none
Errores tras despromocion de un dominio del forest RRS feed

  • Pregunta

  • Buenas,

    el escenario es el siguiente:


    Dominio : laboratorio.local , forest root domain

     DC1.laboratorio.local  con los 5 FSMO, DNS, GC y unido al site OFICINAS 192.168.1.0/24

     DC2.laboratorio.local sin roles, DNS, GC y unido al site SAT 192.168.2.0/24

    Dominio : almacen.local en el mismo forest que laboratorio.local

     DC3.almacen.local con los 3 roles FSMO del dominio, DNS, GC y unido al site ALMACEN 192.168.3.0/24


    todo funciona correctamente y decido eliminar completamente el dominio almacen.local , ejecuto dcpromo y tras las advertencias de rigor desintala DNS, y AD y "envia" la orden de eliminar la particion almacen.local del AD en el root forest. El proceso finaliza con normalidad y apago el Servidor para ser retirado.

    a partir de ahi, en el DC1.laboratorio.local se queda colgado un proceso que debe terminar de eliminar la particion almacen.local del directorio y genera los siguientes 3 eventos en el registro de sucesos cada 5 minutos.

    Por orden de aparicion
    -----------------------------------------------------------------------------------------
    Nombre de registro:Directory Service
    Origen:        Microsoft-Windows-ActiveDirectory_DomainService
    Fecha:         14/04/2010 19:34:55
    Id. del evento:1659
    Categoría de la tarea:Replicación
    Nivel:         Información
    Palabras clave:Clásico
    Usuario:       ANONYMOUS LOGON
    Equipo:        DC1.laboratorio.local
    Descripción:
    Se reanudó la eliminación de la siguiente partición de directorio de la base de datos local de los Servicios de dominio de Active Directory.
     
    Partición de directorio:
    DC=ALMACEN,DC=local
    Número de objetos que quedan por quitar (aproximadamente):
    33
    Número de valores de nombre que quedan por quitar (aproximadamente):
    0
    -----------------------------------------------------------------------------------------

    -----------------------------------------------------------------------------------------
    Nombre de registro:Directory Service
    Origen:        Microsoft-Windows-ActiveDirectory_DomainService
    Fecha:         14/04/2010 19:34:55
    Id. del evento:1481
    Categoría de la tarea:Procesamiento interno
    Nivel:         Error
    Palabras clave:Clásico
    Usuario:       ANONYMOUS LOGON
    Equipo:        DC1.laboratorio.local
    Descripción:
    Internal error: The operation on the object failed.
     
    Additional Data
    Error value:
    5 00002035: SvcErr: DSID-030901D7, problem 5003 (WILL_NOT_PERFORM), data 0
    -----------------------------------------------------------------------------------------

    -----------------------------------------------------------------------------------------
    Nombre de registro:Directory Service
    Origen:        Microsoft-Windows-ActiveDirectory_DomainService
    Fecha:         14/04/2010 19:34:55
    Id. del evento:1173
    Categoría de la tarea:Procesamiento interno
    Nivel:         Advertencia
    Palabras clave:Clásico
    Usuario:       ANONYMOUS LOGON
    Equipo:        DC1.laboratorio.local
    Descripción:
    Internal event: Active Directory Domain Services has encountered the following exception and associated parameters.
     
    Exception:
    e0010002
    Parameter:
    5
     
    Additional Data
    Error value:
    8442
    Internal ID:
    10c0a08
    -----------------------------------------------------------------------------------------


    Es decir, es como si tubiera pendiente de realizar un proceso de limpieza de esa particion y los 33 objetos que tiene en ella pero por algun motivo ese proceso falla.

    En DC2 es todo correcto, el proceso de eliminacion inicia y finaliza correctamente por lo que el fallo lo tengo solo en el DC1 que es el root forest de mi dominio.


    he intentado reconstruir el Global Catalog con repadmin /rebuildgc y el resultado es el siguiente
    -----------------------------------------------------------------------------------------
    DWORD Regkey Value: strict : 1
    DWORD Regkey Value: strict : 1
    The GC CN=NTDS Settings,CN=DC1,CN=Servers,CN=OFICINAS,CN=Sites,CN=Configuration,DC=laboratorio
    ,DC=local is being rebuilt. Each of its read-only partitions will be rehosted.
    New DC Options: IS_GC DISABLE_NTDSCONN_XLATE
    New DC Options: DISABLE_NTDSCONN_XLATE
    There was a DC Locator error finding a writeable copy of partition ALMACEN.local.
    The error number is 1355.
    DsGetDcName() failed with status 1355 (0x54b):
        El dominio especificado no existe o no se pudo poner en contacto con él.
    PartitionToGuidDnsName() failed with status 1355 (0x54b):
        El dominio especificado no existe o no se pudo poner en contacto con él.
    Repadmin encountered a failure while trying to rebuild the partition DC=ALMACEN,DC=local.
    Please use the /rehost command to manually rehost this partition.
    New DC Options: IS_GC DISABLE_NTDSCONN_XLATE
    New DC Options: IS_GC
    The KCC will now remove the temporary replica links to the writeable copies, and
    reestablish a standard topology, which will include links to both writeable and
    read-only copies of the partitions.
    -----------------------------------------------------------------------------------------

    aunque el problema no es a nivel de GC porque he desactivado que ese DC sea GC para que se elimine su contenido y el error sigue aparenciendo cada 5 minutos.

    He intentado localizar la particion con ADSIEDIT y no existe o yo no estoy buscando en el lugar correcto.

    He intentado localizarla tambien con ldp.exe pero lo mismo, o no existe o no busco en el lugar correcto.

    Tambien he intentado eliminarla con ntdsutil y partition management  pero me lista las particiones correctamente y esta no aparece por ningun lado.
    -----------------------------------------------------------------------------------------
    C:\Users\Administrador.LABORATORIO>ntdsutil
    ntdsutil: activate instance ntds
    Instancia activa establecida a "ntds".
    ntdsutil: partition management
    partition management: connection
    server connections: connect to server dc1.laboratorio.local
    Enlazando a dc1.laboratorio.local ...
    Conectado a dc1.laboratorio.local usando credenciales de usuario conectado localmente.
    server connections: quit
    partition management: list
    Nota: los nombres de partición de directorio que usan caracteres internacionales o Unicode sólo se m
    ostrarán correctamente si se cargan las fuentes apropiadas y la compatibilidad lingüística.
    Se han encontrado 5 nombres de contexto
    0 - CN=Configuration,DC=laboratorio,DC=local
    1 - CN=Schema,CN=Configuration,DC=laboratorio,DC=local
    2 - DC=DomainDnsZones,DC=laboratorio,DC=local
    3 - DC=ForestDnsZones,DC=laboratorio,DC=local
    4 - DC=laboratorio,DC=local
    partition management:
    -----------------------------------------------------------------------------------------

    He compactado, verificado la integridad y realizado un analisis semantico de la DB y el problema persiste.


    No me preocupa el problema ya que es un laboratorio de pruebas y puedo mover los roles al otro DC, despromocionarlo y promocionarlo de nuevo y el error desaparecera pero quisiera saber que se puede hacer en estos casos cuando esto pueda suceder en un entorno real, supuestamente la despromocion tiene que ser un proceso correcto y consistente pero en este caso ha fallado...

    Saludos y gracias por vuestra ayuda

    miércoles, 14 de abril de 2010 19:00
    Moderador

Respuestas

Todas las respuestas

  • Revisa si quedan rastros intentando eliminar el dominio que has quitado y su/s controlador/es usando NTDSUTIL:

    How to remove completely orphaned Domain Controller
    http://support.microsoft.com/?scid=kb%3Ben-us%3B555846&x=15&y=11

     


    Un saludo

    Fernando Reyes [MS MVP]
    MCSA 2000/2003
    MCSE 2000/2003
    MCITP EnterpriseAdministrator
    Web: http://freyes.svetlian.com
    Blog: http://urpiano.wordpress.com
    RSS: http://urpiano.wordpress.com/feed/
    freyes.champú@champú.mvps.org
    (Aclárate la cabeza si quieres escribirme)
    jueves, 15 de abril de 2010 8:07
    Moderador
  • Hola Fernando,

    he revisado lo comentado en el articulo http://support.microsoft.com/?scid=kb%3Ben-us%3B555846&x=15&y=11  y tambien lo comentado en el articulohttp://support.microsoft.com/kb/230306  y no hay rastro ni del DC, ni del dominio.

    Es un proceso que se ha quedado colgado en ese DC y que solo afecta a su DB del AD porque como digo en el DC2 no hay problema alguno ni referencia alguna tampoco al dominio almacen.local

    Gracias por tu ayuda.

     

    jueves, 15 de abril de 2010 8:54
    Moderador
  • ¿Has revisado también el DNS y Sitios y servicios de Active Directory?
    Un saludo

    Fernando Reyes [MS MVP]
    MCSA 2000/2003
    MCSE 2000/2003
    MCITP EnterpriseAdministrator
    Web: http://freyes.svetlian.com
    Blog: http://urpiano.wordpress.com
    RSS: http://urpiano.wordpress.com/feed/
    freyes.champú@champú.mvps.org
    (Aclárate la cabeza si quieres escribirme)
    jueves, 15 de abril de 2010 8:58
    Moderador
  •  

    Revisado, en el DNS no queda ni rastro ni del DC ni del dominio, por borrar he borrado hasta los registros PTR de las zonas inversas. Y en sitios y Servicios tambien elimine el objeto servidor y force el KCC para que revisase la topologia y la ajustase si debia, aunque es un laboratorio de pruebas con dos sites y dos DCs y no hay mucho que ajustar..

     

     

     

    jueves, 15 de abril de 2010 9:03
    Moderador
  • Se me acaba de ocurrir una cosa. Venías de un bosque de más de un dominio y DC1 es Infrastructure Master y GC. Esto es incorrecto. Prueba a quitarle el que sea catálogo global o a pasarle el FSMO de Infrastructure Master al DC2.
    Un saludo

    Fernando Reyes [MS MVP]
    MCSA 2000/2003
    MCSE 2000/2003
    MCITP EnterpriseAdministrator
    Web: http://freyes.svetlian.com
    Blog: http://urpiano.wordpress.com
    RSS: http://urpiano.wordpress.com/feed/
    freyes.champú@champú.mvps.org
    (Aclárate la cabeza si quieres escribirme)
    jueves, 15 de abril de 2010 9:55
    Moderador
  • Buenas,

    es incorrecto siempre y cuando el resto de DCs no sean tambien GC pero al serlo todos no hay problema por tener el Infraestructure Master en un GC.

    Ya probe a quitarlo como GC pensando que se "limpiaria" la parte correspondiente a GC de ese equipo que es donde yo sospechaba que quedaban los objetos por eliminar, pero aun habiendolo quitado el error se producia cada 5 minutos en el visor de sucesos.

    Tambien intente rehacer el GC y observa el mensaje que me da cuando lo intento

    There was a DC Locator error finding a writeable copy of partition ALMACEN.local.
    The error number is 1355.
    DsGetDcName() failed with status 1355 (0x54b):
        El dominio especificado no existe o no se pudo poner en contacto con él.
    PartitionToGuidDnsName() failed with status 1355 (0x54b):
        El dominio especificado no existe o no se pudo poner en contacto con él.
    Repadmin encountered a failure while trying to rebuild the partition DC=ALMACEN,DC=local

    Es un error localizado en la BD de este DC, es un proceso que deberia terminar de realizar la limpieza de objetos y por el motivo que sea no finaliza y deja restos que aunque no son visibles ( de una manera facil ) siguen ahi y provocan que el proceso se intente ejecutar cada 5 minutos hasta que estos se eliminen por completo.

    Antes de quitarle el rol de Infraestructure Master a este DC para probar, Hay alguna manera de "explorar" la BD del Global Catalog para mirar internamente si quedan objetos del dominio almacen.local?  no encuentro informacion sobre como conectarse a esa "parte" del AD

    Saludos!!

    jueves, 15 de abril de 2010 10:05
    Moderador
  • Eso que dices no es correcto:

    http://msmvps.com/blogs/ulfbsimonweidner/archive/2005/03/08/37975.aspx

    ¿Con ntdsutil te has conectado a DC1 para hacer la limpieza de la metabase?

     


    Un saludo

    Fernando Reyes [MS MVP]
    MCSA 2000/2003
    MCSE 2000/2003
    MCITP EnterpriseAdministrator
    Web: http://freyes.svetlian.com
    Blog: http://urpiano.wordpress.com
    RSS: http://urpiano.wordpress.com/feed/
    freyes.champú@champú.mvps.org
    (Aclárate la cabeza si quieres escribirme)
    jueves, 15 de abril de 2010 10:27
    Moderador
  • Hola,

    conozco el articulo porque sigo al autor en mi blog-roll, no obstante el propio Microsoft en sus libros advierte de que no es recomendable ponerlo a menos que todos los DCs del dominio sean GC y, por lo tanto, no tienes mas opcion y no es perjudicial

    De hecho, si le desmarco la opcion de GC y la vuelvo a marcar, la advertencia del Propio Sistema Operativo ( W2008R2 ) dice ( textualmente ):

    "El controlador de dominio de Active Directory actua como rol de maestro de infraestructura de este dominio. Este rol no se debe colocar en un AD DC que tambien sea servidor de catalogo global,a menos que todos los AD DC del dominio tambien lo sean. ¿Esta seguro de que desea que este AD DC sea un catalogo global?"

    Si, me conecto al DC1 y solo me muestra el dominio laboratorio.local, que es el que quiero mantener, pero ni rastro del almacen.local

    C:\Users\Administrador.LABORATORIO>ntdsutil
    ntdsutil: metadata cleanup
    metadata cleanup: connection
    server connections: connect to server dc1.laboratorio.local
    Enlazando a dc1.laboratorio.local ...
    Conectado a dc1.laboratorio.local usando credenciales de usuario conectado localmente.
    server connections: quit
    metadata cleanup: select operation target
    select operation target: list domains
    Se han encontrado 1 dominios
    0 - DC=laboratorio,DC=local
    select operation target: quit
    metadata cleanup: quit
    ntdsutil: quit

    jueves, 15 de abril de 2010 10:43
    Moderador
  • Pep , 

    Es raro lo que mencionas , si se borro correctamente en DC2 pero aun queda ese proceso en DC1 me hace pensar que deberia haber un problema de replicacion entre ambos DC.

     

    Verifica en adsiedit la siguiente ruta , ahi es donde se guardan los atributos crossref , 

     

    • cn=partitions
    • cn=configuration
    • dc=domain
    • dc=root
    El error de rehacer el GC es correcto ya que el rebuild DC lo que hace es contactar a una copia escribible de la particion y en ese caso tu ya no la tienes :).

    1 - Si en adsiedit del DC1 tratas de abrir la pariticion DC=almacen,DC=local  que sucede ?
    Podrias postear un dcdiag \v de DC1 ?

    2 - En cuanto al error 8442 traduce a  "Internal Error" prueba lo mencionado en la siguiente nota 
    http://support.microsoft.com/?scid=kb;en-us;265090&x=9&y=9
      ERROR_DS_DRA_INTERNAL_ERROR                               winerror.h

    3 - Postea un dcdiag \v del DC1 , puede ser ?
    # The replication system encountered an internal error.


    Sebastian del Rio - MCP - MCSA +S - MCSE +S - MCITP:Enterprise Administrator Buenos Aires - Argentina Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los riesgos
    jueves, 15 de abril de 2010 10:48
    Moderador
  • Perdona, tienes razón te había entendido mal.

    ¿Has ejecutado netdiag /fix y dcdiag /fix?


    Un saludo

    Fernando Reyes [MS MVP]
    MCSA 2000/2003
    MCSE 2000/2003
    MCITP EnterpriseAdministrator
    Web: http://freyes.svetlian.com
    Blog: http://urpiano.wordpress.com
    RSS: http://urpiano.wordpress.com/feed/
    freyes.champú@champú.mvps.org
    (Aclárate la cabeza si quieres escribirme)
    jueves, 15 de abril de 2010 10:56
    Moderador
  • Hola Sebastian,

    no habia problema de replicacion entre DCs, ademas antes de despromocionarlo force una replica entre todos con repadmin /syncall  y con repadmin /showreps  todo parecia estar correcto, de hecho el proceso de despromocion transcurrio y finalizo sin problemas.

    1)

    en cn=partitions,cn=configuration,dc=laboratorio,dc=local   aparecen 5 referencias

    CN=9798dd71-6205-4959-86a1-4d138d1e0394 que referencia a DC=DomainDnsZones,DC=laboratorio,DC=local

    CN=c3aacc9e-1b82-4917-a0da-8c6920d4a1d4 que referencia a DC=ForestDnsZones,DC=laboratorio,DC=local

    CN=Enterprise Configuration

    CN=Enterprise Schema

    CN=LABORATORIO

    y no observo en ningun lado ninguna referencia a almacen.local, ademas entiendo que esto es lo mismo que acceder con partition management en ntdsutil y desde alli tampoco aparece.

    2)

    Si con ADSIEDIT intento conectar a DC=almacen,dc=local  me da un error 0x202b indicando que no se puede conectar.

    3)

    He ejecutado el Dcdiag /v , como ahora mismo tengo el DC2 apagado ( me conecto a casa por remoto y ese no lo puedo levantar desde aqui )  aparecen varios errores de replicacion entre DC1 y DC2 pero los tests son correctos A EXCEPCION de este

     Starting test: NCSecDesc
             * Security Permissions check for all NC's on DC DC1.
             * Security Permissions Check for
               DC=ForestDnsZones,DC=laboratorio,DC=local
                (NDNC,Version 2)
             * Security Permissions Check for
               DC=DomainDnsZones,DC=laboratorio,DC=local
                (NDNC,Version 2)
             * Security Permissions Check for
               CN=Schema,CN=Configuration,DC=laboratorio,DC=local
                (Schema,Version 2)
             * Security Permissions Check for
               CN=Configuration,DC=laboratorio,DC=local
                (Configuration,Version 2)
             * Security Permissions Check for
               DC=laboratorio,DC=local
                (Domain,Version 2)
             * Security Permissions Check for
               DC=ALMACEN,DC=local
             ......................... DC1 failed test NCSecDesc

    Tampoco quisiera que os rompierais mucho la cabeza, es un laboratorio de pruebas virtualizado que puedo desmontar cuando quiera ( o cuando alcance los 180 dias de las trial ), asi que no es nada urgente, solo es curiosidad por si en alguna ocasion me lo encontrase en real.

     

    jueves, 15 de abril de 2010 11:28
    Moderador
  • Fernando,

    dcdiag /fix  no soluciona el problema

    netdiag /fix  no funciona ya que es un R2 x64 y netdiag viene en las support tools que son x86 y a pesar de que deberia funcionar por compatibilidad, no lo hace...

     

    jueves, 15 de abril de 2010 11:34
    Moderador
  • Pep , 

    Has intentado los pasos descriptos en la KB que te deje ? por ejemplo iniciar el Garbage Collection y demas ? 
    http://support.microsoft.com/Default.aspx?scid=kb;en-us;265090&x=9&y=9


    Sebastian del Rio - MCP - MCSA +S - MCSE +S - MCITP:Enterprise Administrator Buenos Aires - Argentina Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los riesgos
    • Marcado como respuesta Ismael Borche viernes, 12 de noviembre de 2010 15:14
    lunes, 19 de abril de 2010 14:41
    Moderador
  • Hola Sebastian,

    si, lo intente y se ejecuto el garbage colector que elimino algunos objetos pero sigo en el mismo punto, tiene operaciones pendientes de realizar aunque ahora indica que son 17 los objetos que quedan pendientes por borrar...  ya te digo que no es nada critico porque es un laboratorio virtual de pruebas y en breve tendre que re-crearlo porque uso las trials de MS de 180 dias y pronto llegaran a su fin..

    Saludos y gracias.

     

    lunes, 19 de abril de 2010 16:38
    Moderador