Discussion:
problemas validación al parar un controlador dominio
(demasiado antiguo para responder)
Desiderio Ondo.
2010-03-23 11:43:01 UTC
Permalink
Hola, Marc:

por lo que comentas en tu post, parece que tienes un pequeño problema
por no tener correctamente configurados los servidores como GC, amén
de no tener correctamente configurados las estaciones de trabajo clientes
para hacer un correcto logon.

No obstante, para una mejor evaluación, te ruego me especifiques un poco
mejor qué significa la definición "las DNS están configuradas cada uno
con la suya", ya que si corresponde con lo que interpreto (que son 2 DC's
totalmente independientes) entonces es un "error" perfectamente lógico,
y la solución viene a ser un poquito más compleja de lo esperado. En todo
caso, te ruego eches un vistazo a éstas URL's para tratar de paliarlo:

· Crear o mover un GC en MS w2k server (válido para MS w2k3):
http://support.microsoft.com/kb/313994/es

· Ver y traspaso de roles FSMO:
http://support.microsoft.com/kb/324801/es

· Ver y traspaso de roles FSMO con la herramienta NTDSUTIL:
http://support.microsoft.com/kb/255504/es

· Configurar clientes DNS por TCP:
http://support.microsoft.com/kb/305553/es
--
·
Espero haberte servido de ayuda
========================
Desiderio Ondo | Ing. en Informática.
Certificado ITIL | Certificado MCSE
http://pantuflo.gsyc.es/~desitech
Hola,
Este es el problema que tengo, tengo 2 DC un 2003 y un 2008 configurados
como DC+DNS, las dns estan configuradas cada uno con la suya y en la
secundaria la del otro.
Aparentemente todo esta bien, pasas un dcdiag, netdiag y no te da errores,
en visor de suceso todo bien. Pero al parar el 2008 el que tiene 2003 es
incapaz de validar usuarios. Cuando intentas validarte te da un mensaje de
que no encuentra controlador de dominio.
No se pudo conectar con Active Directory. Servicios de Certificate Server
repetirá la operación cuando el procesamiento requiera el acceso a Active
Directory.
Windows no puede obtener acceso al archivo gpt.ini para GPO
CN={4A466762-5A34-4947-800E-5E3B64A2E0F2},CN=Policies,CN=System,DC=rouracevasa,DC=com.
El archivo debe estar presente en la ubicación
<\\midominio.com\SysVol\midominio.com\Policies\{4A466762-5A34-4947-800E-5E3B64A2E0F2}\gpt.ini>.
(El nombre de red especificado ya no está disponible. ). Se ha anulado el
proceso de Directiva de grupo.
Desiderio Ondo.
2010-03-23 11:45:02 UTC
Permalink
Hola, Marc:

Lo siento, había olvidado incluír el siguiente enlace para recomendarte que
tambien revisaras si el proceso para los DNS servers que habías empleado
se ajusta a lo indicado oficialmente:

· Instalar y configurar correctamente un DNS server:
http://support.microsoft.com/kb/814591/es
--
·
Espero haberte servido de ayuda
========================
Desiderio Ondo | Ing. en Informática.
Certificado ITIL | Certificado MCSE
http://pantuflo.gsyc.es/~desitech
Hola,
Este es el problema que tengo, tengo 2 DC un 2003 y un 2008 configurados
como DC+DNS, las dns estan configuradas cada uno con la suya y en la
secundaria la del otro.
Aparentemente todo esta bien, pasas un dcdiag, netdiag y no te da errores,
en visor de suceso todo bien. Pero al parar el 2008 el que tiene 2003 es
incapaz de validar usuarios. Cuando intentas validarte te da un mensaje de
que no encuentra controlador de dominio.
No se pudo conectar con Active Directory. Servicios de Certificate Server
repetirá la operación cuando el procesamiento requiera el acceso a Active
Directory.
Windows no puede obtener acceso al archivo gpt.ini para GPO
CN={4A466762-5A34-4947-800E-5E3B64A2E0F2},CN=Policies,CN=System,DC=rouracevasa,DC=com.
El archivo debe estar presente en la ubicación
<\\midominio.com\SysVol\midominio.com\Policies\{4A466762-5A34-4947-800E-5E3B64A2E0F2}\gpt.ini>.
(El nombre de red especificado ya no está disponible. ). Se ha anulado el
proceso de Directiva de grupo.
Desiderio Ondo.
2010-03-29 07:14:01 UTC
Permalink
Hola, Marc:

Mi mayor deseo es aportar un granito de arena para tratar de solventar
tu problema, al igual que considero tratarán todos los presentes en éste
foro.
Admiro el proceso que has seguido, de tratar de solventar el problema
documentándote previamente (ya que es justo lo que siempre se suele
recomendar), y lamento muchísimo que todavía no se haya resuelto tu
consulta. Por supuesto que investigaré un poco más, y confío en que si
yo no puedo aportar otro punto de vista, alguno de los colegas del foro
puedan darte otro punto de vista que arroje un rayo de luz...
--
·
Espero haberte servido de ayuda
========================
Desiderio Ondo | Ing. en Informática.
Certificado ITIL | Certificado MCSE
http://pantuflo.gsyc.es/~desitech
Hola Desiderio, esta claro que en 2 horas no me he podido leer esto, te
comento, tambien soy mcse y antes de preguntar algo en el foro, me he mirado
toda la documentación que he podido, me he leido todos los documentos que me
mandabas y algunos más. Pero viendo que no podía solucionar el problema es
entonces cuando me decido a preguntarlo.
Sigo probando, si se te ocurre algun cosa más, te agradezco que la compartas.
un saludo
Lamento mucho discrepar, pero me temo que en sólo 2 horas te dé
tiempo materail para leerte TODO el contenido de los enlaces que te
había facilitado previamente, ya que precisamente el tema de los roles
FSMO (especialmente por NTDSUTIL, que paso a paso es bastante
lento) conlleva un poquito más de tiempo...
Desde mi punto de vista, el fallo es el que te indicaba previamente: los
dos servidores deben de disponer de una única consola DNS replicada
en ambos servidores, convertir ambas máquinas en GC y para el caso
que nos ocupa, debes traspasar los roles FSMO (en éste caso mediante
la herramienta NTDSUTIL) al servidor que tengas activo. Por último, debes
configurar las estaciones de trabajo cliente para que apunten al DC activo
(que por supuesto, deberá contar con los objetos correspondientes de
cuentas AD ya incluídos en su DSA.msc).
Por ello indicaba que era un proceso un poco largo de explicar, y en cada
uno de los enlaces te indicaba los pasos exactos para realizar todo esto.
Te recomiendo en todo caso, primero confirmes que TODAS las estaciones
de trabajo clientes están registradas en el DSA del servidor activo (amén de
contar con el resto de objetos AD registrados en la DDBB) y en la
configuracion
TCP del mismo, asegúrate que apuntan (como DNS primario) al servidor
activo actualmente. Por útltimo, accede ala consola DNS del servidor activo y
confirma que todos los objetos de cuenta de máquina cliente están bien
registrados, y borra la caché de registros, para verificar que acceden en
realidad a éste servidor. Para los pasos exactos de cómo realizar cada una
de las acciones indicadas, te recomiendo sigas los pasos indicados en las
http://support.microsoft.com/kb/255504/es
http://support.microsoft.com/kb/323417/es
http://support.microsoft.com/kb/305553/es
--
·
Espero haberte servido de ayuda
========================
Desiderio Ondo | Ing. en Informática.
Certificado ITIL | Certificado MCSE
http://pantuflo.gsyc.es/~desitech
Hola,
Quería comentar un detalle, el servidor que apago tiene los 5 roles.
servidor 2) el servidor 2 a la inversa.
Los dos son GC.
Gracias por los apuntes, me los he mirado pero sigo con el problema, se te
ocurre algo más?
un saludo
Post by Desiderio Ondo.
Lo siento, había olvidado incluír el siguiente enlace para recomendarte que
tambien revisaras si el proceso para los DNS servers que habías empleado
http://support.microsoft.com/kb/814591/es
--
·
Espero haberte servido de ayuda
========================
Desiderio Ondo | Ing. en Informática.
Certificado ITIL | Certificado MCSE
http://pantuflo.gsyc.es/~desitech
Hola,
Este es el problema que tengo, tengo 2 DC un 2003 y un 2008 configurados
como DC+DNS, las dns estan configuradas cada uno con la suya y en la
secundaria la del otro.
Aparentemente todo esta bien, pasas un dcdiag, netdiag y no te da errores,
en visor de suceso todo bien. Pero al parar el 2008 el que tiene 2003 es
incapaz de validar usuarios. Cuando intentas validarte te da un mensaje de
que no encuentra controlador de dominio.
No se pudo conectar con Active Directory. Servicios de Certificate Server
repetirá la operación cuando el procesamiento requiera el acceso a Active
Directory.
Windows no puede obtener acceso al archivo gpt.ini para GPO
CN={4A466762-5A34-4947-800E-5E3B64A2E0F2},CN=Policies,CN=System,DC=rouracevasa,DC=com.
El archivo debe estar presente en la ubicación
<\\midominio.com\SysVol\midominio.com\Policies\{4A466762-5A34-4947-800E-5E3B64A2E0F2}\gpt.ini>.
(El nombre de red especificado ya no está disponible. ). Se ha anulado el
proceso de Directiva de grupo.
Loading...