LAB2018 – Novedades de la instalación y desinstalación de los Servicios de dominio de Active Directory–Problemas Conocidos- {Parte 3}

www.radians.com.arHoy vamos a seguir conversando sobre las funciones de Active Directory y algunos conceptos básicos. La primer y segunda nota la pueden encontrar en: LAB2018 – Novedades de la instalación y desinstalación de los Servicios de dominio de Active Directory {Parte 1} y LAB2018 – Novedades de la instalación y desinstalación de los Servicios de dominio de Active Directory {Parte 2}.

Hoy veremos como solucionar y/o diagnosticar algunos de los problemas mas comunes o lo que llamamos “Problemas Conocidos”.

Saludos, Roberto Di Lello

— o —

Si el Firewall de Windows bloquea el acceso de WMI al maestro de esquema cuando ejecuta de forma remota adprep / forestprep, se registra el siguiente error en el registro de adprep en% systemroot% \ system32 \ debug \ adprep:

Adprep encountered a Win32 error. Error code: 0x6ba Error message: The RPC server is unavailable.

En este caso, podemos evitar el error ejecutando adprep / forestprep directamente en el esquema maestro, o podemos ejecutar uno de los siguientes comandos para permitir el tráfico WMI a través de Firewall de Windows.

Para Windows Server 2008 o posterior:

netsh advfirewall firewall set rule group="windows management instrumentation (wmi)" new enable=yes

Si todavia tenemos un Windows Server 2003, lo mejor es migrarlo YA! sino pueden probar con el siguiente comando:

netsh firewall set service RemoteAdmin enable

Después de que adprep finalice, podemos ejecutar cualquiera de los siguientes comandos para bloquear el tráfico de WMI nuevamente:

netsh advfirewall firewall set rule group="windows management instrumentation (wmi)" new enable=no

netsh firewall set service remoteadmin disable

  • Podemos escribir Ctrl + C para cancelar el cmdlet Install-ADDSForest. La cancelación detiene la instalación y se revierten los cambios que se hicieron en el estado del servidor. Pero después de emitir el comando de cancelación, el control no se devuelve a Windows PowerShell y el cmdlet puede suspenderse indefinidamente.

  • La instalación de un controlador de dominio adicional con credenciales de tarjeta inteligente falla si el servidor de destino no está unido al dominio antes de la instalación.

    El mensaje de error devuelto en este caso es:

    No se puede conectar con el nombre del controlador de dominio de origen del controlador de dominio de origen de replicación. (Excepción: falla de inicio de sesión: nombre de usuario desconocido o contraseña incorrecta)

    Si se une al servidor de destino en el dominio y luego realiza la instalación con una tarjeta inteligente, la instalación se realiza correctamente.

  • El módulo ADDSDeployment no se ejecuta en procesos de 32 bits. Si está automatizando la implementación y la configuración de Windows Server 2016 o 2012 o 2012 r2, utilizando una secuencia de comandos que incluye un cmdlet ADDSDeployment y cualquier otro cmdlet que no admita procesos nativos de 64 bits, la secuencia de comandos puede fallar con un error que indica que no se puede encontrar el cmdlet ADDSDeployment.

    En este caso, debe ejecutar el cmdlet ADDSDeployment por separado del cmdlet que no admite procesos nativos de 64 bits.

  • Hay un nuevo sistema de archivos en Windows Server 2012 y 2016 llamado Resilient File System. No debemos almacenar la base de datos de Active Directory, archivos de registro o SYSVOL en un volumen de datos formateado con el Sistema de archivos flexible (ReFS).

  • En Server Manager, los servidores que ejecutan AD DS u otras funciones de servidor en una instalación de Server Core y se han actualizado a Windows Server 2016, la función de servidor puede aparecer en rojo, aunque los eventos y el estado se recopilen como se esperaba. Los servidores que ejecutan una instalación Server Core de una versión preliminar de Windows Server 2016 también pueden verse afectados.

La instalación de los Servicios de dominio de Active Directory se bloquea si un error impide la replicación crítica

Si la instalación de AD DS encuentra un error durante la fase de replicación crítica, la instalación puede suspenderse indefinidamente. Por ejemplo, si los errores de red impiden completar la replicación crítica, la instalación no continuará. Si estamos instalando usando el Administrador del servidor, podemos ver que la página de progreso de la instalación permanezca abierta, pero no se informa ningún error en la pantalla, y el progreso puede no cambiar durante aproximadamente 15 minutos. Si usamos Windows PowerShell, el progreso que se muestra en la ventana de Windows PowerShell no cambiará durante más de 15 minutos.

Si experimentamos este problema, los primero que tenemos que hacer es ir a ver el archivo dcpromo.log en la carpeta% systemroot% \ debug en el servidor de destino. El archivo de registro típicamente indicará fallas repetidas para replicar. Algunas causas conocidas para este problema son:

  • Los problemas de red evitan la replicación crítica entre el servidor de destino que se promueve y el controlador de dominio de origen de replicación.

    Por ejemplo, dcpromo.log muestra: 15/02/2018 10:16:46 [INFO] EVENTLOG (Error): NTDS Replication / DS RPC Client : 1963 Internal event: The following local directory service received an exception from a remote procedure call (RPC) connection. Extensive RPC information was requested. This is intermediate information and might not contain a possible cause. Process ID: 500 Reported error information: Error value: Could not find the domain controller for this domain. (1908) directory service: <domain>.com Extensive error information: Error value: A security package specific error occurred. 1825 directory service: <DC Name>

  • Debido a que el proceso de instalación vuelve a intentar la replicación crítica indefinidamente, la instalación del controlador de dominio continúa si se resuelven los problemas de red subyacentes. Debemos ver si tenemos un problema de red utilizando herramientas como ipconfig, nslookup y netmon. Debemos asegurar de que exista conectividad entre el controlador de dominio que está promocionando y el socio de replicación seleccionado durante la instalación de AD DS. También es recomendable verificar que la resolución del nombre esté funcionando correctamente.

    Los requisitos de instalación de AD DS para conectividad de red y resolución de nombre se validan durante la comprobación de requisitos previos antes de que comience la instalación. Sin embargo, pueden surgir algunas condiciones de error en el momento posterior a la validación de los requisitos previos y antes de que la instalación finalice, por ejemplo, si el asociado de replicación deja de estar disponible durante la instalación.

  • Durante la instalación del controlador de dominio de réplica, la cuenta de administrador local del servidor de destino se especifica para las credenciales de instalación y la contraseña de la cuenta de administrador local coincide con la contraseña de una cuenta de administrador de dominio. En este caso, puede completar el asistente de instalación e iniciar la instalación antes de encontrar el error "Acceso denegado".

    Por ejemplo, dcpromo.log muestra: 16/02/2018 11:36:51 [INFO] Creating the NTDS Settings object for this Active Directory Domain Controller on the remote AD DC DC2.contoso.com… 03/30/2012 11:36:51 [INFO] EVENTLOG (Error): NTDS Replication / DS RPC Client : 1963Internal event: The following local directory service received an exception from a remote procedure call (RPC) connection. Extensive RPC information was requested. This is intermediate information and might not contain a possible cause. Process ID: 508 Reported error information: Error value: Access is denied. (5) directory service: DC2.contoso.com

Si el error se debe a que especifica una cuenta y contraseña de administrador local, para recuperar necesita reinstalar el sistema operativo, realizar la limpieza de metadatos de la cuenta para el controlador de dominio que no pudo completar la instalación y luego volver a intentar la instalación de AD DS usando Credenciales de administrador de dominio. Reiniciar el servidor no corregirá esta condición de error porque el servidor indicará que AD DS está instalado aunque la instalación no finalizó correctamente.

Adicionalmente a estos errores, podemos encontrar muchos y muy diversos. Un workflow muy recomendable es el siguiente:

www.radians.com.ar

Les recomiendo visitar el sitio de Microsoft.com sobre el tema Troubleshooting Domain Controller Deployment (https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/deploy/troubleshooting-domain-controller-deployment).

Espero les sea de interes y utilidad. Saludos. Roberto DL

Roberto Di Lello

Acerca del autor: Roberto Di Lello

Hola, soy Roberto Di Lello trabajo como Consultor Senior en Infraestructura, especializado en Tecnologias Microsoft con mas de 25 años en la industria. He sido galardonado como MS-MVP en Active Directory-Enterprise Mobility por 10 años, y actualmente soy MVP Windows Insider, ademas de poseer otras certificaciones de Microsoft. He trabajado en distintos projectos que involucran Migraciones, Implementaciones, y soporte de Active Directory y Microsoft Exchange, y en los ultimos años me he desempeñado armando equipos de trabajo para diferentes paises y areas de sistemas, he planificado a distintas migraciones a datacenters (ambiente cloud y mixtos). He tenido la oportunidad de participar como miembro del staff de Microsoft en eventos internacionales como ser TechEd NorteAmerica y MS Ignite (NA) al ser Trainer Certificado por Microsoft (MCT).

You May Also Like

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.