Hoy vamos a ver un tema muy critico, sobre un error al despromover un Domain Controller de nuestra infraestructura. Tenemos un dominio similar al que muestra el siguiente grafico; en donde tenemos 3 Domains Controllers que están funcionando y uno que ya no existe hace tiempo; lo que queremos hacer es despromover el SRVDC02 de nuestra arquitectura.

www.radians.com.ar © 2011

Antes de empezar, deberíamos verificar un par de temas como para evitar inconvenientes. Primero verificamos la replicación si esta todo funcionando bien, para ello utilizamos el comando repadmin /showrepl

www.radians.com.ar © 2011

Aquí vemos que esta todo correcto, por lo menos en lo que se refiere a la replicación. Verificamos los roles FSMO, y aparentemente están todos bien asignados.

www.radians.com.ar © 2011www.radians.com.ar © 2011www.radians.com.ar © 2011

Quitamos dentro de la consola Active Directory Sites and Services la opción de Global Catalog sobre nuestro servidor:

www.radians.com.ar © 2011

Esta es una tarea sencilla, simplemente deberíamos ejecutar el comando DCPromo en el DC y seguir el Wizard, pero bueno, nada es tan fácil y nos da el siguiente error:

www.radians.com.ar © 2011

Entonces que es lo que produce este error? Verificamos los eventos asociados y encontramos lo siguiente:

www.radians.com.ar © 2011www.radians.com.ar © 2011

El detalle de estos eventos es el siguiente:

Event 2022
The operations master roles held by this directory server could not transfer to the following remote directory server.
Remote directory server:  \\Srvdc10.tpssa.com.ar 
This is preventing removal of this directory server.
User Action
Investigate why the remote directory server might be unable to accept the operations master roles, or manually transfer all the roles that are held by this directory server to the remote directory server. Then, try to remove this directory server again.
Additional Data
Error value: 5005 The directory service is missing mandatory configuration information, and is unable to determine the ownership of floating single-master operation roles.
Extended error value: 0
Internal ID: 52498735

Event 2091
Ownership of the following FSMO role is set to a server which is deleted or does not exist.
 
Operations which require contacting a FSMO operation master will fail until this condition is corrected.
 
FSMO Role: CN=Infrastructure,DC=DomainDnsZones,DC=tpssa,DC=com,DC=ar
FSMO Server DN: CN=NTDS Settings\0ADEL:d31a66c9-db25-498e-9f1d-bc265f8ca2ac,CN=SRVAVAS\0ADEL:72082ed0-5508-43c6-af19-004d1fc0a17f,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=tpssa,DC=com,DC=ar
 
User Action:  
1. Determine which server should hold the role in question.
2. Configuration view may be out of date. If the server in question has been promoted recently, verify that the Configuration partition has replicated from the new server recently.  If the server in question has been demoted recently and the role transferred, verify that this server has replicated the partition (containing the latest role ownership) lately.
3. Determine whether the role is set properly on the FSMO role holder server. If the role is not set, utilize NTDSUTIL.EXE to transfer or seize the role. This may be done using the steps provided in KB articles 255504 and 324801 on http://support.microsoft.com.
4. Verify that replication of the FSMO partition between the FSMO role holder server and this server is occurring successfully.
 
The following operations may be impacted:
Schema: You will no longer be able to modify the schema for this forest.
Domain Naming: You will no longer be able to add or remove domains from this forest.
PDC: You will no longer be able to perform primary domain controller operations, such as Group Policy updates and password resets for non-Active Directory Domain Services accounts.
RID: You will not be able to allocation new security identifiers for new user accounts, computer accounts or security groups.
Infrastructure: Cross-domain name references, such as universal group memberships, will not be updated properly if their target object is moved or renamed.

Si leemos bien el evento podemos ver que tenemos una inconsistencia en la siguiente linea:

FSMO Role: CN=Infrastructure,DC=DomainDnsZones,DC=tpssa,DC=com,DC=ar
FSMO Server DN: CN=NTDS Settings\0ADEL:d31a66c9-db25-498e-9f1d-bc265f8ca2ac,CN=SRVAVAS\0ADEL:72082ed0-5508-43c6-af19-004d1fc0a17f,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=tpssa,DC=com,DC=ar

Aquí vemos que apunta a un servidor que no existe hace tiempo en la organización y he aquí la causa de nuestros problemas. El servidor se llamaba SRVAVAS y vemos que esa cuenta de maquina ya no existe mas en nuestro Active Directory.

Para solucionar este inconveniente, vamos a tener que modificar a mano nuestro Schema por medio de la consola ADSIedit. Primero vamos a verificar los datos que deberíamos tener configurados, para ello nos conectamos al container CN=Infrastructure, DC=dominio, DC=local

www.radians.com.ar © 2011

Una vez conectados, vemos las propiedades y buscamos el atributo fSMORoleOwner y podemos ver el valor correcto que corresponde al nombre del servidor que tiene el rol, y que podíamos ver cuando verificamos los roles FSMO: CN=NTDS Settings,CN=SRVDC10,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=tpssa,DC=com,DC=ar

www.radians.com.ar © 2011

Por este valor vamos a reemplazar los datos del equipo que ya no existe. Para solucionar esto debeos cambiar los valores del fSMORoleOwner de DomainDNSZones y ForestDNSZones.

Entonces, nos conectamos en la consola ADSIEdit al siguiente Connection Point: DC=DomainDNSZones, DC=dominio, DC=local

www.radians.com.ar © 2011

Ahora, si vamos al container de Infrastructure y vemos las propiedades del objeto fSMORoleOwner vemos que apunta a la cuenta de equipo que esta borrada:

CN=NTDS Settings\0ADEL:d31a66c9-db25-498e-9f1d-bc265f8ca2ac,CN=SRVAVAS\0ADEL:72082ed0-5508-43c6-af19-004d1fc0a17f,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=tpssa,DC=com,DC=ar

www.radians.com.ar © 2011

Hacemos clic en Edit y copiamos toda la ruta que habíamos verificado anteriormente, que apunta al SRVDC10 que es el Domain Controller que esta en funcionamiento: CN=NTDS Settings,CN=SRVDC10,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=tpssa,DC=com,DC=ar

Como dijimos antes debeos hacer lo mismo en el siguiente Connection Point: DC=ForestDNSZones, DC=dominio, DC=local.

www.radians.com.ar © 2011

Nuevamente vamos al container de Infrastructure y vemos las propiedades del objeto fSMORoleOwner vemos que apunta a la cuenta de equipo que esta borrada:

CN=NTDS Settings\0ADEL:d31a66c9-db25-498e-9f1d-bc265f8ca2ac,CN=SRVAVAS\0ADEL:72082ed0-5508-43c6-af19-004d1fc0a17f,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=tpssa,DC=com,DC=ar

www.radians.com.ar © 2011

Hacemos clic en Edit y copiamos toda la ruta que habíamos verificado anteriormente, que apunta al SRVDC10 que es el domain controller que esta en funcionamiento: CN=NTDS Settings,CN=SRVDC10,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=tpssa,DC=com,DC=ar

Algo que debemos tener en cuenta es que nos puede dar un error al querer aplicar esta nueva configuración, el error es el siguiente:

www.radians.com.ar © 2011

Este error se debe a que tarda un tiempo en permitirnos realizar el cambio. Simplemente debemos reintentar un par de veces y listo. Sino, si queremos que sea un poco mas rápido, lo que podemos hacer es poner el valor en Not Set y luego poner los datos del servidor que corresponde.

Una vez que hicimos esto, si podemos despromover nuestro servidor por medio del comando DCPromo, recordemos que NO DEBEMOS seleccionar Delete the domain because this server is the las domain controller in the domain, sino vamos a tener serios problemas.

www.radians.com.ar © 2011

Continua el proceso de despromoción, removerá los DNS, el servicio de Active Directory Domain Service, la SAM, LSA, etc. y una vez que termine nos mostrara la siguiente ventana y nos pedirá reiniciar el equipo.

www.radians.com.ar © 2011

Espero que les sea de utilidad, que les aclare el panorama sobre este error, ya que he visto muchas consultas en los foros oficiales de Microsoft sobre este tema.

Saludos, Roberto Di Lello.

Avatar photo

By Roberto Di Lello

Hola, soy Roberto Di Lello trabajo como Consultor Senior en Infraestructura, especializado en Tecnologias Microsoft con mas de 25 años en la industria. He sido galardonado como MS-MVP en Active Directory-Enterprise Mobility por 10 años, y actualmente soy MVP Windows Insider, ademas de poseer otras certificaciones de Microsoft. He trabajado en distintos projectos que involucran Migraciones, Implementaciones, y soporte de Active Directory y Microsoft Exchange, y en los ultimos años me he desempeñado armando equipos de trabajo para diferentes paises y areas de sistemas, he planificado a distintas migraciones a datacenters (ambiente cloud y mixtos). He tenido la oportunidad de participar como miembro del staff de Microsoft en eventos internacionales como ser TechEd NorteAmerica y MS Ignite (NA) al ser Trainer Certificado por Microsoft (MCT).

6 thoughts on “Problemas con nuestro Active Directory, no se puede despromover un Domain Controller por el error “The directory service is missing mandatory configuration information, and is unable to determine the ownership of floating single-master operation roles” y Event Id 2091 & 2022 {Troubleshooting}”
  1. Oye Roberto excelente tu guia me fue de mucha utilidad.

    Saludos desde Venezuela!

  2. Muchas gracias Marko Guarapo por el comentario! Siempre ayuda recibir mensajes de apoyo.

    Aprovecho la oportunidad para agradecerte por participar del blog y ayudar a que siga creciendo; y te pido que nos ayudes a difundirlo con tus amigos y contactos! Te cuento que hay mucho material en el. Te invito a que veas los labs, videos, tutoriales, notas. Si querés buscar un tema o necesitas ayuda, tenés la solapa AYUDA donde explico un poco como hacerlo, sino también tenés el buscador de google.

    Espero te sean de utilidad. Saludos!

  3. Wuuuauu Roberto que buena información, me ayudaste en mucho ya que como lo indicas en muchos foros de microsoft se toca el tema pero sin solucion.

    Saludos de Colombia

  4. Leonardo Arevalo, muchas gracias por participar y tomarte el tiempo para comentar. Tus comentarios son muy alentadores y me ayudan a seguir adelante con este trabajo que vengo desarrollando hace mas de 5 años. Muchisimas gracias! Aprovecho la oportunidad para agradecerte por participar del blog y ayudar a que siga creciendo; y te pido que nos ayudes a difundirlo con tus amigos y contactos! Te cuento que hay mucho material en el. Te invito a que veas los labs, videos, tutoriales, notas. Si querés buscar un tema o necesitas ayuda, tenés la solapa AYUDA donde explico un poco como hacerlo, sino también tenés el buscador de google. Saludos!

  5. Gracias por tu ayuda

    Tengo el siguiente problema tengo un controlador de dominio (tengo varios el DC1 principal esta bien) que se daño hace dos meses y esta dando errores de replicacion.
    A este quiero despromover o quitarle de cual vista me puede servir este procedimiento.

    Gracias por tu ayuda

  6. Eddie, muchas gracias por comentar y participar. Disculpa mi demora en contestar pero estoy poniendome al dia con todos los mails y consultas via Web que tengo pendientes.

    Respecto a tu pregunta, lo que deberias hacer es ver porque no esta replicando y tratar de solucionar el tema. Si quieres quitarlo si o si, lo recomendable es que instales otro dc veas que replique bien, y luego pases todos los roles y servicios desde el dc que quieres quitar al dc nuevo. Y luego si despromover el viejo y luego apagarlo definitivamente. Te recomiendo que revices bien que roles y servicios presta este equipo asi no tenes problemas a futuro cuando hagas el cambio.

    Aprovecho la oportunidad para agradecerte por participar del blog y ayudar a que siga creciendo! Te pido que difundas la direccion del blog y my Twitter @RaDiansBlog asi podemos llegar a mas gente. Te cuento que hay mucho material en el. Te invito a que veas los labs, videos, tutoriales, notas. Si querés buscar un tema o necesitas ayuda, tenés la solapa AYUDA donde explico un poco como hacerlo, sino también tenés el buscador de google.

    Saludos y gracias!

Comments are closed.