Tengo la siguiente configuración simple: 4 máquinas virtuales MS Windows Server 2008 SP2, una de ellas es el PDC de un pequeño bosque de dominio, una es DC secundaria en el bosque y dos son miembros del dominio. Inicialmente, el DNS funcionaba bien, pero desde algún momento en el pasado (alrededor de 2 meses) el DC secundario dejó de resolver correctamente los nombres de dominio.
Mis sospechosos aquí son que esto sucedió porque algunas actualizaciones de Windows han actualizado los servicios AD y desde ese punto no pudo ocurrir ninguna sincronización entre el PDC y el SDC, además no hay una conexión directa (por DNS) entre el DF y este DC secundario... Pero este no es el principal problema.
El problema principal es que uno de los miembros del dominio comenzó a emitir el error "La base de datos de seguridad en el servidor no tiene una cuenta de computadora para esta relación de confianza de la estación de trabajo" al iniciar sesión (nuevamente hace aproximadamente 2 meses). Inicialmente resolví esto desconectándome y volviendo a unirme a la estación de trabajo, pero como este error apareció más de una vez, probé la solución mencionada.aquí.
Obviamente hice algo mal, luego de eso mi PDC comenzó a emitir el mismo error al iniciar sesión... Dado que el PDC no tiene una cuenta de administración local, mi único acceso a la máquina es a través de DSRM (iniciar el PDC). en DSRM y usando la cuenta de administrador de DSRM, me permite iniciar sesión en el servidor).
Pero en DSRM, el PDC actúa como una estación de trabajo normal y no hay acceso al AD DS (dcdiag, setspn y netdom no funcionan, lo que me indica que el AD DS está inactivo).Editar:- Error de LDAP (49/52e) Error de inicio de sesión o Error de LDAP 81(0x51) - Servidor inactivo).
Tenga en cuenta que mi cuenta de administrador de dominio sigue siendo válida y funciona (cuando me desconecto y me vuelvo a unir a las estaciones de trabajo), no puedo usarla solo en el PDC. Mi COSUDE tiene fallas de DNS, por lo que no puedo reparar la base de datos de AD DS desde el COSUDE, porque no descubrí cómo usar las herramientas de DS con direcciones IP en lugar de FQDN...
El manejo sugeridoaquíTampoco ayuda mucho: no puedo usar ninguna de las herramientas de AD DS.
Al mirar el Visor de eventos, encontré una entrada HOST duplicada en la configuración de AD DS (Error 11), así que aquí está mi pregunta:
¿Cómo puedo recuperar el control a nivel de dominio sobre el PDC? Además de la solución obvia de eliminar la instalación actual del sistema operativo y luego reinstalar el servidor, ¿de qué otra manera puedo recuperar el control sobre la máquina?
Respuesta1
He encontrado en las páginas TechNet de Microsoft.esteartículo: modificar el comportamiento de inicio de sesión de la cuenta de administración local de DSRM funcionó para permitirme iniciar sesión en el servidor mientras se ejecuta AD DS. A partir de ese momento fue fácil para mí localizar los duplicados (usandoconjuntospn -x -F) y eliminarlos de la configuración AD DS del PDC (usandosetspn -D SPN PDC_Server).
De regreso a la pantalla de inicio de sesión, se permitió que la cuenta de administración del dominio iniciara sesión nuevamente. Eliminar la modificación del registro, con respecto a los derechos de inicio de sesión de la cuenta de administración local de DSRM, es una tarea opcional, aunque Microsoft la recomienda encarecidamente.
Eso es todo: ahora puedo buscar activamente una solución para mi problema secundario con el SDC no sincronizado.