Directivas no se actualizan - w2003 r2

27/09/2008 - 04:46 por ALEX_2005 | Informe spam
Hola amigos del foro:

Tengo el siguiente escenario

antes

Servidor w2000 sp4 -controlador de dominio principal
tres controladores de dominio secundario w2003 R2 en cada sucursal
directivas de grupo para cada Unidad Organizativa

ahora

transferí los 5 roles a un servidor w2003 R2 y lo hice catalogo global
tres controladores de dominio secundarios w2003 R2 en cada sucursal
directivas de grupo para cada Unidad Organizativa
todavía mantengo "vivo" el server 2000 por si las fly´s

ahora resulta que las directivas de seguridad no se replican a las
estaciones de trabajo en cada sucursal pero localmente si se pueden modificar.

¿qué me pudo faltar?, ¿degradar el servidor 2000?
¿qué puedo revisar para diagnósticar correctamente?

Se agradece desde ya cualquier ayuda

Saludos

Alex Martínez

Preguntas similare

Leer las respuestas

#1 Marc [MVP Windows]
27/09/2008 - 17:57 | Informe spam
Configuración DNS de los 2003? Errores en el Visor de sucesos? Errores en el "dcdiag" y/o "netdiag"?


Saludos,

Marc
MVP Windows Server System - Directory Services
MCSA/MCSE Windows Server 2003
MCTS Exchange 2007 - Configuring
Citrix CCA PS 4.0
Oracle9i Certified Associate (OCA)

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no rights. You assume all risk for your use.

"ALEX_2005" escribió en el mensaje news:
Hola amigos del foro:

Tengo el siguiente escenario

antes

Servidor w2000 sp4 -controlador de dominio principal
tres controladores de dominio secundario w2003 R2 en cada sucursal
directivas de grupo para cada Unidad Organizativa

ahora

transferí los 5 roles a un servidor w2003 R2 y lo hice catalogo global
tres controladores de dominio secundarios w2003 R2 en cada sucursal
directivas de grupo para cada Unidad Organizativa
todavía mantengo "vivo" el server 2000 por si las fly´s

ahora resulta que las directivas de seguridad no se replican a las
estaciones de trabajo en cada sucursal pero localmente si se pueden modificar.

¿qué me pudo faltar?, ¿degradar el servidor 2000?
¿qué puedo revisar para diagnósticar correctamente?

Se agradece desde ya cualquier ayuda

Saludos

Alex Martínez






Respuesta Responder a este mensaje
#2 ALEX_2005
13/10/2008 - 23:15 | Informe spam
Perdón por el retraso en la respuesta pero he estado muy saturado de
actividades.

Los datos son los siguientes:

-Cada CD secundario se tiene a sí mismo como DNS1 y a alguno de los otros
como DNS2

-En el Controlador Maestro se tienen los siguientes errores

en DCDIAG y NETDIAG

1. Last replication recieved from C_CANSERVER at 2008-07-11 11:48:40
.
WARNING: This latency is over the Tombstone Lifetime of 60
days!


2. Starting test: NCSecDesc
Error BUILTIN\Administradores doesn't have
Replicating Directory Changes
Replication Synchronization
Manage Replication Topology
access rights for the naming context:
DC=alianza,DC=com,DC=mx
. BDOMAIN failed test NCSecDesc

3. [WARNING] Failed to query SPN registration on DC
'blal_server.alianza.com.mx
'.

En uno de los DC secundarios se tiene lo siguiente

En DCDIAG y NETDIAG

1. Starting test: Replications
[Replications Check,BRYS_SERVER] A recent replication attempt failed:
From C_CANSERVER to BRYS_SERVER
Naming Context: CN=Schema,CN=Configuration,DC=alianza,DC=com,DC=mx
The replication generated an error (1722):
Win32 Error 1722
The failure occurred at 2008-10-11 12:58:56.
The last success occurred at 2008-07-11 11:45:48.
2211 failures have occurred since the last success.
[C_CANSERVER] DsBindWithSpnEx() failed with error 1722,
Win32 Error 1722.
The source remains down. Please check the machine.

2. Last replication recieved from C_CANSERVER at 2008-07-11 11:51:41
.
WARNING: This latency is over the Tombstone Lifetime of 60
days!

DC=alianza,DC=com,DC=mx

3. Starting test: NCSecDesc
Error BUILTIN\Administradores doesn't have
Replicating Directory Changes
Replication Synchronization
Manage Replication Topology
access rights for the naming context:
DC=alianza,DC=com,DC=mx
. BRYS_SERVER failed test NCSecDesc
4.
[WARNING] Failed to query SPN registration on DC
'bsta_server.alianza.com.mx
'.

-En las estaciones de trabajo en cada punto remoto no hay error al ejecutar
GPUDATE pero al revisar el visor de eventos aparece un error mencionadando
"que no se pudieron aplicar directivas ya que estas han sido filtradas"

Saludos

Alex Mtz.
Respuesta Responder a este mensaje
#3 Marc [MVP Windows]
14/10/2008 - 13:10 | Informe spam
Bien, según lo que pasas, tienes 2 DCs (C_CANSERVER ) que NO han replicado en 60 días, es decir, que no te sirven para nada ya que para el AD han dejado de existir.

Deberás eliminarlo (ntdsutil) de los DCs "sanos" y forzar un DCPromo (sin red) en el que da error, eliminar entradas DNS de ese DC despromocionado y volverlo a promocionar.


Saludos,

Marc
MVP Windows Server System - Directory Services
MCSA/MCSE Windows Server 2003
MCTS Exchange 2007 - Configuring
Citrix CCA PS 4.0
Oracle9i Certified Associate (OCA)

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no rights. You assume all risk for your use.

"ALEX_2005" escribió en el mensaje news:
Perdón por el retraso en la respuesta pero he estado muy saturado de
actividades.

Los datos son los siguientes:

-Cada CD secundario se tiene a sí mismo como DNS1 y a alguno de los otros
como DNS2

-En el Controlador Maestro se tienen los siguientes errores

en DCDIAG y NETDIAG

1. Last replication recieved from C_CANSERVER at 2008-07-11 11:48:40
.
WARNING: This latency is over the Tombstone Lifetime of 60
days!


2. Starting test: NCSecDesc
Error BUILTIN\Administradores doesn't have
Replicating Directory Changes
Replication Synchronization
Manage Replication Topology
access rights for the naming context:
DC=alianza,DC=com,DC=mx
. BDOMAIN failed test NCSecDesc

3. [WARNING] Failed to query SPN registration on DC
'blal_server.alianza.com.mx
'.

En uno de los DC secundarios se tiene lo siguiente

En DCDIAG y NETDIAG

1. Starting test: Replications
[Replications Check,BRYS_SERVER] A recent replication attempt failed:
From C_CANSERVER to BRYS_SERVER
Naming Context: CN=Schema,CN=Configuration,DC=alianza,DC=com,DC=mx
The replication generated an error (1722):
Win32 Error 1722
The failure occurred at 2008-10-11 12:58:56.
The last success occurred at 2008-07-11 11:45:48.
2211 failures have occurred since the last success.
[C_CANSERVER] DsBindWithSpnEx() failed with error 1722,
Win32 Error 1722.
The source remains down. Please check the machine.

2. Last replication recieved from C_CANSERVER at 2008-07-11 11:51:41
.
WARNING: This latency is over the Tombstone Lifetime of 60
days!

DC=alianza,DC=com,DC=mx

3. Starting test: NCSecDesc
Error BUILTIN\Administradores doesn't have
Replicating Directory Changes
Replication Synchronization
Manage Replication Topology
access rights for the naming context:
DC=alianza,DC=com,DC=mx
. BRYS_SERVER failed test NCSecDesc
4.
[WARNING] Failed to query SPN registration on DC
'bsta_server.alianza.com.mx
'.

-En las estaciones de trabajo en cada punto remoto no hay error al ejecutar
GPUDATE pero al revisar el visor de eventos aparece un error mencionadando
"que no se pudieron aplicar directivas ya que estas han sido filtradas"

Saludos

Alex Mtz.




Respuesta Responder a este mensaje
#4 ALEX_2005
16/10/2008 - 22:26 | Informe spam
Gracias por la respuesta Marc, he seguido los pasos que mencionas y las
directivas ya se reflejan en cada controlador de dominio secundario pero
siguen si aplicarse en los clientes, al revisar el visor de eventos de uno de
los clientes obtengo lo siguiente

Tipo de suceso: Error
Origen del suceso: Userenv
Categoría del suceso: Ninguno
Id. suceso: 1058
Fecha: 15/10/2008
Hora: 05:40:23 p.m.
Usuario: ALIANZA\B_RYS_3
Equipo: BRYS_3
Descripción:
Windows no puede obtener acceso al archivo gpt.ini para GPO
CN={ADBD6BA5-B672-4953-96E1-891D9548C9EA},CN=Policies,CN=System,DC=alianza,DC=com,DC=mx.
El archivo debe estar presente en la ubicación
<\\alianza.com.mx\SysVol\alianza.com.mx\Policies\{ADBD6BA5-B672-4953-96E1-891D9548C9EA}\gpt.ini>.
(El sistema no puede hallar la ruta especificada. ). Se ha anulado el proceso
de Directiva de grupo

Saludos

ALex



"Marc [MVP Windows]" wrote:

Bien, según lo que pasas, tienes 2 DCs (C_CANSERVER ) que NO han replicado en 60 días, es decir, que no te sirven para nada ya que para el AD han dejado de existir.

Deberás eliminarlo (ntdsutil) de los DCs "sanos" y forzar un DCPromo (sin red) en el que da error, eliminar entradas DNS de ese DC despromocionado y volverlo a promocionar.


Saludos,

Marc
MVP Windows Server System - Directory Services
MCSA/MCSE Windows Server 2003
MCTS Exchange 2007 - Configuring
Citrix CCA PS 4.0
Oracle9i Certified Associate (OCA)

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no rights. You assume all risk for your use.

"ALEX_2005" escribió en el mensaje news:
> Perdón por el retraso en la respuesta pero he estado muy saturado de
> actividades.
>
> Los datos son los siguientes:
>
> -Cada CD secundario se tiene a sí mismo como DNS1 y a alguno de los otros
> como DNS2
>
> -En el Controlador Maestro se tienen los siguientes errores
>
> en DCDIAG y NETDIAG
>
> 1. Last replication recieved from C_CANSERVER at 2008-07-11 11:48:40
> .
> WARNING: This latency is over the Tombstone Lifetime of 60
> days!
>
>
> 2. Starting test: NCSecDesc
> Error BUILTIN\Administradores doesn't have
> Replicating Directory Changes
> Replication Synchronization
> Manage Replication Topology
> access rights for the naming context:
> DC=alianza,DC=com,DC=mx
> . BDOMAIN failed test NCSecDesc
>
> 3. [WARNING] Failed to query SPN registration on DC
> 'blal_server.alianza.com.mx
> '.
>
> En uno de los DC secundarios se tiene lo siguiente
>
> En DCDIAG y NETDIAG
>
> 1. Starting test: Replications
> [Replications Check,BRYS_SERVER] A recent replication attempt failed:
> From C_CANSERVER to BRYS_SERVER
> Naming Context: CN=Schema,CN=Configuration,DC=alianza,DC=com,DC=mx
> The replication generated an error (1722):
> Win32 Error 1722
> The failure occurred at 2008-10-11 12:58:56.
> The last success occurred at 2008-07-11 11:45:48.
> 2211 failures have occurred since the last success.
> [C_CANSERVER] DsBindWithSpnEx() failed with error 1722,
> Win32 Error 1722.
> The source remains down. Please check the machine.
>
> 2. Last replication recieved from C_CANSERVER at 2008-07-11 11:51:41
> .
> WARNING: This latency is over the Tombstone Lifetime of 60
> days!
>
> DC=alianza,DC=com,DC=mx
>
> 3. Starting test: NCSecDesc
> Error BUILTIN\Administradores doesn't have
> Replicating Directory Changes
> Replication Synchronization
> Manage Replication Topology
> access rights for the naming context:
> DC=alianza,DC=com,DC=mx
> . BRYS_SERVER failed test NCSecDesc
> 4.
> [WARNING] Failed to query SPN registration on DC
> 'bsta_server.alianza.com.mx
> '.
>
> -En las estaciones de trabajo en cada punto remoto no hay error al ejecutar
> GPUDATE pero al revisar el visor de eventos aparece un error mencionadando
> "que no se pudieron aplicar directivas ya que estas han sido filtradas"
>
> Saludos
>
> Alex Mtz.
>
>
>
>

Respuesta Responder a este mensaje
#5 ALEX_2005
29/10/2008 - 03:16 | Informe spam
Después de mucho buscar resulta que la directiva que buscaba el equipo con
win xp está perdida, ¿hay manera de recuperarla?

Saludos

Alex

"ALEX_2005" wrote:

Gracias por la respuesta Marc, he seguido los pasos que mencionas y las
directivas ya se reflejan en cada controlador de dominio secundario pero
siguen si aplicarse en los clientes, al revisar el visor de eventos de uno de
los clientes obtengo lo siguiente

Tipo de suceso: Error
Origen del suceso: Userenv
Categoría del suceso: Ninguno
Id. suceso: 1058
Fecha: 15/10/2008
Hora: 05:40:23 p.m.
Usuario: ALIANZA\B_RYS_3
Equipo: BRYS_3
Descripción:
Windows no puede obtener acceso al archivo gpt.ini para GPO
CN={ADBD6BA5-B672-4953-96E1-891D9548C9EA},CN=Policies,CN=System,DC=alianza,DC=com,DC=mx.
El archivo debe estar presente en la ubicación
<\\alianza.com.mx\SysVol\alianza.com.mx\Policies\{ADBD6BA5-B672-4953-96E1-891D9548C9EA}\gpt.ini>.
(El sistema no puede hallar la ruta especificada. ). Se ha anulado el proceso
de Directiva de grupo

Saludos

ALex



"Marc [MVP Windows]" wrote:

> Bien, según lo que pasas, tienes 2 DCs (C_CANSERVER ) que NO han replicado en 60 días, es decir, que no te sirven para nada ya que para el AD han dejado de existir.
>
> Deberás eliminarlo (ntdsutil) de los DCs "sanos" y forzar un DCPromo (sin red) en el que da error, eliminar entradas DNS de ese DC despromocionado y volverlo a promocionar.
>
>
> Saludos,
>
> Marc
> MVP Windows Server System - Directory Services
> MCSA/MCSE Windows Server 2003
> MCTS Exchange 2007 - Configuring
> Citrix CCA PS 4.0
> Oracle9i Certified Associate (OCA)
>
> Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.
>
> This posting is provided "AS IS" with no warranties, and confers no rights. You assume all risk for your use.
>
> "ALEX_2005" escribió en el mensaje news:
> > Perdón por el retraso en la respuesta pero he estado muy saturado de
> > actividades.
> >
> > Los datos son los siguientes:
> >
> > -Cada CD secundario se tiene a sí mismo como DNS1 y a alguno de los otros
> > como DNS2
> >
> > -En el Controlador Maestro se tienen los siguientes errores
> >
> > en DCDIAG y NETDIAG
> >
> > 1. Last replication recieved from C_CANSERVER at 2008-07-11 11:48:40
> > .
> > WARNING: This latency is over the Tombstone Lifetime of 60
> > days!
> >
> >
> > 2. Starting test: NCSecDesc
> > Error BUILTIN\Administradores doesn't have
> > Replicating Directory Changes
> > Replication Synchronization
> > Manage Replication Topology
> > access rights for the naming context:
> > DC=alianza,DC=com,DC=mx
> > . BDOMAIN failed test NCSecDesc
> >
> > 3. [WARNING] Failed to query SPN registration on DC
> > 'blal_server.alianza.com.mx
> > '.
> >
> > En uno de los DC secundarios se tiene lo siguiente
> >
> > En DCDIAG y NETDIAG
> >
> > 1. Starting test: Replications
> > [Replications Check,BRYS_SERVER] A recent replication attempt failed:
> > From C_CANSERVER to BRYS_SERVER
> > Naming Context: CN=Schema,CN=Configuration,DC=alianza,DC=com,DC=mx
> > The replication generated an error (1722):
> > Win32 Error 1722
> > The failure occurred at 2008-10-11 12:58:56.
> > The last success occurred at 2008-07-11 11:45:48.
> > 2211 failures have occurred since the last success.
> > [C_CANSERVER] DsBindWithSpnEx() failed with error 1722,
> > Win32 Error 1722.
> > The source remains down. Please check the machine.
> >
> > 2. Last replication recieved from C_CANSERVER at 2008-07-11 11:51:41
> > .
> > WARNING: This latency is over the Tombstone Lifetime of 60
> > days!
> >
> > DC=alianza,DC=com,DC=mx
> >
> > 3. Starting test: NCSecDesc
> > Error BUILTIN\Administradores doesn't have
> > Replicating Directory Changes
> > Replication Synchronization
> > Manage Replication Topology
> > access rights for the naming context:
> > DC=alianza,DC=com,DC=mx
> > . BRYS_SERVER failed test NCSecDesc
> > 4.
> > [WARNING] Failed to query SPN registration on DC
> > 'bsta_server.alianza.com.mx
> > '.
> >
> > -En las estaciones de trabajo en cada punto remoto no hay error al ejecutar
> > GPUDATE pero al revisar el visor de eventos aparece un error mencionadando
> > "que no se pudieron aplicar directivas ya que estas han sido filtradas"
> >
> > Saludos
> >
> > Alex Mtz.
> >
> >
> >
> >
>
email Siga el debate Respuesta Responder a este mensaje
Ads by Google
Help Hacer una preguntaRespuesta Tengo una respuesta
Search Busqueda sugerida