none
Evento con origen SceSrv RRS feed

  • Pregunta

  • Hola a todos.

    Estoy a punto de añadir un controlador de dominio Windows Server 2008 R2 a mi dominio. Actualmente todos los DC son Server 2003, pero tenian al principio algunos Server 2000 ya retirados.

    El caso es que debido a esto, el nivel del dominio estaba en 2000 mixto. Para añadir el 2008, antes de hacer el forestprep y el domainprep, hay que elevar el nivel del dominio y bosque como minimo a windows 2000 nativo.

    Lo que he hecho a sido aumentar el nivel del dominio a Windows 2000 nativo.

    La idea es elevarlo luego a 2003, tanto en domidnio como el bosque, pero ahora, que solo he elevado el nivel del dominio a 2000 nativo, he obtenido en el visor de sucesos el siguiente error:

    Tipo de suceso: Error
    Origen del suceso: SceSrv
    Categoría del suceso: Ninguno
    Id. suceso: 1003
    Fecha: 26/03/2014
    Hora: 17:05:04
    Usuario: No disponible
    Equipo: SAITEC05
    Descripción:
    Error al reintentar la notificación del cambio de directiva desde LSA/SAM. Error 4312 al guardar el cambio de directiva en los Objetos de directiva de grupo. Para obtener más información sobre la depuración, consulte security\logs\scepol.log en la raíz Windows.

    Para obtener más información, vea el Centro de ayuda y soporte técnico en http://go.microsoft.com/fwlink/events.asp.

    He buscado en EventID, pero no encuentro nada que me ayude. Ademas, en otros errores mencionados, se hace referencia a un SID, pero en mi caso, como veis no indica nada de SID.

    No se si tiene que ver con la elevacion del nivel del dominio o ha sido casualidad.

    ¿Puede alguien ayudarme? me da miedo seguir adelante con el proceso.

    miércoles, 26 de marzo de 2014 16:42

Respuestas

  • Al final creo que esta resuelto.

    Comente en otro mensaje con otro problema relacionado, esto mismo, y al final creo que puedo darlo por resuelto, ya que investigando un poco encontré la herramienta DCGPOFIX, que considero que ha resuelto el problema al generar de nuevo los objetos de políticas por defecto, los cuales habían sido borrados por error.

    miércoles, 9 de julio de 2014 12:04

Todas las respuestas

  • Hola,

    ¿Como estas? El log Security\logs\scepol.log en la raiz de Windows, ¿indica algun error?

    Saludos!


    This posting is provided "AS IS" with no warranties and confers no rights! Always test ANY suggestion in a test environment before implementing!

    miércoles, 26 de marzo de 2014 20:31
  • Hola Probador... como estas,

    Me sumo a lo de Nicolas,

    http://social.technet.microsoft.com/forums/windowsserver/en-US/a650bc05-d903-4aae-939f-bdb7da4f2ad6/scesrv-1003

    jueves, 27 de marzo de 2014 1:46
  • Hola de nuevo y disculpad el retraso tan grande en responder.

    El caso es que no tengo ningun fichero scepol.log en ese directorio.

    Ademas, el error no indica nada sobre una cuenta desconocida, asi que no creo que tenga nada que ver con un SID perdido ni nada parecido.

    Este dominio tuvo algun problema con los GPO, y tuve que borrar y crear de nuevo los GPO, copiando todas las configuraciones de otro dominio que tengo, ya que queria aplicar las mismas politicas. No se si ha quedado alguna basura de los objetos viejo, o si algun permiso no esta bien.

    Gracias por responder y de nuevo siento el retraso tan grande. Espero que puedan ayudarme.

    martes, 29 de abril de 2014 11:58
  • Tienes un problema a nivel de seguridad. El cambio de política de LSA / SAM no se puede guardar en el almacenamiento de directivas. Verifica el file winlogon.log si es que tiene errores, sino renombralo y verifica nuevamente. Si tienes mas errores en el event viewer, postealos. Ejecuta dcdiag y postea el resultado.
    martes, 29 de abril de 2014 12:30
  • Este error de todos modos, no me sale en el dia a dia. Se me ha producido cuando eleve la funcionalidad del domino a Win2003, y cuando hice el adprer32.exe /domainprep, todo ello porque tengo intencion de monter DCs con Server2008.

    Despues de eso he cambiado los permisos de las carpetas dentro de sysvol, copiando los que tiene el otro dominio sin problemas. he notado que en algunas, me faltaba el grupo Administradores con control total. No se si esto resolvera el problema. Pego el contenido de la ultima parte del winlogon.log. No entiendo demasiado bien lo que pone, y no se si la fecha es el comienzo del log ese dia o que es.

    **************************

    Error 0 para enviar el indicador de control 1 al servidor.

    Hacer una copia local de \\informatica.local\SysVol\informatica.local\Policies\{67FA71CD-04E2-459F-8446-6C14E4E2E506}\Machine\Microsoft\Windows NT\SecEdit\GptTmpl.inf.
    GPLinkDomain GPO_INFO_FLAG_BACKGROUND )

    Hacer una copia local de \\informatica.local\SysVol\informatica.local\Policies\{F641E4CD-1D35-402E-9071-C2CCBAEBF9CD}\Machine\Microsoft\Windows NT\SecEdit\GptTmpl.inf.
    GPLinkOrganizationUnit GPO_INFO_FLAG_BACKGROUND )

    Procesar plantilla de directiva de grupo gpt00000.dom.

    Éste no es el último GPO.
    -------------------------------------------
    miércoles, 30 de abril de 2014 2:18:50
    Copiar valores de recuperación a la directiva combinada.


    ----Revertir la inicialización del motor de configuración...

    Procesar plantilla de directiva de grupo gpt00001.inf.

    Éste es el último GPO : la directiva de dominio se ha omitido en DC.
    -------------------------------------------
    miércoles, 30 de abril de 2014 2:18:50


    ----Revertir la inicialización del motor de configuración...
    -------------------------------------------
    miércoles, 30 de abril de 2014 2:18:51
    ----El motor de configuración se inicializó correctamente.----

    ----Leyendo información de la plantilla de configuración...


    ----Configurar derechos del usuario...
    SeNetworkLogonRight se debe asignar a la cuenta Controladores corporativos para que la propagación de directiva y la replicación sean satisfactorias.
    Error al asignar SeSystemtimePrivilege a la cuenta Administradores. Es posible que esta configuración bloquee a los administradores cuando inicien sesión interactivamente.
    Configurar S-1-5-21-682003330-1801674531-2146714087-500.
    Configurar S-1-5-21-682003330-1801674531-2146714087-7611.
    Configurar S-1-5-21-682003330-1801674531-2146714087-7612.
    Configurar S-1-5-21-682003330-1801674531-2146714087-8606.
    Configurar S-1-5-21-682003330-1801674531-2146714087-7610.
    Configurar S-1-5-32-544.
    Configurar S-1-5-32-551.
    Configurar S-1-5-32-549.
    Configurar S-1-5-21-682003330-1801674531-2146714087-1120.
    Configurar S-1-5-21-682003330-1801674531-2146714087-3605.
    Configurar S-1-5-21-682003330-1801674531-2146714087-1002.
    Configurar S-1-5-21-682003330-1801674531-2146714087-3606.
    Configurar S-1-5-21-682003330-1801674531-2146714087-2108.
    Configurar S-1-5-21-682003330-1801674531-2146714087-1001.
    Configurar S-1-1-0.
    Configurar S-1-5-11.
    Configurar S-1-5-21-682003330-1801674531-2146714087-501.
    Configurar S-1-5-32-550.
    Configurar S-1-5-32-548.
    Configurar S-1-5-21-682003330-1801674531-2146714087-1000.
    Configurar S-1-5-18.
    Configurar S-1-5-20.
    Configurar S-1-5-9.
    Configurar S-1-5-19.

    Se completó correctamente la configuración de derechos del usuario.


    ----Configurar directiva de seguridad...
    Configurar la información sobre contraseñas.
    Configurar la información sobre final de sesión de cuenta forzado.

    La configuración del acceso al sistema se completó satisfactoriamente.

    Se completó correctamente la configuración de auditoría y el registro.

    Se completó correctamente la configuración de directivas Kerberos.
    Configurar machine\system\currentcontrolset\services\lanmanserver\parameters\enablesecuritysignature.

    Se completó correctamente la configuración de valores del Registro.


    ----Configurar los motores de anexión de datos disponibles...

    Se completó correctamente la configuración de los motores de anexión de datos.


    ----Revertir la inicialización del motor de configuración...

    Respecto al dcdiag, lo habia ejecutado antes de elevar el nivel funcional del bosque y dominio, y no recuerdo haber visto errores. Aun asi, lo ejecute de nuevo y lo pego a continuacion.


    Domain Controller Diagnosis

    Performing initial setup:
       Done gathering initial info.

    Doing initial required tests
       
       Testing server: Bilbao\SAITEC05
          Starting test: Connectivity
             ......................... SAITEC05 passed test Connectivity

    Doing primary tests
       
       Testing server: Bilbao\SAITEC05
          Starting test: Replications
             ......................... SAITEC05 passed test Replications
          Starting test: NCSecDesc
             ......................... SAITEC05 passed test NCSecDesc
          Starting test: NetLogons
             ......................... SAITEC05 passed test NetLogons
          Starting test: Advertising
             ......................... SAITEC05 passed test Advertising
          Starting test: KnowsOfRoleHolders
             ......................... SAITEC05 passed test KnowsOfRoleHolders
          Starting test: RidManager
             ......................... SAITEC05 passed test RidManager
          Starting test: MachineAccount
             ......................... SAITEC05 passed test MachineAccount
          Starting test: Services
             ......................... SAITEC05 passed test Services
          Starting test: ObjectsReplicated
             ......................... SAITEC05 passed test ObjectsReplicated
          Starting test: frssysvol
             ......................... SAITEC05 passed test frssysvol
          Starting test: frsevent
             ......................... SAITEC05 passed test frsevent
          Starting test: kccevent
             ......................... SAITEC05 passed test kccevent
          Starting test: systemlog
             ......................... SAITEC05 passed test systemlog
          Starting test: VerifyReferences
             ......................... SAITEC05 passed test VerifyReferences
       
       Running partition tests on : ForestDnsZones
          Starting test: CrossRefValidation
             ......................... ForestDnsZones passed test CrossRefValidation
          Starting test: CheckSDRefDom
             ......................... ForestDnsZones passed test CheckSDRefDom
       
       Running partition tests on : DomainDnsZones
          Starting test: CrossRefValidation
             ......................... DomainDnsZones passed test CrossRefValidation
          Starting test: CheckSDRefDom
             ......................... DomainDnsZones passed test CheckSDRefDom
       
       Running partition tests on : Schema
          Starting test: CrossRefValidation
             ......................... Schema passed test CrossRefValidation
          Starting test: CheckSDRefDom
             ......................... Schema passed test CheckSDRefDom
       
       Running partition tests on : Configuration
          Starting test: CrossRefValidation
             ......................... Configuration passed test CrossRefValidation
          Starting test: CheckSDRefDom
             ......................... Configuration passed test CheckSDRefDom
       
       Running partition tests on : informatica
          Starting test: CrossRefValidation
             ......................... informatica passed test CrossRefValidation
          Starting test: CheckSDRefDom
             ......................... informatica passed test CheckSDRefDom
       
       Running enterprise tests on : informatica.local
          Starting test: Intersite
             ......................... informatica.local passed test Intersite
          Starting test: FsmoCheck
             ......................... informatica.local passed test FsmoCheck

    Gracias :)

    miércoles, 30 de abril de 2014 14:49
  • Para reparar el error "GPO_INFO_FLAG_BACKGROUND" aplica esto:

    http://social.technet.microsoft.com/Forums/windowsserver/en-US/938c1ac2-2cd9-4254-a011-2ab344a12676/scecli-error?forum=winserverDS

    Reinicia el servidor y verifica nuevamente. No olvides de verificar en el event viewer lo event id con error.

    miércoles, 30 de abril de 2014 16:53
  • Gracias, en cuanto tenga posibilidad de apagar el server pruebo y te informo del resultado ;-)
    martes, 6 de mayo de 2014 11:28
  • Hola de nuevo.

    He empezado a probar esos pasos, pero me pasa de momento lo siguiente. Ya existe la clave de registro que manda crear, asi que simplemente le he dado el valor que pone  que hay que darle.

    Sin embago, el comando secedit que me dice que ejecute, no funciona, me sale la sintaxis que tiene el comando, y no esta la opcion que me piden ejecutar. He probado con gpupdate /force, no se si con eso sera equivalente, pero en el visor de sucesos no se reproduce ningun error, salen dos informaciones asi:

    Tipo de suceso: Información
    Origen del suceso: SceCli
    Categoría del suceso: Ninguno
    Id. suceso: 1704
    Fecha: 06/05/2014
    Hora: 13:40:00
    Usuario: No disponible
    Equipo: SAITEC05
    Descripción:
    Se ha aplicado satisfactoriamente la directiva de seguridad en los objetos de directiva de grupo.

    Para obtener más información, vea el Centro de ayuda y soporte técnico en http://go.microsoft.com/fwlink/events.asp.

    Es decir, como que todo correcto.

    No he querido seguir sin consultar de nuevo por si acaso.

    martes, 6 de mayo de 2014 11:49
  • Al final creo que esta resuelto.

    Comente en otro mensaje con otro problema relacionado, esto mismo, y al final creo que puedo darlo por resuelto, ya que investigando un poco encontré la herramienta DCGPOFIX, que considero que ha resuelto el problema al generar de nuevo los objetos de políticas por defecto, los cuales habían sido borrados por error.

    miércoles, 9 de julio de 2014 12:04