es W2003 son zonas separadas, si es W2000 están en la misma.

    Que el DC que "funciona bien" esté configurado para usar como DNS *únicamente* a sí mismo.
    Al DC "que no funciona bien" le configuras para que use como DNS al anterior, y le desinstalas el servicio DNS. Luego lo reinicias.

    Revisa que estén ambos servidores registrados en el DNS. Si es así reinstla el servicio DNS en el correspondiente DC

    Y a cada DC le pones para que apunte como DNS preferido al otro, y como alternativo a sí mismo.

    Prueba, y comenta cómo fue

    Guillermo Delprato - MVP - MCT - MCSE - MCSA - MCTS:AD Buenos Aires, Argentina
    jueves, 2 de julio de 2009 14:47
    |
    Moderador
  • Question
    Inicie sesión para votar
    0
    Inicie sesión para votar

    Gracias por la explicación Guillermo.

    Se me olvidó comentar que ambos DC's son Server 2003 Standard SP2, y ambos tienen creadas la zona del dominio y _msdcs, al igual que ambos tambien están registrados como punteros para búsquedas inversas.

    No obstante he hecho todos los pasos que has indicado pero cuando agrego el servidor DNS que falla a la consola mmc del que no falla, de entrada ya me dice "Acceso denegado. ¿Desea agregarlo de cualquier manera?"

    Un apunte, cuando dices: "Revisa que estén ambos servidores registrados en DNS", te refieres a que salgan los dos en sus correspondientes zonas y estén registrados también en las propiedades DNS como servidores de nombres? o hay que revisar algo más.


    Desde ya gracias por tu ayuda.

    viernes, 3 de julio de 2009 7:15
    |
  • Question
    Inicie sesión para votar
    0
    Inicie sesión para votar
    Si las zonas están integradas en AD, en la zona "dominio.algo" deben estar ambos DCs registrados (registro tipo A Host)

    Si ya, como dices, "hace meses" que está el problema y con lo anterior no se arregla, la solución es mucho más dura: elegir con cuál DC te quedas, forzar que asuma los roles, despromover al otro forzadamente, limpiar el AD y reinstalar al que despromoviste forzadamente
    Guillermo Delprato - MVP - MCT - MCSE - MCSA - MCTS:AD Buenos Aires, Argentina
    viernes, 3 de julio de 2009 12:25
    |
    Moderador
  • Question
    Inicie sesión para votar
    0
    Inicie sesión para votar

    Buenas,
    He vuelto a realizar la misma operación por si hubiese pasado algo por alto y nada, sigue pasando lo mismo.
    Los registros tipo A parecen estar todos OK y registrados en ambos DC
    ¿Podría "manipular" los registros DNS del DC que falla en plan borrarlos y luego volverlos a crear a mano? Estoy haciendo estas cosas en un entorno virtual de pruebas pero como no consigo reproducir el error no sé si surtirá efecto.

    En el caso en que tenga que optar por la solución dura, cómo hago para forzarlo todo?
    He encontrado este enlace pero no sé si en mi caso hay que hacer algo adicional.
    http://social.technet.microsoft.com/Forums/es-ES/wsades/thread/5f257c24-7f6b-487c-967c-3cf95ee8ed23

    Gracias por todo Guillermo
    domingo, 5 de julio de 2009 14:16
    |
  • Question
    Inicie sesión para votar
    1
    Inicie sesión para votar
    No tiene mucho sentido borrar las registraciones automáticas y luego crearlas manualmente, va a ser para complicar aún más pues en ese caso los registros tienen a tí como Owner y no al DC, por lo cual no podrá modificarlos en caso de ser necesarios.

    Para verificar si replica o no, puedes crear, por ejemplo un usuario o UO, en un DC, forzar la replicación en Sitios y Servicios de AD, y verificar que aparezca en el otro.

    La solución "dura" :-)

    Asegurarse que el que queda, sea GC, tenga DNS y los clientes lo estén apuntando como tal

    En el que vas a sacar por la fuerza: DCPROMO /FORCEREMOVAL

    En el que queda:
    Cómo quitar datos en Active Directory después de una degradación sin éxito de un controlador de dominio:
    http://support.microsoft.com/kb/216498/es
    Guillermo Delprato - MVP - MCT - MCSE - MCSA - MCTS:AD Buenos Aires, Argentina
    • Marcado como respuesta igm82 martes, 7 de julio de 2009 15:47
    lunes, 6 de julio de 2009 13:29
    |
    Moderador
  • Question
    Inicie sesión para votar
    0
    Inicie sesión para votar
    Gracias Guillermo,

    Al sacar por la fuerza el DC, en ese comando van incluidos el traspaso de roles de uno a otro? (el dc que no funciona es el que tiene los roles)
    lunes, 6 de julio de 2009 16:15
    |
  • Question
    Inicie sesión para votar
    0
    Inicie sesión para votar
    Al despromoverlo forzado no se pasan los roles.

    Yo probaría antes que nada si los puedes transferir, aunque lo dudo mucho.
    En cuyo caso habría que apoderarse de los roles

    Utilizar Ntdsutil.exe para asumir o transferir las funciones de FSMO a un controlador de dominio:
    http://support.microsoft.com/kb/255504/es
    Guillermo Delprato - MVP - MCT - MCSE - MCSA - MCTS:AD Buenos Aires, Argentina
    • Marcado como respuesta igm82 martes, 7 de julio de 2009 15:47
    lunes, 6 de julio de 2009 22:15
    |
    Moderador
  • Question
    Inicie sesión para votar
    0
    Inicie sesión para votar
    Gracias mil Guillermo,

    Al final la solución tomada ha sido despromover forzadamente el DC que fallaba y luego seguir los pasos de limpieza de AD, seguido de los pasos necesarios para transferir funciones de FSMO al dc que funciona pero forzadamente (seize en lugar de transfer), tras lo cual, me he asegurado que el DC restante adquiriese todas las conexiones y todas las maquinas se podían autenticar en el.
    Después he hecho un dcpromo al DC que fallaba, no sin antes ponerle como DNS principal la ip del DC que funciona.
    Finalmente han replicado los dos correctamente aunque se registraron algunos eventos de error debidos a unos cuantos equipos en los cuales unos he tenido que sacarles del dominio y volverlos a meter y otros restaurar la contraseña.

    Ahora ambos DC tienen como DNS1 a si mismo pero con su dirección de loopback, ya que como esto falle si que estamos jodidos y como DNS2 la IP del otro.

    No obstante he dejado como catálogo global y como propietario de los roles a uno de ellos (el que ya funcionaba anteriormente)


    Un saludo cordial.
    martes, 7 de julio de 2009 15:47
    |
  • Question
    Inicie sesión para votar
    0
    Inicie sesión para votar
    Los equipos que se tuvieron que re-unir al dominio seguramente era porque estaban e un DC y no en el otro, pero eso se solucionó fácil.

    Es lo correcto que cada DC use como DNS preferido a sí mismo y al otro como alternativo si son W2003. Si fueran W2000 hay que "cruzarlos".

    Y lo último, si tienes un sólo dominio, no lo dudes que ambos DCs sean Catálogo Global, ya que eliminarás un posible único punto de falla y no genera ni más tráfico ni más carga.
    Guillermo Delprato - MVP - MCT - MCSE - MCSA - MCTS:AD Buenos Aires, Argentina
    martes, 7 de julio de 2009 22:52
    |
    Moderador