Hola,
estoy recibiendo numerosos errores en un BDC3:
UpdateRefs falló con WERR_DS_DRA_ACCESS_DENIED/NT código 0xc0002105 para 447da004-332f-42e7-90f9-7703dfe80125._msdcs.lyceeader.eu DC=DomainDnsZones,DC=lyceeader,DC=eu
[2018/10/20 07:54:09.599058, 0] ../source4/dsdb/repl/drepl_out_helpers.c:1087(dreplsrv_update_refs_done).
Tengo un ADBDC1 correcto con el rol fsmo en el segundo BDC2, que también apunta correctamente a ADBDC1. BDC3 (el que tiene los problemas) también apunta correctamente a ADBDC1.
Este error ocurre cada vez. Llevo unos segundos sin entender el motivo, y mis búsquedas en internet no me han dado ninguna solución convincente. ¿Tienes alguna idea?
Gracias de antemano.
Atentamente,
Eric.
Error de DNS en BDC
-
dcardón
- Experto en WAPT
- Mensajes: 1908
- Inscripción: 18 de junio de 2014 - 09:58
- Ubicación: Saint Sébastien sur Loire
- Contacto :
Hola Eric,
Con el concepto de RODC, Microsoft ha recreado un equivalente del concepto BDC.
Atentamente,
Denis
Como recordatorio, es mejor evitar nombres de servidor de AD como PDC y BDC. En Active Directory, todos los RWDC (es decir, los DC que no son RODC) se consideran iguales; no hay DC principales ni DC de respaldo. Con los roles FSMO, algunos DC son, de hecho, más iguales que otros (parafraseando a George Orwell), pero la distinción entre PDC y BDC no existe como sí ocurre en NT4.
Con el concepto de RODC, Microsoft ha recreado un equivalente del concepto BDC.
Los roles FSMO rara vez causan problemas. Si solo la partición DomainDnsZones causa el problema, la mejor solución es degradarla y volver a unirla. Para degradarla, simplemente detenga Samba, limpie el directorio /var/lib/samba (después deberá volver a crear el directorio vacío /var/lib/samba/private) y ejecute `samba-tool domain demote --remove-other-dead-server=BDC3` en ADBDC1.Eric escribió: ↑20 de octubre de 2018 - 08:01 UpdateRefs falló con el código WERR_DS_DRA_ACCESS_DENIED/NT 0xc0002105 para 447da004-332f-42e7-90f9-7703dfe80125._msdcs.lyceeader.eu DC=DomainDnsZones,DC=lyceeader,DC=eu
[2018/10/20 07:54:09.599058, 0] ../source4/dsdb/repl/drepl_out_helpers.c:1087(dreplsrv_update_refs_done)
Tengo un ADBDC1 correcto con el rol fsmo en el segundo BDC2. El rol fsmo apunta correctamente a ADBDC1 y luego a BDC3 (el que tiene (Problemas) apunta claramente a ADBDC1).
Este error ocurre cada segundo; no entiendo la razón y las búsquedas en internet no me han dado ninguna solución viable. ¿Tienes alguna idea?
Atentamente,
Denis
Denis Cardon - Tranquil IT
¡Comparte tus experiencias en WAPT! Envíanos las URL de tus blogs y artículos en la "Tu opinión del foro y los publicaremos en el de WAPT
¡Comparte tus experiencias en WAPT! Envíanos las URL de tus blogs y artículos en la "Tu opinión del foro y los publicaremos en el de WAPT
Hola,
muchas gracias por tu ayuda.
Hola Eric,
Eric escribió: ↑
20 de octubre de 2018, 8:01 a. m.
Tengo muchos errores en un BDC3.
Como recordatorio, es mejor evitar nombres de servidores AD como PDC y BDC. De hecho, en Active Directory, todos los RWDC (es decir, los DC que no son RODC) son todos iguales; no hay un DC primario y un DC de respaldo. Con los roles FSMO, de hecho hay DC que son más iguales que otros (parafraseando a G. Orwell), pero no hay distinción PDC/BDC como en NT4.
Con el concepto de RODC, Microsoft ha recreado un equivalente del concepto BDC.
Eric escribió: ↑
20 de octubre de 2018, 08:01
UpdateRefs falló con el código WERR_DS_DRA_ACCESS_DENIED/NT 0xc0002105 para 447da004-332f-42e7-90f9-7703dfe80125._msdcs.lyceeader.eu DC=DomainDnsZones,DC=lyceeader,DC=eu
[2018/10/20 07:54:09.599058, 0] ../source4/dsdb/repl/drepl_out_helpers.c:1087(dreplsrv_update_refs_done)
Tengo un ADBDC1 correcto con el rol fsmo en el segundo BDC2. El rol FSMO apunta correctamente a ADBDC1 y luego a BDC3 (el que tiene el problema (problemas) apunta efectivamente a ADBDC1.
Este error ocurre cada segundo; no entiendo la razón, y las búsquedas en Internet no me han dado ninguna solución viable. ¿Tienes alguna idea?
Los roles FSMO rara vez son la fuente de un problema. Si solo la partición DomainDnsZones está causando el problema, la mejor solución es degradarla y volver a unirla. Para degradarla, simplemente detenga Samba, limpie el directorio /var/lib/samba (deberá recrear el directorio vacío /var/lib/samba/private después), luego ejecute `samba-tool domain demote --remove-other-dead-server=BDC3` en ADBDC1.
¿Alguna aclaración adicional sobre la última parte?
Para el remoto, solo necesita detener Samba, limpiar el directorio /var/lib/samba (deberá recrear el directorio vacío /var/lib/samba/private (Después). ¿Esto se hace en BDC3? Luego lo vuelvo a unir al dominio apuntándolo a ADBDC1.
No entendí bien la diferencia.
Disculpen que use nombres de BDC; es más fácil para todos en el departamento.
Saludos
,
Eric.
muchas gracias por tu ayuda.
Hola Eric,
Eric escribió: ↑
20 de octubre de 2018, 8:01 a. m.
Tengo muchos errores en un BDC3.
Como recordatorio, es mejor evitar nombres de servidores AD como PDC y BDC. De hecho, en Active Directory, todos los RWDC (es decir, los DC que no son RODC) son todos iguales; no hay un DC primario y un DC de respaldo. Con los roles FSMO, de hecho hay DC que son más iguales que otros (parafraseando a G. Orwell), pero no hay distinción PDC/BDC como en NT4.
Con el concepto de RODC, Microsoft ha recreado un equivalente del concepto BDC.
Eric escribió: ↑
20 de octubre de 2018, 08:01
UpdateRefs falló con el código WERR_DS_DRA_ACCESS_DENIED/NT 0xc0002105 para 447da004-332f-42e7-90f9-7703dfe80125._msdcs.lyceeader.eu DC=DomainDnsZones,DC=lyceeader,DC=eu
[2018/10/20 07:54:09.599058, 0] ../source4/dsdb/repl/drepl_out_helpers.c:1087(dreplsrv_update_refs_done)
Tengo un ADBDC1 correcto con el rol fsmo en el segundo BDC2. El rol FSMO apunta correctamente a ADBDC1 y luego a BDC3 (el que tiene el problema (problemas) apunta efectivamente a ADBDC1.
Este error ocurre cada segundo; no entiendo la razón, y las búsquedas en Internet no me han dado ninguna solución viable. ¿Tienes alguna idea?
Los roles FSMO rara vez son la fuente de un problema. Si solo la partición DomainDnsZones está causando el problema, la mejor solución es degradarla y volver a unirla. Para degradarla, simplemente detenga Samba, limpie el directorio /var/lib/samba (deberá recrear el directorio vacío /var/lib/samba/private después), luego ejecute `samba-tool domain demote --remove-other-dead-server=BDC3` en ADBDC1.
¿Alguna aclaración adicional sobre la última parte?
Para el remoto, solo necesita detener Samba, limpiar el directorio /var/lib/samba (deberá recrear el directorio vacío /var/lib/samba/private (Después). ¿Esto se hace en BDC3? Luego lo vuelvo a unir al dominio apuntándolo a ADBDC1.
No entendí bien la diferencia.
Disculpen que use nombres de BDC; es más fácil para todos en el departamento.
Saludos
,
Eric.
-
vcardón
- Experto en WAPT
- Mensajes: 272
- Inscripciones: 06 Oct 2017 - 22:55 horas.
- Ubicación: Nantes, Francia
Hola Eric,
llámanos a la oficina, +33240975755. Me temo que no obtendrás la ayuda que buscas para tu problema, y sospecho que eres una organización relativamente grande que, por lo tanto, merece soporte a través de canales dedicados.
Mi intuición es que estás lidiando con problemas residuales de una actualización de un Samba3-NT4 de más de 10 años a Samba-AD sin ninguna limpieza, lo cual es comprensible ya que dicha limpieza es difícil de documentar de manera confiable.
De hecho, Samba3-NT4, al igual que Windows NT, era muy permisivo, y estas tecnologías permitían tanto buenas como malas prácticas creativas. Samba-AD, que replica el comportamiento de MSAD, permite mucha menos creatividad; es más rígido y, por lo tanto, su funcionamiento es más seguro. En general, esto es algo positivo, y esta rigidez beneficia a todos. Por lo tanto, este historial puede causar efectos secundarios indeseables si tienes objetos antiguos que no cumplen con los estándares y que estás transfiriendo a Active Directory después de una actualización.
Con Microsoft Active Directory, la creatividad que antes permitía NT4 se fue limitando progresivamente con MSAD2000, luego 2003, 2008, etc. Aquí, entre un antiguo Samba3-NT4, si bien se mantiene actualizado pero aún en modo NT4, y Samba-AD, se ha dado un salto generacional enorme; se requiere mucha más rigurosidad para garantizar su correcto funcionamiento desde el principio. En TIS, tenemos esta experiencia.
Atentamente,
Vincent C.
llámanos a la oficina, +33240975755. Me temo que no obtendrás la ayuda que buscas para tu problema, y sospecho que eres una organización relativamente grande que, por lo tanto, merece soporte a través de canales dedicados.
Mi intuición es que estás lidiando con problemas residuales de una actualización de un Samba3-NT4 de más de 10 años a Samba-AD sin ninguna limpieza, lo cual es comprensible ya que dicha limpieza es difícil de documentar de manera confiable.
De hecho, Samba3-NT4, al igual que Windows NT, era muy permisivo, y estas tecnologías permitían tanto buenas como malas prácticas creativas. Samba-AD, que replica el comportamiento de MSAD, permite mucha menos creatividad; es más rígido y, por lo tanto, su funcionamiento es más seguro. En general, esto es algo positivo, y esta rigidez beneficia a todos. Por lo tanto, este historial puede causar efectos secundarios indeseables si tienes objetos antiguos que no cumplen con los estándares y que estás transfiriendo a Active Directory después de una actualización.
Con Microsoft Active Directory, la creatividad que antes permitía NT4 se fue limitando progresivamente con MSAD2000, luego 2003, 2008, etc. Aquí, entre un antiguo Samba3-NT4, si bien se mantiene actualizado pero aún en modo NT4, y Samba-AD, se ha dado un salto generacional enorme; se requiere mucha más rigurosidad para garantizar su correcto funcionamiento desde el principio. En TIS, tenemos esta experiencia.
Atentamente,
Vincent C.
Vincent CARDON
Tranquilo IT
Tranquilo IT
