Re: [bofhers] AD no me deja crear ni usuarios ni maquinas
- From: Albert Canelles <profion@xxxxxxxxx>
- To: bofhers@xxxxxxxxxxxxx
- Date: Thu, 2 Jan 2014 09:39:35 +0100
Buenas a todos y feliz año, parece que la cosa empieza bien (el año digo),
no se que leches ha pasado o que hemos trasteado entre el jefe y yo, pero
ahora el rid funciona!!!.
Estoy haciendo un backup del AD por si las moscas ya que no me fio y he
activado el servidor secundario de AD para que replique, aparte le tenere
una copia completa al servidor otra vez hoy.....toda precaucion es poca.
Gracias a todos por la ayuda y consejos.
El 17 de diciembre de 2013, 19:45, Nildur <nildur@xxxxxxxxx> escribió:
> Si no va el RID master, no podras dar ni siquiera de alta en dominio el
> nuevo servidor. Luego ademas en principio necesitas el RID master para
> hacer promo a un servidor.
>
> Te sugiero que sigas las instrucciones del enlace que puse anteriormente y
> que hagas backup de AD si vas a modificar algo.
>
>
> 2013/12/17 Albert Canelles <profion@xxxxxxxxx>
>
>> No no va, osea el rid manager sigue din asignar sids, lo que estoy ahora
>> es instalando un server de 0 en otra maquina e intentare meterna de dc2
>> El 17/12/2013 16:58, "Nildur" <nildur@xxxxxxxxx> escribió:
>>
>> Como comenté en un correo anterior, y aprovechando que ya te funciona el
>>> DC primario: Dcpromo en el secundario, lo quitas de DC y lo vuelves a poner.
>>>
>>>
>>> 2013/12/17 Albert Canelles <profion@xxxxxxxxx>
>>>
>>>> Sonaron las campanas antes de tiempo, tampoco deja crear usuarios en el
>>>> servidor secundario y por lo que veo el secundario como estubo mas de 60
>>>> dias sin sincronizar se ha quedado huerfano, tocara indagar como hacer que
>>>> lo adopten al pobre.
>>>>
>>>>
>>>> El 16 de diciembre de 2013, 17:58, Albert Canelles
>>>> <profion@xxxxxxxxx>escribió:
>>>>
>>>> Eduardo parece que por ahora Santa Tecla esta conmigo, encendi el
>>>>> servidor secundario y milagro! ha replicado (despues de 2 horas eso si) el
>>>>> active directori, despues he pasado un test para ver si tenia el fallo del
>>>>> principal en el RID y este salen los test todos OK incluido el del RID.
>>>>>
>>>>> Ahora he de descubrir como hacer un BACKUP del AD completo sin usar el
>>>>> ntbackup en Windows Server 2003 que no se porque si ejecuto aplicaciones
>>>>> no
>>>>> se lanzan.......(fijo que esta algo mal , pero mientras saque el backup
>>>>> sere feliz)
>>>>>
>>>>>
>>>>> El 16 de diciembre de 2013, 11:48, Albert Canelles
>>>>> <profion@xxxxxxxxx>escribió:
>>>>>
>>>>> Version: Microsoft Windows Server 2003 R2
>>>>>> Y nivel funcional es el mas alto
>>>>>>
>>>>>>
>>>>>> El 16 de diciembre de 2013, 11:32, Nildur <nildur@xxxxxxxxx>escribió:
>>>>>>
>>>>>> Que versión de Windows Server y nivel de AD es? Por cierto, parece
>>>>>>> que ese error es típico después de restaurar una copia de un DC. Aunque
>>>>>>> también puede ser que por algún otro motivo los objetos del AD estén
>>>>>>> cogiendo SIDs no validos.
>>>>>>>
>>>>>>> En este articulo sobre ese error para Win 2000-2003 también explica
>>>>>>> como mirar si lo están cogiendo mal:
>>>>>>> http://support.microsoft.com/kb/839879
>>>>>>>
>>>>>>>
>>>>>>> 2013/12/16 Albert Canelles <profion@xxxxxxxxx>
>>>>>>>
>>>>>>>> Esto es lo que da al pasar el Dcdiag.exe /TEST:RidManager /v
>>>>>>>>
>>>>>>>> Starting test: RidManager
>>>>>>>> * Available RID Pool for the Domain is 4105 to 1073741823
>>>>>>>> * servidor.CRIC.local is the RID Master
>>>>>>>> * DsBind with RID Master was successful
>>>>>>>> * rIDAllocationPool is 2105 to 2604
>>>>>>>> The DS has corrupt data: rIDPreviousAllocationPool value is not
>>>>>>>> valid
>>>>>>>> * rIDPreviousAllocationPool is 0 to 0
>>>>>>>> * rIDNextRID: 0
>>>>>>>> No rids allocated -- please check eventlog.
>>>>>>>> ......................... SERVIDOR failed test RidManager
>>>>>>>>
>>>>>>>>
>>>>>>>> El de disponibilidad de pool da que tiene MUUUUUUUCHOS libres para
>>>>>>>> asignar, apenas vamos por el 4005
>>>>>>>>
>>>>>>>>
>>>>>>>> El 16 de diciembre de 2013, 11:15, Nildur <nildur@xxxxxxxxx>escribió:
>>>>>>>>
>>>>>>>> Si tenéis otro DC pero no lo encendéis desde hace semanas, vas a
>>>>>>>>> tener muchísimas papeletas para que ya no se sincronice con el AD.
>>>>>>>>> Normalmente la solución a esto es hacerle depromote y luego promote a
>>>>>>>>> DC de
>>>>>>>>> nuevo, pero en tu caso parece que chungo.
>>>>>>>>>
>>>>>>>>> Necesitarías recolectar información sobre errores mediante
>>>>>>>>> dcdiag(especialmente Dcdiag.exe /TEST:RidManager /v),
>>>>>>>>> repadmin/replsum, visor de eventos...
>>>>>>>>>
>>>>>>>>> A veces deja de dar nuevos SID porque se ha agotado el pool de
>>>>>>>>> SIDs del AD. No se como de grande sois, no creo que sea tu caso pero
>>>>>>>>> por si
>>>>>>>>> acaso... ejecuta: Dcdiag.exe /TEST:RidManager /v | find /i
>>>>>>>>> "Available RID Pool for the Domain"
>>>>>>>>>
>>>>>>>>>
>>>>>>>>>
>>>>>>>>>
>>>>>>>>> 2013/12/16 Albert Canelles <profion@xxxxxxxxx>
>>>>>>>>>
>>>>>>>>>> Por cierto, el "segundo" servidor que era de pruebas SI esta dado
>>>>>>>>>> de alta en el dominio
>>>>>>>>>>
>>>>>>>>>>
>>>>>>>>>> El 16 de diciembre de 2013, 10:52, Albert Canelles <
>>>>>>>>>> profion@xxxxxxxxx> escribió:
>>>>>>>>>>
>>>>>>>>>> Bien Kyle, la cosa esta asi, esto son los recursos de los que
>>>>>>>>>>> dispongo:
>>>>>>>>>>>
>>>>>>>>>>> 1- Servidor actual con el FSMO RID que no da SID's por lo que no
>>>>>>>>>>> se pueden crear usuarios ni maquinas en dominio, en este server es
>>>>>>>>>>> donde
>>>>>>>>>>> estan los archivos de los usuarios.
>>>>>>>>>>> 2- Segundo servidor apagado hace mucho tiempo que supuestamente
>>>>>>>>>>> era para pruebas y que supuestamente replicaba el servidor principal
>>>>>>>>>>> (desconozco porque se dejo de usar, imagino que por falta de tiempo
>>>>>>>>>>> para
>>>>>>>>>>> mantenerlo, y lo de supuestamente es porque no he podido
>>>>>>>>>>> comprobarlo en
>>>>>>>>>>> persona)
>>>>>>>>>>> 3- No dispongo de ninguna copia anterior a la petada del RID.
>>>>>>>>>>>
>>>>>>>>>>> Objetivos que plantea mi superior, no perder las actuales
>>>>>>>>>>> sesiones de usuario ni tener que volver a sacarlos/meterlos en
>>>>>>>>>>> dominio, ya
>>>>>>>>>>> que si por cojones eso pasase realmente nos daria igual tener que
>>>>>>>>>>> formatear
>>>>>>>>>>> nosotros.
>>>>>>>>>>>
>>>>>>>>>>>
>>>>>>>>>>> El 16 de diciembre de 2013, 10:39, Kyle von Bofhlander <
>>>>>>>>>>> kylebofh@xxxxxxxxx> escribió:
>>>>>>>>>>>
>>>>>>>>>>> Una cosa Albert...
>>>>>>>>>>>>
>>>>>>>>>>>> Dime que hacéis copia de seguridad completa del DC... Y que
>>>>>>>>>>>> tenéis guardada la copia anterior a la gran petada. Es que si no
>>>>>>>>>>>> está hecha
>>>>>>>>>>>> esa copia de seguridad, y no hay otro DC donde replicar dudo mucho
>>>>>>>>>>>> que
>>>>>>>>>>>> puedas recuperar nada (y esta es mi opinión no experta, pero me
>>>>>>>>>>>> huele a eso)
>>>>>>>>>>>>
>>>>>>>>>>>> En caso de que eso no exista o la réplica a otro DC no
>>>>>>>>>>>> funcione, mira como exportar la base de datos de usuarios,
>>>>>>>>>>>> políticas de
>>>>>>>>>>>> dominio y equipos para cuando crees un segundo dominio puedas
>>>>>>>>>>>> migrarlo todo
>>>>>>>>>>>> con facilidad.
>>>>>>>>>>>>
>>>>>>>>>>>> Al final creo que esa es la solución más fácil y rápida, coger
>>>>>>>>>>>> un servidor con más espacio, crear un segundo dominio y migrar
>>>>>>>>>>>> absolutamente todo.
>>>>>>>>>>>>
>>>>>>>>>>>> Sé que es jodido si tenéis certificados digitales (de los
>>>>>>>>>>>> pagados, de verisign y compañía) emitidos para nombres del dominio
>>>>>>>>>>>> actual o
>>>>>>>>>>>> si usáis login mediante certificado electrónico vinculado a
>>>>>>>>>>>> usuario@dominio.
>>>>>>>>>>>>
>>>>>>>>>>>> Un saludo.
>>>>>>>>>>>>
>>>>>>>>>>>> PD: si me equivoco con el tema de las posibilidades de
>>>>>>>>>>>> recuperación que algún crack de Microsoft (no como yo que soy un
>>>>>>>>>>>> híbrido de
>>>>>>>>>>>> Msoft, Linux y redes) me quite de mi idea.
>>>>>>>>>>>>
>>>>>>>>>>>> El 16/12/13 10:11, Albert Canelles ha escrit:
>>>>>>>>>>>>
>>>>>>>>>>>> La cosa es que por lo que me han contado y mostrado hay un
>>>>>>>>>>>>> segundo server parado desde tiempos inmemoriales que
>>>>>>>>>>>>> originalmente era el
>>>>>>>>>>>>> replica del principal, osea que ese quizas si esta en el dominio
>>>>>>>>>>>>> actualmente.
>>>>>>>>>>>>>
>>>>>>>>>>>>> Y la cosa es eso Kyle, no he hecho nunca algo tan delicado de
>>>>>>>>>>>>> eso que se busque ayuda.
>>>>>>>>>>>>>
>>>>>>>>>>>>> Eduardo, por un casual cual es el procedimiento para "calzar"
>>>>>>>>>>>>> el segundo servidor (teniendo en cuenta que dicho server esta en
>>>>>>>>>>>>> dominio
>>>>>>>>>>>>> pero parado con lo que la replica del AD que tiene esta muy
>>>>>>>>>>>>> desfasada y lo
>>>>>>>>>>>>> que si seria mortal seria perder los usuarios y sus carpetas)
>>>>>>>>>>>>>
>>>>>>>>>>>>
>>>>>>>>>>>>
>>>>>>>>>>>
>>>>>>>>>>
>>>>>>>>>
>>>>>>>>
>>>>>>>
>>>>>>
>>>>>
>>>>
>>>
>
Other related posts:
