9.Problemas comunes. Resolucion.


Clientes que tardan mucho en validarse.
Suele deberse a una mala implementacion del DNS, bien en los servidores o en las estaciones de trabajo. Los DNS adecuados en un dominio son aquellos en los que el AD registra sus records necesarios para el correcto fucionamiento del mismo (SRV records). No es bueno poner a ningun DNS (el de un ISP) por ejemplo que no tenga estos SRV. Para DNS de zona integradas con AD esto debe ser así, para el resto de IP, usaremos reenviadores.

Politicas que no aplican ( o se aplican las politicas locales al no llegarles las de dominio)
Suele deberse tambien al mismo problema que en el punto anterior, por ello es critico el DNS y las zonas AD integradas, puede deberse a que el DC contra el que se loga el usuario no ha hecho el registro del SRV correcto. Si no se tratase de problemas con el DNS,con gporesult podemos ver un resumen de las politicas que le caen ( o bien en la gpmc.msc nos vamos al gpresult grafico). Una vez hecho esto si queremos forzarlas con gpupdate /force, y tambien es conveniente reiniciar el equipo para asegurarnos, shutdown -r.
Si seguimos teniendo problemas podemos provocar la reevaluacion de politicas cuando hay cambios en las GPO desde los DC ( incluyendo cambios en Sysvol) con 
secdit /refreshpolicy user_policy /enforce, pudiendo sustituir user_policy por machine_policy si la politica que no llega es de computer.


Los DCs dejan de replicar o replican mal entre diferentes Sites para el mismo dominio.
Revisar con portqry el port 135 de TCP y que existe la resolucion DNS, así como que la sincronizacion horaria es correcta y revisar el EventViewer para averiguar algo mas si es necesario.
Revisar los Puertos bloqueados en Firewall del RPC : In a domain that consists of Windows Server® 2003–based domain controllers, the default dynamic port range is 1025 through 5000. Windows Server 2008 R2 and Windows Server 2008, in compliance with Internet Assigned Numbers Authority (IANA) recommendations, increased the dynamic port range for connections. The new default start port is 49152, and the new default end port is 65535. Therefore, you must increase the remote procedure call (RPC) port range in your firewalls. If you have a mixed domain environment that includes a Windows Server 2008 R2 and Windows Server 2008 server and Windows Server 2003, allow traffic through ports 1025 through 5000 and 49152 through 65535.


Los usuarios no inician sesion
Se necesita un DC que sea GC ¿? Desde 2003 no es estrictamente necesario, y más todavia si solo se tiene 1 dominio, pero entonces necesitas para ese DC que tenga habilitada la "Universal Membership Caching Group" y que haga logon a traves de dicho DC. Revisar el servicio de tiempo en el cliente y con la variable set observar contra que DC se logea.

Cae un DC que contiene un FSMO
No puedes levantar el DC, pero si puedes forzar el traspaso del rol (Seize). Eliminar tras ello toda referencia a dicho DC en el metadata cleanup desde ntdsutil  (Ver entrada exclusiva de este procedimiento). Forzar replica de la nueva situacion con repadmin y verificar.

Comentarios

Publicar un comentario

Entradas populares de este blog

5. Test con NetDiag a nivel de Red y conexiones.

Netdiag nos ofrece una batería de test de red, en la que testeamos la habilidad de los servidores para operar como por ejemplo el NIC binding ( el orden en el que Windows carga los NICs y cual pone como primario) así como las capacidades Lan/Wan. ¿Qué chequea NETDIAG? Básicamente estas 6 cosas.  Conexión entre servidores Tuneles VPN en la Wan Problemas DNS NIC Binding IPSEC Winsock   LDAP entre DCs. Netdiag /v > c:\netdiag.txt   # con ello lanzamos los test anteriormente descritos El comando arriba indicado lanza todos los test completos , pero se pueden lanzar por separado con  netdiag /test: X    #donde X seria cualquiera de los siguientes Ndis - Netcard queries Test IpConfig - IP config Test Member - Domain membership Test NetBTTransports - NetBT transports Test Autonet - Autonet address Test IpLoopBk - IP loopback ping Test DefGw - Default gateway Test NbtNm - NetBT name Test WINS - WIN...
Leer más

10. Eliminacion de metadatos en Directorio Activo.

En un DC del AD y con el administrador del dominio, ejecutamos los siguientes comandos: ntdsutil metadata cleanup connections connect to DCx                #debemos conectar a otro DC distinto al que queremos eliminar    select operation target    list domains    select domain x                  #dominio del miembro que estoy quitando    list sites    select site x                        #site del miembro que estoy quitando    list servers in site    select server x                    #donde server es el dc que nos ha caido y queremos borrar todo rastro    quit  metada...
Leer más

7.NTP Servers en dominios Microsoft. Chequeos con w32tm y Net Time.

Equipos cliente En la variable de registro siguiente tenemos el setting para el Time Service de nuestros clientes HKLM\SYSTEM\CurrentControlSet\Services\W32Time\Parameters . El valor Type, debe ser en cualquier máquina de nuestro dominio NT5DS y significa que nuestra maquina (sea cliente o servidor miembro, o incluso DC) está cogiendo el tiempo de nuestra jerarquía de dominio, entregado por el PDC Emulator. Si eso no ocurre, haremos lo siguiente, que es básicamente, resetear el Servicio de tiempo en esa máquina que tiene mal dicho servicio. Esto mismo que vamos a hacer es válido en otras situaciones, como por ejemplo, ante un fallo de kerberos el cual se apoya en él (event id 4 o 5) . net stop w32time w32tm /unregister w32tm /register net start w32time Con ello debe haber puesto el valor a NT5DS. Nota: Si encontramos NTPServer en este valor, puede ser porque aún no lo ha cambiado y antes de estar en el dominio lo tenía puesto. Con los comandos de arriba...
Leer más