Tengo un gran problema que empezó hace unos días. Permítanme exponer exactamente lo que sucedió; también heredé este entorno, téngalo en cuenta.
Primer controlador de dominio: Windows Server 2003 R2 estándar
Segundo controlador de dominio: Windows Server 2008 R2 Ent
En los últimos días, cuando un usuario inicia e intenta iniciar sesión desde cualquier estación de trabajo que instalé recientemente, encuentra un error de confianza al iniciar sesión. Entonces, inicié sesión como administrador local y me reincorporé al dominio; sin embargo, cuando el Trust falló varias veces en varias máquinas, profundicé más.
En una de las estaciones de trabajo, revisé el visor de eventos y encontré esto:
Log Name: System
Source: NETLOGON
Date: 5/16/2013 12:06:07 PM
Event ID: 3210
Task Category: None
Level: Error
Keywords: Classic
User: N/A
Computer: WIN7-2083.Domain.DomainName.com
Description:
This computer could not authenticate with \\BDCName.Domain.DomainName.com, a Windows domain controller for domain DOMAIN, and therefore this computer might deny logon requests. This inability to authenticate might be caused by another computer on the same network using the same name or the password for this computer account is not recognized. If this message appears again, contact your system administrator.
Event Xml:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="NETLOGON" />
<EventID Qualifiers="0">3210</EventID>
<Level>2</Level>
<Task>0</Task>
<Keywords>0x80000000000000</Keywords>
<TimeCreated SystemTime="2013-05-16T17:06:07.000000000Z" />
<EventRecordID>52991</EventRecordID>
<Channel>System</Channel>
<Computer>WIN7-2083.Domain.DomainName.com</Computer>
<Security />
</System>
<EventData>
<Data>DOMAIN</Data>
<Data>\\BDCName.Domain.DomainName.com</Data>
<Binary>220000C0</Binary>
</EventData>
</Event>
Entonces, por alguna razón, me llevó a creer que esta estación de trabajo se estaba autenticando directamente en el segundo DC en lugar del primer DC.
Al mirar el primer visor de eventos de DC, encontré este error:
The Knowledge Consistency Checker (KCC) has detected problems with the following directory partition.
Directory partition:
CN=Configuration,DC=Domain,DC=DomainName,DC=com
There is insufficient site connectivity information for the KCC to create a spanning tree replication topology. Or, one or more directory servers with this directory partition are unable to replicate the directory partition information. This is probably due to inaccessible directory servers.
User Action
Perform one of the following actions:
- Publish sufficient site connectivity information so that the KCC can determine a route by which this directory partition can reach this site. This is the preferred option.
- Add a Connection object to a directory service that contains the directory partition in this site from a directory service that contains the same directory partition in another site.
If neither of the tasks correct this condition, see previous events logged by the KCC that identify the inaccessible directory servers.
Seguido por:
The Knowledge Consistency Checker (KCC) was unable to form a complete spanning tree network topology. As a result, the following list of sites cannot be reached from the local site.
Sites:
CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=Domain,DC=DomainName,DC=com
Entonces busqué en el primer DC y encontré errores casi idénticos:
The Knowledge Consistency Checker (KCC) was unable to form a complete spanning tree network topology. As a result, the following list of sites cannot be reached from the local site.
Sites:
CN=Jackson,CN=Sites,CN=Configuration,DC=Domain,DC=DomainName,DC=com
He analizado varias soluciones y muchas de ellas se refieren a la búsqueda de entradas DNS y otras cosas; sin embargo, no estoy completamente seguro de dónde radica el error ya que esto recién comenzó a suceder. No ha habido cambios en ninguna ruta en el entorno. Literalmente ha sido en los últimos días. Supongo que en este punto ninguno de los dos se está comunicando correctamente. Si hago un cambio en un DC, debería aparecer en el otro DC, ¿verdad? Por ejemplo, ¿el cambio de propiedades de usuario en un DC debería aparecer pronto también en el segundo DC? Esto no está sucediendo en este momento.
¿Qué pasos puedo tomar para realmente resolver esto?