Академический Документы
Профессиональный Документы
Культура Документы
Directory 2003
Integrantes:
Criales salinas Paolo
Mendoza Vasquez Eduardo
Ormeo Huaman Luigui
Rengifo Almeyda Cristhian
Hernandez Cordero Asly
Vasquez Ccanto Joselyn
Nombre
del
sitio
central:
Central
Controlador de dominio en el sitio central: DC01 (con todos los roles FSMO)
Nombre
del
sitio
remoto:
Sucursal
Una vez que tenemos definidos nuestros sitios, comenzaremos a aplicar el siguiente plan de
accin, de manera secuencial, para ir resolviendo los diferentes problemas que se nos
presentan, hasta poder lograr que el ambiente pueda converger y por ende poder llevar a
cabo la replicacin de las particiones de Active Directory de manera exitosa.
1. Topologa
Aqu
la
herramienta
de
En el servidor de la sucursal, ejecutar:
diagnstico
bsica
es
repadmin.exe.
c:\>repadmin.exe showreps
En el reporte podemos ver cules son los partners de replicacin definidos para el server de
la
Sucursal
Como la replicacin es inbound (el server inicia la replicacin y se trae los cambios del
partner) nos interesa sobre todo la seccin del reporte que se llama INBOUND NEIGHBORS
En el caso de Sucursal, el reporte muestra:
==== INBOUND NEIGHBORS ======================================
DC=ejemplo,DC=lab
Central\DC01
via
RPC
DC
object
GUID:
de11d929-55f9-4dc6-b702-xxxxxxxxxxx
Last attempt @ 2010-03-03 01:21:50 failed, result -2146893022 (0x80090322):
Cant retrieve message string -2146893022 (0x80090322), error 1815.
200
consecutive
failure(s).
Last success @ (never).
CN=Configuration,DC=ejemplo,DC=lab
Central\DC01
via
RPC
DC
object
GUID:
de11d929-55f9-4dc6-b702-xxxxxxxxxxx
Last attempt @ 2010-03-03 01:21:50 failed, result -2146893022 (0x80090322):
Cant retrieve message string -2146893022 (0x80090322), error 1815.
99
consecutive
failure(s).
Last success @ 2009-11-25 06:23:05.
CN=Schema,CN=Configuration,
DC=ejemplo,DC=lab
Central\DC01
via
RPC
DC
object
GUID:
de11d929-55f9-4dc6-b702-xxxxxxxxxxx
Last attempt @ 2010-03-03 01:21:50 failed, result -2146893022 (0x80090322):
Cant retrieve message string -2146893022 (0x80090322), error 1815.
99
consecutive
failure(s).
Last success @ 2009-11-25 06:23:07.
DC=DomainDnsZones,
DC=ejemplo,DC=lab
Central\DC01
via
RPC
DC
object
GUID:
de11d929-55f9-4dc6-b702-xxxxxxxxxxx
Last
attempt
@
2010-03-03
01:21:50
failed,
result
1256
(0x4e8):
Cant
retrieve
message
string
1256
(0x4e8),
error
1815.
99
consecutive
failure(s).
Last success @ 2009-11-25 06:23:08.
DC=ForestDnsZones,
DC=ejemplo,DC=lab
Central\DC01
via
RPC
DC
object
GUID:
de11d929-55f9-4dc6-b702-xxxxxxxxxxx
Last
attempt
@
2010-03-03
01:21:50
failed, result
1256
(0x4e8):
Cant
retrieve
message
string
1256
(0x4e8),
error
1815.
99
consecutive
failure(s).
Last success @ 2009-11-25 06:23:09.
Este reporte nos muestra el partner para cada uno de los contenedores del AD, y por los
general (a menos que tengamos alguna configuracin particularmente macabra) el partner de
replicacin
maneja
todos
los
contenedores.
En nuestro caso, tenemos el partner que es: Central\DC01.
El servidor es el que se encuentra en la central, que es consistente con nuestro modelo de
replicacin
en
estrella.
Si en algn otro sitio remoto (otra sucursal) vemos que los inbound partner no es el servidor
de Central, entonces tendramos que revisar la definicin de ese site y sus enlaces en el AD
Sites
and
Services
y
forzar
la
regeneracin
de
la
topologa.
En este caso podemos ver que la replicacin inbound ha fallado desde el 25 de nov. del 2009
en ambos servidores.
Last success @ 2009-11-25 06:23:09.
El
error
1256
se
traduce
como:
Error
Code
1256
System error code 1256 means "The remote system is not available. For information about
network troubleshooting see Windows Help." This error code may also display as
"ERROR_HOST_DOWN" or as the value 0x4E8. System Error Codes: Code 1200 to Code
1299
2. Resolucin de nombres
Tenemos que verificar
y
el
Para ello podemos
Del reporte de
c:\>Nslookup
c:\>Nslookup de11d929-55f9-4dc6-b702-xxxxxxxxxxx._msdcs.ejemplo.lab
dc01.ejemplo.lab
El resultado del primer query debe ser la IP actual del server, el resultado del segundo query
debe ser el alias y la IP del server:
C:\>
Nslookup
de11d929-55f9-4dc6-b702-xxxxxxxxxxx._msdcs.ejemplo.lab
Server:
DNSServer.ejemplo.lab
Address:
192.168.0.1
Name:
dc01.ejemplo.lab
Address:
192.168.0.1
Aliases: de11d929-55f9-4dc6-b702-xxxxxxxxxxx._msdcs.ejemplo.lab
Si alguna de estas pruebas retorna la direccin incorrecta, entonces tenemos que verificar la
configuracin del DNS primario en el server remoto y corregir el problema.
Posiblemente sea una buena prctica configurar el DNS primario del servidor remoto a dc01
mientras ponemos a funcionar la replicacin.
Tengamos en cuenta que si cambias la configuracin del DNS en el servidor remoto, lo
recomendable es reiniciar el server o, al menos, ejecutar los comandos:
c:\>Ipconfig
c:\>Net
c:\>Net start netlogon
stop
/registerdns
netlogon
3. Puertos RPC
Cuando estemos seguros que la resolucin esta OK, podemos pasar a probar los puertos
RPC, la mejor herramienta para esto esRPCdump.exe
En el server remoto, ejecuta el comando
c:\>rpcdump /s <partner_dc> /v /i > endpoints.txt
luego
c:\>notepad endpoints.txt
ProtSeq:ncacn_ip_tcp
Endpoint:1025
NetOpt:
Annotation:MS
NT
Directory
IsListening:YES
StringBinding:ncacn_ip_tcp:xx.xx.xx.xx[1025]
UUID:e3514235-4b06-11d1-ab04-00c04fc2dcd2
ComTimeOutValue:RPC_C_BINDING_DEFAULT_TIMEOUT
VersMajor 4 VersMinor 0
DRS
Interface
Si el valor de IsListening es YES, entonces los puertos 135 y 1025 estn escuchando.
Si el valor de IsListening es NO, tienes un problema de puertos cerrados, bien sea por un FW
intermedio,
o
por
el
FW
de
alguno
de
los
dos
servidores.
Si el archivo no tiene ningn endpoint reportado, entonces el puerto que probablemente est
bloqueado es el 135.
4. Seguridad
Lo primero que hay que hacer es verificar los grupos que tienen derecho a contactar el
servidor por la red (User Rights: Access this computer from the network)
La mejor manera de ver estos derechos es ejecutando
C:\>Rsop.msc
Everyone
Authenticated Users
Si este derecho no est otorgado a estos grupos, tendramos que verificar las polticas
aplicadas al dominio (Default Domain Policy) o a los controladores de dominio (Default
Domain Controller Policy).
Verifiquemos que los relojes este sincronizados entre el servidor de la agencia y el PDC del
dominio.
Si los relojes no estn sincronizados y sabes cul es el PDC, puedes usar el comando:
C:\>net time \\pdc /set /y
Si no recordamos el nombre del PDC, tenemos que averiguarlo ? y podemos hacerlo con la
herramienta netdom, entre otras, como sigue:
C:\>netdom query fsmo
stop
kdc
purge
/flushdns
Los siguientes pasos son para el reset del secure channel entre los DCs. Este paso es el que
probablemente arregle el problema entre DC01 y DC10. Esto debemos hacerlo en el servidor
que est fallando en traerse la replicacin, en este caso, en los servidores de la sucursal. El
servicio del KDC debe seguir detenido.
Ejecuta el comando
c:\>netdom resetpwd /server:PDCe /userd:ejemplo\Administrator /password:*
En este comando, el server PDCe es el partner de replicacin (que tiene el KDC funcionando,
y que no necesariamente es el KDC del dominio)
En este caso, el procedimiento lo vas a realizar en dc10 y el comando es:
c:\>netdom resetpwd /server:dc01 /userd:ejemplo\Administrator /password:*
Los
pasos
siguientes
solo
deben
hacerse
en
el
servidor
DC01
Abrir AD Sites and Services, seleccionar el servidor dc01, y luego NTDS Settings.
Eliminar las conexiones inbound del controlador de dominio con problemas (DC10) y luego
ejecuta
c:\>repadmin /kcc
el
siguiente
artculo:
KB 308111
En resumen, todas las particiones menos la particin de dominio replicaron esta maana a las
5:20.
Lingering Objects
La particin de dominio fall en su intento de replicacin ya que existen lingering objects. Este,
as como tambin problemas de objetos en estado de tombstone, son problemas que de
seguro encontraremos a lo largo del proceso de troubleshooting de la replicacin de Active
Directory. Dichos problemas iremos solucionndolos a medida que avanzamos sobre el plan
aqu enunciado. Continuando con el problema de lingering objects, lo validamos y
solucionamos de la siguiente manera:
Cuando investigamos el log de Directory Services, encontramos errores de lingering objects
que estn bloqueando la replicacin de la particin de dominio.
El evento es el 1988:
Active Directory Replication encountered the existence of objects in the following partition that
have been deleted from the local domain controllers (DCs) Active Directory database. Not all direct
or transitive replication partners replicated in the deletion before the tombstone lifetime number of
days passed. Objects that have been deleted and garbage collected from an Active Directory
partition but still exist in the writable partitions of other DCs in the same domain, or read-only
partitions of global catalog servers in other domains in the forest are known as lingering
objects.
This event is being logged because the source DC contains a lingering object which does not exist
on the local DCs Active Directory database. This replication attempt has been blocked.
The best solution to this problem is to identify and remove all lingering objects in the forest. Source
DC
(Transport-specific
network
address):
de11d929-55f9-4dc6-b702b63e380f6d91._msdcs.ejemplo.lab
Object:
CN=CD075003-Xerox
WorkCentre PE16ADEL:f2343d56-3bc3-44fb-8b3c-52ea1ecc038d,CN=Deleted
Objects,DC=ejemplo,DC=lab Object GUID: f2343d56-3bc3-44fb-8b3c-52ea1ecc038d
User Action: Remove Lingering Objects: The action plan to recover from this error can be found
athttp://support.microsoft.com/id=314282
If both the source and destination DCs are Windows Server 2003 DCs, then install the support tools
included on the installation CD. To see which objects would be deleted without actually performing
the deletion run repadmin /removelingeringobjects <Source DC> <Destination DC DSA GUID>
<NC> /ADVISORY_MODE. The event logs on the source DC will enumerate all lingering objects.
To remove lingering objects
from a source domain controller run
repadmin
/removelingeringobjects <Source DC> <Destination DC DSA GUID> <NC>. If either source or
destination DC is a Windows 2000 Server DC, then more information on how to remove lingering
objects on the source DC can be found at http://support.microsoft.com/?id=314282 or from your
Microsoft support personnel. If you need Active Directory replication to function immediately at all
costs and dont have time to remove lingering objects, enable loose replication consistency by
unsetting
the
following
registry
key:
Registry
Key:
HKLM\System\CurrentControlSet\Services\NTDS\Parameters\Strict
Replication
Consistency.
Replication errors between DCs sharing a common partition can prevent user and computer
accounts, trust relationships, their passwords, security groups, security group memberships and
other Active Directory configuration data to vary between DCs, affecting the ability to log on, find
objects of interest and perform other critical operations. These inconsistencies are resolved once
replication errors are resolved. DCs that fail to inbound replicate deleted objects within tombstone
lifetime number of days will remain inconsistent until lingering objects are manually removed by an
administrator from each local DC. Lingering objects may be prevented by ensuring that all domain
controllers in the forest are running Active Directory, are connected by a spanning tree connection
topology and perform inbound replication before Tombstone Live number of days pass.
Este error indica que el objeto CD075003-Xerox WorkCentre fue borrado en el servidor de la
Sucursal, pero todava existe en el AD del dc01.
Lo que tenemos que hacer es lo siguiente:
En el servidor dc01 ejecuta el comando:
C:\repadmin /removelingeringobjects dc01.ejemplo.lab 19d40098-6fba-44ae-a8a8-4dd35916b89c
DC=ejemplo,DC=lab /ADVISORY_MODE
Este comando va a generar la lista de lingering objects (desde el punto de vista de dc10) que
existen en dc01
Si todo est bien, y conseguimos el objeto, entonces ejecutamos:
C:\repadmin /removelingeringobjects dc01.ejemplo.lab 19d40098-6fba-44ae-a8a8-4dd35916b89c
DC=ejemplo,DC=lab
Una vez realizado la remocin del objeto en estado de lingering, la replicacin de todas las
particiones de Active Directory se realizaron de manera satisfactoria.
Una vez que tenemos la replicacin funcionando entre los dos sites, el central y la sucursal,
deberamos ir tomando las siguientes sucursales, e ir aplicando este plan de accin, repito
que es posible que nos encontremos con problemas adicionales, como ser algn servidor que
se encuentre en estado de tombstone (adjuntamos un artculo sobre cmo tratar este
inconveniente) o algn problema de conectividad, en tales casos deberemos proceder a
resolverlos y continuar con nuestro plan de accin.
Mquinas con direccin de DNS incorrecta. Por ejemplo por no estar configuradas
para usar *solamente* el o los servidores DNS que resuelven el Dominio. Nunca,
nunca, nunca los del ISP o el Router
Los scripts me parecen una solucin complicada, salvo que lo tuvieran que ejecutar muy
seguido, lo cual implicara otro problema. Ver las causas posibles al principio de la nota, y
qu hay que solucionar
El comando NLTEST estaba en versiones anteriores del sistema operativo, pero en
Windows Server 2012 ya no est
Powershell, sinceramente no he podido probarlo pero aparentemente se solucionara con
Test-ComputerSecureChannel
-Repair
[Agregado] Probado y tambin funciona sin reiniciar igual que NETDOM
Y todo esto, porque encontr que con NETDOM lo solucionaba muy fcilmente, y muy
importante no haba que reinciar
Una acotacin a tener en cuenta, Microsoft tiene una mala costumbre a veces los
modificadores de los comandos, cambian o directamente desaparecen. Lo que estoy
mostrando es sobre un Windows Server 2012 R2. Si tiene otra versin, y la sintaxis le da
error, revise la ayuda con NETDOM /?
Me puse con las mquinas de mi laboratorio VMware de pruebas, y recuper dos
mquinas virtuales con Snapshots lo ms alejados posible en el tiempo para hacer que
se produzca el problema. Fueron un Controlador de Dominio (DC1) y un servidor miembro
(SRV1)
Cre un usuario nuevo en el Dominio, para asegurarme que no se usaran cached
credentials, y trat de inciar sesin en SRV1. Ac est el resultado
/s:<NombreDC>
/UserD:<DOMINIO\Administrador>
Y ahora lo interesante. Sin reiniciar el servidor pude inciar sesin con el usuario nuevo
creado al principio, ya est solucionado el problema, sin cambio de SID y muy
rpidamente