Hoy vamos a ver un tema muy critico, sobre un error al despromover un Domain Controller de nuestra infraestructura. Tenemos un dominio similar al que muestra el siguiente grafico; en donde tenemos 3 Domains Controllers que están funcionando y uno que ya no existe hace tiempo; lo que queremos hacer es despromover el SRVDC02 de nuestra arquitectura.
Antes de empezar, deberíamos verificar un par de temas como para evitar inconvenientes. Primero verificamos la replicación si esta todo funcionando bien, para ello utilizamos el comando repadmin /showrepl
Aquí vemos que esta todo correcto, por lo menos en lo que se refiere a la replicación. Verificamos los roles FSMO, y aparentemente están todos bien asignados.
Quitamos dentro de la consola Active Directory Sites and Services la opción de Global Catalog sobre nuestro servidor:
Esta es una tarea sencilla, simplemente deberíamos ejecutar el comando DCPromo en el DC y seguir el Wizard, pero bueno, nada es tan fácil y nos da el siguiente error:
Entonces que es lo que produce este error? Verificamos los eventos asociados y encontramos lo siguiente:
El detalle de estos eventos es el siguiente:
Event 2022
The operations master roles held by this directory server could not transfer to the following remote directory server.
Remote directory server: \\Srvdc10.tpssa.com.ar
This is preventing removal of this directory server.
User Action
Investigate why the remote directory server might be unable to accept the operations master roles, or manually transfer all the roles that are held by this directory server to the remote directory server. Then, try to remove this directory server again.
Additional Data
Error value: 5005 The directory service is missing mandatory configuration information, and is unable to determine the ownership of floating single-master operation roles.
Extended error value: 0
Internal ID: 52498735
Event 2091
Ownership of the following FSMO role is set to a server which is deleted or does not exist.
Operations which require contacting a FSMO operation master will fail until this condition is corrected.
FSMO Role: CN=Infrastructure,DC=DomainDnsZones,DC=tpssa,DC=com,DC=ar
FSMO Server DN: CN=NTDS Settings\0ADEL:d31a66c9-db25-498e-9f1d-bc265f8ca2ac,CN=SRVAVAS\0ADEL:72082ed0-5508-43c6-af19-004d1fc0a17f,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=tpssa,DC=com,DC=ar
User Action:
1. Determine which server should hold the role in question.
2. Configuration view may be out of date. If the server in question has been promoted recently, verify that the Configuration partition has replicated from the new server recently. If the server in question has been demoted recently and the role transferred, verify that this server has replicated the partition (containing the latest role ownership) lately.
3. Determine whether the role is set properly on the FSMO role holder server. If the role is not set, utilize NTDSUTIL.EXE to transfer or seize the role. This may be done using the steps provided in KB articles 255504 and 324801 on http://support.microsoft.com.
4. Verify that replication of the FSMO partition between the FSMO role holder server and this server is occurring successfully.
The following operations may be impacted:
Schema: You will no longer be able to modify the schema for this forest.
Domain Naming: You will no longer be able to add or remove domains from this forest.
PDC: You will no longer be able to perform primary domain controller operations, such as Group Policy updates and password resets for non-Active Directory Domain Services accounts.
RID: You will not be able to allocation new security identifiers for new user accounts, computer accounts or security groups.
Infrastructure: Cross-domain name references, such as universal group memberships, will not be updated properly if their target object is moved or renamed.
Si leemos bien el evento podemos ver que tenemos una inconsistencia en la siguiente linea:
FSMO Role: CN=Infrastructure,DC=DomainDnsZones,DC=tpssa,DC=com,DC=ar
FSMO Server DN: CN=NTDS Settings\0ADEL:d31a66c9-db25-498e-9f1d-bc265f8ca2ac,CN=SRVAVAS\0ADEL:72082ed0-5508-43c6-af19-004d1fc0a17f,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=tpssa,DC=com,DC=ar
Aquí vemos que apunta a un servidor que no existe hace tiempo en la organización y he aquí la causa de nuestros problemas. El servidor se llamaba SRVAVAS y vemos que esa cuenta de maquina ya no existe mas en nuestro Active Directory.
Para solucionar este inconveniente, vamos a tener que modificar a mano nuestro Schema por medio de la consola ADSIedit. Primero vamos a verificar los datos que deberíamos tener configurados, para ello nos conectamos al container CN=Infrastructure, DC=dominio, DC=local
Una vez conectados, vemos las propiedades y buscamos el atributo fSMORoleOwner y podemos ver el valor correcto que corresponde al nombre del servidor que tiene el rol, y que podíamos ver cuando verificamos los roles FSMO: CN=NTDS Settings,CN=SRVDC10,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=tpssa,DC=com,DC=ar
Por este valor vamos a reemplazar los datos del equipo que ya no existe. Para solucionar esto debeos cambiar los valores del fSMORoleOwner de DomainDNSZones y ForestDNSZones.
Entonces, nos conectamos en la consola ADSIEdit al siguiente Connection Point: DC=DomainDNSZones, DC=dominio, DC=local
Ahora, si vamos al container de Infrastructure y vemos las propiedades del objeto fSMORoleOwner vemos que apunta a la cuenta de equipo que esta borrada:
CN=NTDS Settings\0ADEL:d31a66c9-db25-498e-9f1d-bc265f8ca2ac,CN=SRVAVAS\0ADEL:72082ed0-5508-43c6-af19-004d1fc0a17f,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=tpssa,DC=com,DC=ar
Hacemos clic en Edit y copiamos toda la ruta que habíamos verificado anteriormente, que apunta al SRVDC10 que es el Domain Controller que esta en funcionamiento: CN=NTDS Settings,CN=SRVDC10,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=tpssa,DC=com,DC=ar
Como dijimos antes debeos hacer lo mismo en el siguiente Connection Point: DC=ForestDNSZones, DC=dominio, DC=local.
Nuevamente vamos al container de Infrastructure y vemos las propiedades del objeto fSMORoleOwner vemos que apunta a la cuenta de equipo que esta borrada:
CN=NTDS Settings\0ADEL:d31a66c9-db25-498e-9f1d-bc265f8ca2ac,CN=SRVAVAS\0ADEL:72082ed0-5508-43c6-af19-004d1fc0a17f,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=tpssa,DC=com,DC=ar
Hacemos clic en Edit y copiamos toda la ruta que habíamos verificado anteriormente, que apunta al SRVDC10 que es el domain controller que esta en funcionamiento: CN=NTDS Settings,CN=SRVDC10,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=tpssa,DC=com,DC=ar
Algo que debemos tener en cuenta es que nos puede dar un error al querer aplicar esta nueva configuración, el error es el siguiente:
Este error se debe a que tarda un tiempo en permitirnos realizar el cambio. Simplemente debemos reintentar un par de veces y listo. Sino, si queremos que sea un poco mas rápido, lo que podemos hacer es poner el valor en Not Set y luego poner los datos del servidor que corresponde.
Una vez que hicimos esto, si podemos despromover nuestro servidor por medio del comando DCPromo, recordemos que NO DEBEMOS seleccionar Delete the domain because this server is the las domain controller in the domain, sino vamos a tener serios problemas.
Continua el proceso de despromoción, removerá los DNS, el servicio de Active Directory Domain Service, la SAM, LSA, etc. y una vez que termine nos mostrara la siguiente ventana y nos pedirá reiniciar el equipo.
Espero que les sea de utilidad, que les aclare el panorama sobre este error, ya que he visto muchas consultas en los foros oficiales de Microsoft sobre este tema.
Saludos, Roberto Di Lello.
Oye Roberto excelente tu guia me fue de mucha utilidad.
Saludos desde Venezuela!
Muchas gracias Marko Guarapo por el comentario! Siempre ayuda recibir mensajes de apoyo.
Aprovecho la oportunidad para agradecerte por participar del blog y ayudar a que siga creciendo; y te pido que nos ayudes a difundirlo con tus amigos y contactos! Te cuento que hay mucho material en el. Te invito a que veas los labs, videos, tutoriales, notas. Si querés buscar un tema o necesitas ayuda, tenés la solapa AYUDA donde explico un poco como hacerlo, sino también tenés el buscador de google.
Espero te sean de utilidad. Saludos!
Wuuuauu Roberto que buena información, me ayudaste en mucho ya que como lo indicas en muchos foros de microsoft se toca el tema pero sin solucion.
Saludos de Colombia
Leonardo Arevalo, muchas gracias por participar y tomarte el tiempo para comentar. Tus comentarios son muy alentadores y me ayudan a seguir adelante con este trabajo que vengo desarrollando hace mas de 5 años. Muchisimas gracias! Aprovecho la oportunidad para agradecerte por participar del blog y ayudar a que siga creciendo; y te pido que nos ayudes a difundirlo con tus amigos y contactos! Te cuento que hay mucho material en el. Te invito a que veas los labs, videos, tutoriales, notas. Si querés buscar un tema o necesitas ayuda, tenés la solapa AYUDA donde explico un poco como hacerlo, sino también tenés el buscador de google. Saludos!
Gracias por tu ayuda
Tengo el siguiente problema tengo un controlador de dominio (tengo varios el DC1 principal esta bien) que se daño hace dos meses y esta dando errores de replicacion.
A este quiero despromover o quitarle de cual vista me puede servir este procedimiento.
Gracias por tu ayuda
Eddie, muchas gracias por comentar y participar. Disculpa mi demora en contestar pero estoy poniendome al dia con todos los mails y consultas via Web que tengo pendientes.
Respecto a tu pregunta, lo que deberias hacer es ver porque no esta replicando y tratar de solucionar el tema. Si quieres quitarlo si o si, lo recomendable es que instales otro dc veas que replique bien, y luego pases todos los roles y servicios desde el dc que quieres quitar al dc nuevo. Y luego si despromover el viejo y luego apagarlo definitivamente. Te recomiendo que revices bien que roles y servicios presta este equipo asi no tenes problemas a futuro cuando hagas el cambio.
Aprovecho la oportunidad para agradecerte por participar del blog y ayudar a que siga creciendo! Te pido que difundas la direccion del blog y my Twitter @RaDiansBlog asi podemos llegar a mas gente. Te cuento que hay mucho material en el. Te invito a que veas los labs, videos, tutoriales, notas. Si querés buscar un tema o necesitas ayuda, tenés la solapa AYUDA donde explico un poco como hacerlo, sino también tenés el buscador de google.
Saludos y gracias!