En un articulo anterior describí como realizar la migración de roles entre Controladores de dominio en un bosque. Tras realizar dicho cambio, me he encontrado con diversos problemas que han interferido en el funcionamiento normal del Dominio.
Los primeros síntomas de que algo no había ido del todo bien, aparecieron al mes del cambio de roles, y fueron problemas de usuarios que no podían acceder con sus cuentas al dominio porque les mostraba un «Error en la relación de confianza entre la estación de trabajo y el dominio principal«.
La solución a este problema fue fácil, se saca del dominio el equipo en cuestión y se vuelve a unir al dominio. Tras este proceso el perfil del usuario no sufre ningún cambio y se restablece la normalidad.
Poco tiempo después, empezaron a aparecer con las unidades de red que se conectan mediante scripts al inicio de sesión. Estas perdieron la conexión y al intentar conectarlas mostraba el error siguiente.
Tras empezar a tirar un poco de la manta, y empezar a revisar el visor de sucesos, me empece a encontrar los siguientes errores:
Visor de sucesos / Aplicación: ID de suceso 1030 / ID de suceso 1053 / ID de suceso 1058
Visor de sucesos / Servidor DNS: ID de suceso 9999 / ID de suceso 4000 / ID de suceso 3000
También se originaron ciertos problemas de replicación de GPOs así como la imposibilidad de incluir scripts de inicio a través de GPO, por que había desaparecido dicha opción en el Editor de Administración de Directivas de Grupo.
Buscando soluciones para los eventos generados en el apartado aplicación, me centre en solucionar los problemas derivados por Kerberos, sin ningún resultado positivo. Centrando la solución en los problemas de DNS, me encontraba que desde el DC original (Actualmente sin rol FSMO) no podía ver el servidor DNS del actual PDC.
SOLUCIÓN:
Tras muchos intentos en las lineas anteriormente indicadas, procedí con la manera más drástica pero a la larga, la más eficaz. Esta no fue otra que degradar por la fuerza al controlador de dominio que cedió su rol FSMO, utilizando el comando dcpromo /forceremoval. Este comando elimina forzosamente las funciones de Active Directoy del servidor en cuestión.
Una vez completado el paso anterior, se deben limpiar los metadatos que quedan en el servidor con la función FSMO
- Haga clic en Inicio, seleccione Programas y Accesorios y, a continuación, haga clic en Símbolo del sistema.
- En el símbolo del sistema, escriba ntdsutil y presione ENTRAR.
- Escriba metadata cleanup y presione ENTRAR. Según las opciones dadas, el administrador puede realizar la eliminación; pero para que ello sea posible se deben especificar parámetros de configuración adicionales.
- Escriba connections y presione ENTRAR. Este menú se usa para conectar con el servidor específico donde se producen los cambios. Si el usuario que ha iniciado sesión no tiene permisos administrativos, se pueden suministrar credenciales diferentes especificando las credenciales que hay que usar antes de realizar la conexión. Para ello, escriba set creds NombreDeDominioNombreDeUsuarioContraseña y presione ENTRAR. Para escribir una contraseña nula, escriba null en el parámetro correspondiente a la contraseña.
- Escriba connect to server nombreDeServidor y presione ENTRAR. Debe recibir la confirmación de que la conexión se ha establecido correctamente. Si se produce un error, compruebe que el controlador de dominio que se usa en la conexión está disponible y que las credenciales que ha suministrado tienen permisos administrativos en el servidor.Nota Si intenta conectar con el mismo servidor que desea eliminar, cuando intente eliminar el servidor al que se hace referencia en el paso 15, puede aparecer un mensaje de error similar al siguiente:
Error 2094. No se puede eliminar el objeto DSA
- Escriba quit y presione ENTRAR. Aparecerá el menú Metadata Cleanup.
- Escriba select operation target y presione ENTRAR.
- Escriba list domains y presione ENTRAR. Se mostrará una lista de dominios del bosque, cada uno con un número asociado.
- Escriba select domain número y presione ENTRAR, donde número es el número asociado al dominio del que es miembro el servidor que está quitando. El dominio que seleccione se usa para determinar si el servidor que se está quitando es el último controlador de dominio de ese dominio.
- Escriba list sites y presione ENTRAR. Se mostrará una lista de sitios, cada uno con un número asociado.
- Escriba select site número y presione ENTRAR, donde número es el número asociado al sitio del que es miembro el servidor que está quitando. Debe recibir una confirmación que enumere el sitio y el dominio que eligió.
- Escriba list servers in site y presione ENTRAR. Se mostrará una lista de los servidores del sitio, cada uno con un número asociado.
- Escriba select servernúmero y presione ENTRAR, donde número es el número asociado al servidor que desea quitar. Aparecerá una confirmación donde se indica el servidor seleccionado, su nombre de host del Sistema de nombres de dominio (DNS) y la ubicación de la cuenta de equipo del servidor que desea quitar.
- Escriba quit y presione ENTRAR. Aparecerá el menú Metadata Cleanup.
- Escriba remove selected server y presione ENTRAR. Debe recibir la confirmación de que la eliminación se ha completado correctamente. Si aparece el mensaje de error siguiente, el objeto de configuración NTDS puede haberse quitado ya de Active Directory porque lo haya quitado otro administrador o como consecuencia de la replicación de la eliminación con éxito del objeto después de ejecutar la utilidad DCPROMO.
Error 8419 (0x20E3)
No se encontró el objeto DSANota: También puede ver este error cuando intenta enlazar con el controlador de dominio que se va a quitar. Ntdsutil tiene que enlazar con otro controlador de dominio distinto al que se va a quitar con la limpieza de metadatos.
- Escriba quit y, a continuación, presione ENTRAR en cada, y cierre la utilidad Ntdsutil. Debe aparecer la confirmación de que la desconexión se ha completado correctamente.
- Quite el registro cname de la zona _msdcs.dominio raíz del bosque en DNS. Suponiendo que el controlador de dominio (DC) se vaya a reinstalar y a volver a promover, se crea un nuevo objeto de configuración NTDS con un nuevo GUID y un registro cname coincidente en DNS. Es mejor que los DC que existan no usen el registro cname antiguo.Es conveniente eliminar el nombre de host y otros registros DNS. Si se supera el tiempo de concesión que queda en la dirección del Protocolo de configuración dinámica de host (DHCP) asignada al servidor sin conexión, otro cliente puede obtener la dirección IP del DC problemático.
- En la consola DNS, use el complemento DNS de MMC para eliminar el registro A en DNS. El registro A también se conoce como registro Host. Para eliminar el registro A, haga clic con el botón secundario del mouse (ratón) en él y, después, haga clic en Eliminar. Elimine también el registro cname en el contenedor _msdcs. Para ello, expanda el contenedor , haga clic con el botón secundario del mouse en cname y, después, haga clic en Eliminar.Importante Si es un servidor DNS, quite la referencia a este DC en la ficha Servidores de nombres. Para ello, en la consola DNS, haga clic en el nombre de dominio en Zonas de búsqueda directa y quite este servidor de la ficha Servidores de nombres.Nota Si tiene zonas de búsqueda inversa, quite también el servidor de esas zonas.
- Si el equipo eliminado es el último controlador de dominio de un dominio secundario y éste también se eliminó, use ADSIEdit para eliminar el objeto trustDomain del objeto secundario. Para ello, siga estos pasos:
- Haga clic en Inicio y en Ejecutar, escriba adsiedit.msc y haga clic en Aceptar.
- Expanda el contenedor Domain NC.
- Expanda DC=Su dominio, DC=COM, PRI, LOCAL, NET.
- Expanda CN=System.
- Haga clic con el botón secundario del mouse en el objeto Dominio de confianza y, a continuación, haga clic en Eliminar.
- Use Sitios y servicios de Active Directory para quitar el controlador de dominio. Para ello, siga estos pasos:
- Inicie Sitios y servicios de Active Directory.
- Expanda Sitios.
- Expanda el sitio del servidor. El sitio predeterminado es Nombre-predeterminado-primer-sitio.
- Expanda Servidor.
- Haga clic con el botón secundario del mouse en el controlador de dominio y, a continuación, haga clic en Eliminar.
- Cuando utiliza la replicación de DFS en Windows Server 2008 y versiones posteriores, la versión actual de Ntdsutil.exe no limpia el objeto de replicación de DFS. En este caso, puede utilizar Adsiedit.msc para corregir los objetos de replicación de DFS para los Servicios de dominio de Active Directory (AD DS) de forma manual. Para realizar esta tarea, siga estos pasos:
- Inicie la sesión en un controlador de dominio como administrador de dominio en el dominio afectado.
- Inicie Adsiedit.msc.
- Conecte con el contexto de nomenclatura predeterminado.
- Busque el siguiente contenedor de topología de replicación de DFS:
CN=Topology,CN=Domain System Volume,CN=DFSR-Globalsettings,CN=System,DC=Your Domain,DC=Domain Suffix
- Elimine el objeto CN de msDFSR-Member que tiene el nombre de equipo antiguo.
Tras la finalización de este proceso, los errores de conectivadad con las carpetas, el problema de DNS entre servidores y la replicación de las GPOs del dominio vovieron al correcto funcionamiento.
Espero que os haya resultado de utilidad.
Un saludo.
J.Fabello.
Problemas al Migrar Roles entre DCs ID 13508 (II) -
[…] con un nuevo post dedicado a problemas al migrar roles entre DC´s, en este caso dedicado a la ID de Evento […]