none
Migración DC Windows Server 2008 R2 a Windows Server 2016 RRS feed

  • Question

  • Buen día

    Actualmente estoy intentando actualizar los Domain Controller que se encuentran W2008 R2, primero quiero migrar el principal, ya cree un servidor con W2016 para que este se quede como el principal, ya instale los roles de AD y DNS, pero al momento de promover mi nuevo servidor en la instalación de Active Directory Domain Service, muestra el siguiente mensaje de error:

    Error de ejecución de ADPrep --> Microsoft.DirectoryServices.Deployment.ADPrepLdapException: Derechos insuficientes. Error extendido del servidor: 8344. Mensaje extendido del servidor: 00002098: SecErr: DSID-03150BB9, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0
    .
    Adprep no puede modificar algunos atributos en el objeto DC=Domain,DC=local.
    [Acción del usuario] 
    Para obtener más información, consulte el archivo de registro ADPrep.log en el directorio C:\Windows\debug\adprep\logs\20190517132835..
    Compruebe los archivos de registro del directorio C:\Windows\debug\adprep\logs\20190517132835 para ver información detallada.

    Estoy utilizando el usuario Administrador del Domain Controller por lo cual no debería tener problemas de privilegios. ¿Que podría estar provocando este problema?


    jeudi 23 mai 2019 20:36

Toutes les réponses

  • Hola Salvador19, está dando error que faltan privilegios. Debes verificar que el usuario pertenezca a estos grupos: "Administrators", "Domain Admins", "Enterprise Admins" y "Scema Admins"

    [Agrego] Luego de incluir al usuario en esos grupos se debe cerrar sesión, y volver a iniciarla para que se actualice el "Access Token". Lo puedes verificar desde línea de comandos con WHOAMI /GROUPS

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.


    jeudi 23 mai 2019 21:54
    Modérateur
  • Buen día Guillermo,

    Estuve revisando los permisos de mi usuario Administrador, lamentablemente esta en español y solo me gustaría confirmar si el grupo de Enterprise Admins es igual a Administradores de organización

    Estos son todos los grupos a los que pertenece:

    vendredi 24 mai 2019 15:01
  • No tengo acceso a un DC con W2016, sólo a W2012R2 en español, y en este caso lo llama "Administradores de empresas". Supongo que es lo mismo

    Verifica, como puse antes, con WHOAMI /GROUPS que pertence a dichos grupos

    Si fuera así, y está dando un acceso denegado habría que apuntar a, por ejemplo, problemas de replicación ¿has controlado no tener problemas de ese tipo?

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    vendredi 24 mai 2019 15:37
    Modérateur
  • Este es el resultado al consultar los grupos

    Nombre de grupo                                                    Tipo
      SID                                            Atributos

    ================================================================== =============
    = ============================================== ===============================
    ===============================================================
    Todos                                                              Grupo conocid
    o S-1-1-0                                        Grupo obligatorio, Habilitado d
    e manera predeterminada, Grupo habilitado
    BUILTIN\Operadores de copia                                        Alias
      S-1-5-32-551                                   Grupo obligatorio, Habilitado d
    e manera predeterminada, Grupo habilitado
    BUILTIN\Administradores                                            Alias
      S-1-5-32-544                                   Grupo obligatorio, Habilitado d
    e manera predeterminada, Grupo habilitado, Propietario de grupo
    BUILTIN\Usuarios                                                   Alias
      S-1-5-32-545                                   Grupo obligatorio, Habilitado d
    e manera predeterminada, Grupo habilitado
    BUILTIN\Acceso compatible con versiones anteriores de Windows 2000 Alias
      S-1-5-32-554                                   Grupo obligatorio, Habilitado d
    e manera predeterminada, Grupo habilitado
    NT AUTHORITY\INTERACTIVE                                           Grupo conocid
    o S-1-5-4                                        Grupo obligatorio, Habilitado d
    e manera predeterminada, Grupo habilitado
    INICIO DE SESIÓN EN LA CONSOLA                                     Grupo conocid
    o S-1-2-1                                        Grupo obligatorio, Habilitado d
    e manera predeterminada, Grupo habilitado
    NT AUTHORITY\Usuarios autentificados                               Grupo conocid
    o S-1-5-11                                       Grupo obligatorio, Habilitado d
    e manera predeterminada, Grupo habilitado
    NT AUTHORITY\Esta compañía                                         Grupo conocid
    o S-1-5-15                                       Grupo obligatorio, Habilitado d
    e manera predeterminada, Grupo habilitado
    LOCAL                                                              Grupo conocid
    o S-1-2-0                                        Grupo obligatorio, Habilitado d
    e manera predeterminada, Grupo habilitado
    MIDOMINIO\Propietarios del creador de directivas de grupo    Grupo
      S-1-5-21-1715186560-2518406582-475301431-520   Grupo obligatorio, Habilitado d
    e manera predeterminada, Grupo habilitado
    MIDOMINIO\Admins. del dominio                                Grupo
      S-1-5-21-1715186560-2518406582-475301431-512   Grupo obligatorio, Habilitado d
    e manera predeterminada, Grupo habilitado
    MIDOMINIO\Administradores de esquema                         Grupo
      S-1-5-21-1715186560-2518406582-475301431-518   Grupo obligatorio, Habilitado d
    e manera predeterminada, Grupo habilitado
    MIDOMINIO\Administradores de organización                    Grupo
      S-1-5-21-1715186560-2518406582-475301431-519   Grupo obligatorio, Habilitado d
    e manera predeterminada, Grupo habilitado
    MIDOMINIO\Grupo de replicación de contraseña RODC denegada   Alias
      S-1-5-21-1715186560-2518406582-475301431-572   Grupo obligatorio, Habilitado d
    e manera predeterminada, Grupo habilitado
    MIDOMINIO\Administradores WSUS                               Alias
      S-1-5-21-1715186560-2518406582-475301431-2621  Grupo obligatorio, Habilitado d
    e manera predeterminada, Grupo habilitado, Grupo local
    MIDOMINIO\FIMSyncAdmins                                      Alias
      S-1-5-21-1715186560-2518406582-475301431-29219 Grupo obligatorio, Habilitado d
    e manera predeterminada, Grupo habilitado, Grupo local
    Etiqueta obligatoria\Nivel obligatorio alto                        Etiqueta
      S-1-16-12288                                   Grupo obligatorio, Habilitado d
    e manera predeterminada, Grupo habilitado, Grupo local

    =================================================================

    En cuanto a la replicación ejecute el comando repadmin /replsummary y no me presenta problemas

    Comenzando recolección de datos para el resumen de replicación, puede tomar tiem
    po:
      .....


    DSA de origen         diferencia mayor    errores/total %%   error
     SERVER1                   17m:04s    0 /   5    0
     SERVER2                   28m:19s    0 /   5    0


    DSA de destino     diferencia mayor    errores/total %%   error
     SERVER1                   28m:19s    0 /   5    0
     SERVER2                   17m:04s    0 /   5    0


    vendredi 24 mai 2019 16:23
  • Hola Guillermo, ejecute un DCDIAG

    Y veo el siguiente error, ¿como puedo configurar ese permiso?: 

    Iniciando prueba: NCSecDesc Error: BUILTIN\Administradores no tiene Replication Synchronization
    derechos de acceso para el contexto de nomenclatura:
    DC=MIDOMINIO,DC=local......................... SERVER1 no super¢ la prueba NCSecDesc

    =====================DCDIAG=======================================

    Diagn¢stico del servidor de directorio

    Realizando instalaci¢n inicial:
       Intentando encontrar el servidor principal...
       Servidor principal = SERVER1
       * Se identific¢ el bosque de AD. 
       Recopilaci¢n de informaci¢n inicial finalizada.

    Realizando pruebas requeridas iniciales
       
       Probando servidor: Default-First-Site\SERVER1
          Iniciando prueba: Connectivity
             ......................... SERVER1 super¢ la prueba Connectivity

    Realizando pruebas principales
       
       Probando servidor: Default-First-Site\SERVER1
          Iniciando prueba: Advertising
             ......................... SERVER1 super¢ la prueba Advertising
          Iniciando prueba: FrsEvent
             ......................... SERVER1 super¢ la prueba FrsEvent
          Iniciando prueba: DFSREvent
             ......................... SERVER1 super¢ la prueba DFSREvent
          Iniciando prueba: SysVolCheck
             ......................... SERVER1 super¢ la prueba SysVolCheck
          Iniciando prueba: KccEvent
             ......................... SERVER1 super¢ la prueba KccEvent
          Iniciando prueba: KnowsOfRoleHolders
             ......................... SERVER1 super¢ la prueba KnowsOfRoleHolders
          Iniciando prueba: MachineAccount
             ......................... SERVER1 super¢ la prueba MachineAccount
          Iniciando prueba: NCSecDesc
             Error: BUILTIN\Administradores no tiene 
                Replication Synchronization
             derechos de acceso para el contexto de nomenclatura:
             DC=MIDOMINIO,DC=local
             ......................... SERVER1 no super¢ la prueba NCSecDesc
          Iniciando prueba: NetLogons
             ......................... SERVER1 super¢ la prueba NetLogons
          Iniciando prueba: ObjectsReplicated
             ......................... SERVER1 super¢ la prueba ObjectsReplicated
          Iniciando prueba: Replications
             ......................... SERVER1 super¢ la prueba Replications
          Iniciando prueba: RidManager
             ......................... SERVER1 super¢ la prueba RidManager
          Iniciando prueba: Services
             ......................... SERVER1 super¢ la prueba Services
          Iniciando prueba: SystemLog
             Evento de error. Id. de evento: 0x000016AD
                Hora de creaci¢n: 05/24/2019   12:23:19
                Cadena de eventos:
                Error al autenticar la instalaci¢n de sesi¢n desde el equipo SRVDBSIGOT. Error: 
             ......................... SERVER1 no super¢ la prueba SystemLog
          Iniciando prueba: VerifyReferences
             ......................... SERVER1 super¢ la prueba VerifyReferences
       
       
       Ejecutando pruebas de partici¢n en: DomainDnsZones
          Iniciando prueba: CheckSDRefDom
             ......................... DomainDnsZones super¢ la prueba
             CheckSDRefDom
          Iniciando prueba: CrossRefValidation
             ......................... DomainDnsZones super¢ la prueba
             CrossRefValidation
       
       Ejecutando pruebas de partici¢n en: ForestDnsZones
          Iniciando prueba: CheckSDRefDom
             ......................... ForestDnsZones super¢ la prueba
             CheckSDRefDom
          Iniciando prueba: CrossRefValidation
             ......................... ForestDnsZones super¢ la prueba
             CrossRefValidation
       
       Ejecutando pruebas de partici¢n en: Schema
          Iniciando prueba: CheckSDRefDom
             ......................... Schema super¢ la prueba CheckSDRefDom
          Iniciando prueba: CrossRefValidation
             ......................... Schema super¢ la prueba CrossRefValidation
       
       Ejecutando pruebas de partici¢n en: Configuration
          Iniciando prueba: CheckSDRefDom
             ......................... Configuration super¢ la prueba CheckSDRefDom
          Iniciando prueba: CrossRefValidation
             ......................... Configuration super¢ la prueba
             CrossRefValidation
       
       Ejecutando pruebas de partici¢n en: MIDOMINIO
          Iniciando prueba: CheckSDRefDom
             ......................... MIDOMINIO super¢ la prueba
             CheckSDRefDom
          Iniciando prueba: CrossRefValidation
             ......................... MIDOMINIO super¢ la prueba
             CrossRefValidation
       
       Ejecutando pruebas de empresa en: MIDOMINIO.local
          Iniciando prueba: LocatorCheck
             ......................... MIDOMINIO.local super¢ la prueba
             LocatorCheck
          Iniciando prueba: Intersite
             ......................... MIDOMINIO.local super¢ la prueba
             Intersite

    vendredi 24 mai 2019 18:27
  • Logre resolver el problema del NCSecDesc, al ejecutar el DCDIAG ya no muestra algun problema, pero sigue marcando el mismo problema al intentar promover mi nuevo servidor.

    Error de ejecución de ADPrep --> Microsoft.DirectoryServices.Deployment.ADPrepLdapException: Derechos insuficientes. Error extendido del servidor: 8344. Mensaje extendido del servidor: 00002098: SecErr: DSID-03150BB9, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0
    .
    Adprep no puede modificar algunos atributos en el objeto DC=Domain,DC=local.

    ===========================DCDIAG========================

    Diagn¢stico del servidor de directorio

    Realizando instalaci¢n inicial:
       Intentando encontrar el servidor principal...
       Servidor principal = SERVER1
       * Se identific¢ el bosque de AD. 
       Recopilaci¢n de informaci¢n inicial finalizada.

    Realizando pruebas requeridas iniciales
       
       Probando servidor: Default-First-Site\SERVER1
          Iniciando prueba: Connectivity
             ......................... SERVER1 super¢ la prueba Connectivity

    Realizando pruebas principales
       
       Probando servidor: Default-First-Site\SERVER1
          Iniciando prueba: Advertising
             ......................... SERVER1 super¢ la prueba Advertising
          Iniciando prueba: FrsEvent
             ......................... SERVER1 super¢ la prueba FrsEvent
          Iniciando prueba: DFSREvent
             ......................... SERVER1 super¢ la prueba DFSREvent
          Iniciando prueba: SysVolCheck
             ......................... SERVER1 super¢ la prueba SysVolCheck
          Iniciando prueba: KccEvent
             ......................... SERVER1 super¢ la prueba KccEvent
          Iniciando prueba: KnowsOfRoleHolders
             ......................... SERVER1 super¢ la prueba KnowsOfRoleHolders
          Iniciando prueba: MachineAccount
             ......................... SERVER1 super¢ la prueba MachineAccount
          Iniciando prueba: NCSecDesc
             ......................... SERVER1 super¢ la prueba NCSecDesc
          Iniciando prueba: NetLogons
             ......................... SERVER1 super¢ la prueba NetLogons
          Iniciando prueba: ObjectsReplicated
             ......................... SERVER1 super¢ la prueba ObjectsReplicated
          Iniciando prueba: Replications
             ......................... SERVER1 super¢ la prueba Replications
          Iniciando prueba: RidManager
             ......................... SERVER1 super¢ la prueba RidManager
          Iniciando prueba: Services
             ......................... SERVER1 super¢ la prueba Services
          Iniciando prueba: SystemLog
             ......................... SERVER1 no super¢ la prueba SystemLog
          Iniciando prueba: VerifyReferences
             ......................... SERVER1 super¢ la prueba VerifyReferences
       
       
       Ejecutando pruebas de partici¢n en: DomainDnsZones
          Iniciando prueba: CheckSDRefDom
             ......................... DomainDnsZones super¢ la prueba
             CheckSDRefDom
          Iniciando prueba: CrossRefValidation
             ......................... DomainDnsZones super¢ la prueba
             CrossRefValidation
       
       Ejecutando pruebas de partici¢n en: ForestDnsZones
          Iniciando prueba: CheckSDRefDom
             ......................... ForestDnsZones super¢ la prueba
             CheckSDRefDom
          Iniciando prueba: CrossRefValidation
             ......................... ForestDnsZones super¢ la prueba
             CrossRefValidation
       
       Ejecutando pruebas de partici¢n en: Schema
          Iniciando prueba: CheckSDRefDom
             ......................... Schema super¢ la prueba CheckSDRefDom
          Iniciando prueba: CrossRefValidation
             ......................... Schema super¢ la prueba CrossRefValidation
       
       Ejecutando pruebas de partici¢n en: Configuration
          Iniciando prueba: CheckSDRefDom
             ......................... Configuration super¢ la prueba CheckSDRefDom
          Iniciando prueba: CrossRefValidation
             ......................... Configuration super¢ la prueba
             CrossRefValidation
       
       Ejecutando pruebas de partici¢n en: MIDOMINIO
          Iniciando prueba: CheckSDRefDom
             ......................... MIDOMINIO super¢ la prueba
             CheckSDRefDom
          Iniciando prueba: CrossRefValidation
             ......................... MIDOMINIO super¢ la prueba
             CrossRefValidation
       
       Ejecutando pruebas de empresa en: MIDOMINIO.local
          Iniciando prueba: LocatorCheck
             ......................... MIDOMINIO.local super¢ la prueba
             LocatorCheck
          Iniciando prueba: Intersite
             ......................... MIDOMINIO.local super¢ la prueba
             Intersite

    vendredi 24 mai 2019 19:08
  • Veo dos posibles problemas:

    En una de tus respuestas anteriores hay diferencias de tiempo entre los servidores y esto puede traer problemas justamente de autenticación. Así que primero que nada verifica que ambos servidores tengan la misma hora. Por supuesto que si están en diferente huso horario cada uno en el propio

    Si con lo anterior no se soluciona, entonces tengo que preguntar ¿quién estuvo "jugando" con los permisos del Dominio? :) porque esos solos no se modifican

    Revisa estos enlaces que están relacionados al tema y explican tres formas diferentes de volver a darle los permisos, en tu caso al grupo Administradores y Administradores de la organización

    dcdiag fails with NCSecDesc error
    https://social.technet.microsoft.com/Forums/en-US/29ac32d5-5f7f-41b8-a3d4-98b1531213cf/dcdiag-fails-with-ncsecdesc-error?forum=smallbusinessserver

    DCDiag NCSecDesc Errors
    https://social.technet.microsoft.com/Forums/windowsserver/en-US/9974952d-4113-4440-b4fe-9e27671b19a7/dcdiag-ncsecdesc-errors?forum=winserverDS

    dcdiag failed test NCSecDesc
    https://social.technet.microsoft.com/Forums/windowsserver/en-US/78f1e395-57d3-4690-934f-a4c59686a191/dcdiag-failed-test-ncsecdesc?forum=winserverDS

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    vendredi 24 mai 2019 19:11
    Modérateur
  • Lee lo que puse antes por favor

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    vendredi 24 mai 2019 19:14
    Modérateur
  • Ya logre corregir el error del NCSecDesc, ya pasa la prueba del DCDIAG, las horas coinciden en los dos servidores.

    Y sí, me preocupa el que se modificaran los permisos, lamentablemente no administraba estos servers antes.

    Ejecute de nuevo el comando repadmin /replsummary, ya muestra tiempos mas acorde:

    Comenzando recolección de datos para el resumen de replicación, puede tomar tiem
    po:
      .....


    DSA de origen         diferencia mayor    errores/total %%   error
     SERVER1                   34m:33s    0 /   5    0
     SERVER2                   34m:37s    0 /   5    0


    DSA de destino     diferencia mayor    errores/total %%   error
     SERVER1                   34m:37s    0 /   5    0
     SERVER2                   34m:33s    0 /   5    0

    Antes de otorgar de nuevo los permisos al grupo de Administradores, cuando ejecutaba la replicacion desde ad site and service, me mostraba un error. Pero ahora que ya tiene los permisos y logra realizar la replica:

    Pero el problema persiste, sigo sin poder promover mi nuevo servidor:

    Error de ejecución de ADPrep --> Microsoft.DirectoryServices.Deployment.ADPrepLdapException: Derechos insuficientes. Error extendido del servidor: 8344. Mensaje extendido del servidor: 00002098: SecErr: DSID-03150BB9, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0
    .
    Adprep no puede modificar algunos atributos en el objeto DC=Domain,DC=local.

     
    vendredi 24 mai 2019 19:40
  • Ejecuta dsquery partition y postea respuesta.

    Mostranos que permisos tenes en la imagen (es un lab by default).


    mardi 28 mai 2019 20:24
  • Hola Ignacio, este es el resultado del dsquery partition:

    C:\Users\Administrador.midominio>dsquery partition
    "CN=Configuration,DC=midominio,DC=local"
    "CN=Schema,CN=Configuration,DC=midominio,DC=local"
    "DC=midominio,DC=local"
    "DC=ForestDnsZones,DC=midominio,DC=local"
    "DC=DomainDnsZones,DC=midominio,DC=local"

    Pero al buscar el CN=Partitions, no veo que exista

    mercredi 29 mai 2019 15:21
  • Dejo unos pasos para que puedas ver:

    1 - Open ADSI
    2 - Boton derecho sobre ADSI y conecta a Configuration
    3 - Browsea y despliega CN=Configuration,DC=domain,DC=com
    4 - Pega imagen

    Saludos.
    mercredi 29 mai 2019 16:10
  • Estos son los permisos


    mercredi 29 mai 2019 17:27
  • 1 - Dime si existe CN=Partitions ?
    2 - En cada grupo dale Full Controll, tambien haz lo mismo en Forest...

    Agrega Enterprise/Domain admins en el resultado de: Dsacls “CN=Builtin,DC=domain,DC=com” 

    3 - Elimina los files dcpromo y adprep
    4 - Vuelve a intentar
    5 - Si aparece algun mensaje postealo en modo imagen

    Saludos.
    jeudi 30 mai 2019 05:40
  • duda, ¿donde encuentro los files de dcpromo, adprep y eliminarlos no dañara mi Domain controller?
    vendredi 31 mai 2019 16:26
  • Los puedes ver aqui:

    C:\Windows\debug
    C:\Windows\debug\adprep\logs

    No daña.

    Saludos.

    lundi 3 juin 2019 17:19