Utilizamos cookies propias y de terceros. Al navegar entendemos que aceptas el uso de cookies. +Info.
Política de cookies
Proyecto AjpdSoft

· Inicio
· Buscar
· Contactar
· Cookies
· Descargas
· Foros
· Historia
· Nosotros
· Temas
· Top 10
· Trucos
· Tutoriales
· Usuario
· Wiki

Proyecto AjpdSoft: Foros

AjpdSoft :: Ver tema - No puede asignar identificador relativo Active Directory
Foros de discusión Buscar Perfil FAQ Iniciar sesión
Information No puede asignar identificador relativo Active Directory

Publicar nuevo tema Responder al tema
Foros de discusión » Windows 10, Windows 7, Windows Server 2010, W2008, W2003   
Ver tema anterior :: Ver tema siguiente
AutorMensaje
varios
Magnífico usuario


Registrado: Oct 10, 2006
Mensajes: 2092

Asunto: No puede asignar identificador relativo Active Directory Responder citando

Tengo un dominio con Microsoft Windows Server 2003, tenía dos servidores con Windows Server 2003 y eran controladores de dominio, pero tuve que degradar uno de ellos y quitarlo del dominio, lo tuve que hacer con un:

Código:

dcpromo /forceremoval


Ahora me encuentro con que en el servidor que ha quedado como controlador de dominio al crear un usuario en el Active Directory me aparece este error:

Windows no puede crear el objeto xxx debido a: El servicio de directorios no puede asignar un identificador relativo.

¿Cómo puedo solucionar esto?
MensajePublicado:
Dom Feb 24, 2013 9:21 pm
Top of PageVer perfil de usuario
alonsojpd
Administrador/Moderador


Registrado: Sep 16, 2003
Mensajes: 2687

Asunto: Re: No puede asignar identificador relativo Active Directory Responder citando



Anuncios



varios escribió:
Tengo un dominio con Microsoft Windows Server 2003, tenía dos servidores con Windows Server 2003 y eran controladores de dominio, pero tuve que degradar uno de ellos y quitarlo del dominio, lo tuve que hacer con un:

Código:

dcpromo /forceremoval


Ahora me encuentro con que en el servidor que ha quedado como controlador de dominio al crear un usuario en el Active Directory me aparece este error:

Windows no puede crear el objeto xxx debido a: El servicio de directorios no puede asignar un identificador relativo.

¿Cómo puedo solucionar esto?


Es recomendable que le eches un vistazo al visor de sucesos de Windows Server, desde ahí podrás consultar los errores que se están produciendo de forma más detallada.

Por lo que nos cuentas es muy posible que hayan quedado "restos" del servidor que degradaste en el dominio. Postéanos los errores que veas en el visor de sucesos relacionados con esto.
MensajePublicado:
Mie Feb 27, 2013 6:29 pm
Top of PageVer perfil de usuario
varios
Magnífico usuario


Registrado: Oct 10, 2006
Mensajes: 2092

Asunto: Re: No puede asignar identificador relativo Active Directory Responder citando



Anuncios



alonsojpd escribió:
Es recomendable que le eches un vistazo al visor de sucesos de Windows Server, desde ahí podrás consultar los errores que se están produciendo de forma más detallada.

Por lo que nos cuentas es muy posible que hayan quedado "restos" del servidor que degradaste en el dominio. Postéanos los errores que veas en el visor de sucesos relacionados con esto.


En el visor de sucesos veo este error:

Tipo de suceso: Advertencia
Origen del suceso: NTDS Replication
Categoría del suceso: Replicación
Id. suceso: 2093
Fecha: 21/02/2013
Hora: 19:43:00
Usuario: NT AUTHORITY\ANONYMOUS LOGON
Equipo: XXX
Descripción:

El servidor remoto propietario de una función FSMO no responde. Este servidor no se ha replicado con el propietario de función FSMO recientemente.

No se podrá realizar ninguna operación que requiera ponerse en contacto con un maestro de operaciones FSMO hasta que esta condición se corrija.

Función FSMO: CN=Schema,CN=Configuration,DC=XXX,DC=es
Nombre completo (DN) del servidor FSMO: CN=NTDS Settings,CN=XXX,CN=Servers,CN=Nombre-predeterminado-primer-sitio,CN=Sites,CN=Configuration,DC=XXX,DC=es
Umbral de latencia (horas): 24
Tiempo transcurrido desde la última replicación correcta (horas): 3170

Acción de usuario:

Este servidor no se replicó correctamente con el servidor que contiene la función FSMO.
1. Puede que el servidor que contiene la función FSMO esté desactivado o no responda. Solucione el problema con este servidor.
2. Determine si la función se estableció correctamente en el servidor que contiene la función FSMO. Si la función necesita ajustarse, use NTDSUTIL.EXE para transferirla o asumirla. Esto puede realizarse por medio de los pasos proporcionados en los artículos de KB 255504 y 324801, disponibles en http://support.microsoft.com.
3. Si el servidor que contiene la función FSMO solía ser un controlador de dominio, pero no se degradó correctamente, entonces los objetos que representan al servidor todavía están en el bosque. Esto puede ocurrir si se reinstaló el sistema operativo para un controlador de dominio o si se forzó una eliminación. Dichos objetos con estado persistente deben eliminarse por medio de la función de limpiado de metadatos NTDSUTIL.EXE.
4. Puede que el contenedor de la función FSMO no sea un asociado de replicación directo. Si se trata de un asociado indirecto o en transición, entonces existe al menos un asociado de replicación intermedio por el que deben pasar los datos de replicación. La latencia de replicación total de un extremo a otro debe ser inferior al umbral de latencia de replicación; de lo contrario, puede que esta advertencia se haga saber prematuramente.
5. La replicación está bloqueada en alguna parte de la ruta de servidores, entre el servidor que contiene la función FSMO y este servidor. Consulte el plan de topología del bosque para determinar la posible ruta de replicación entre estos servidores. Compruebe el estado de la replicación por medio del comando repadmin / showrepl en cada uno de dichos servidores.

Puede que las siguientes operaciones se impacten:
Esquema: Ya no podrá modificar el esquema de este bosque.
Nombres de dominio: Ya no podrá agregar ni quitar dominios de este bosque.
PDC: Ya no podrá realizar operaciones de controlador principal de dominio, como actualizar directivas de grupo o restablecer contraseñar para cuentas que no son de Active Directory.
RID: Ya no podrá asignar nuevos identificadores de seguridad para nuevas cuentas de usuario, cuentas de equipo ni grupos de seguridad.
Infraestructura: Las referencias de nombre entre dominios, como las pertenencias a grupos universales, no se actualizarán correctamente si el objeto de destino se mueve o se le cambia el nombre.


Efectivamente, leyendo el error veo que sigue haciéndose referencia al equipo que degradé y quité, forzándolo, del dominio.

No tengo conocimientos de administración de sistemas ¿cómo puedo solucionar esto?
MensajePublicado:
Mie Feb 27, 2013 8:29 pm
Top of PageVer perfil de usuario
varios
Magnífico usuario


Registrado: Oct 10, 2006
Mensajes: 2092

Asunto: Re: No puede asignar identificador relativo Active Directory Responder citando



Anuncios



También aparece este otro warning:

Tipo de suceso: Error
Origen del suceso: NTDS Replication
Categoría del suceso: Replicación
Id. suceso: 1864
Fecha: 21/02/2013
Hora: 19:43:00
Usuario: NT AUTHORITY\ANONYMOUS LOGON
Equipo: XXX
Descripción:
Éste es el estado de replicación para la siguiente partición del directorio en el controlador de dominio local.

Partición del directorio:
CN=Configuration,DC=XXX,DC=es

El controlador de dominio local no recibió recientemente información de replicación de varios controladores de dominio. A continuación puede ver el número de controladores de dominio, separados en los siguientes intervalos.

Más de 24 horas:
1
Más de una semana:
1
Más de un mes:
1
Más de dos meses:
1
Más de un período de vida de desecho:
1
Período de vida de desecho (días):
60
Los controladores de dominio que no replican a tiempo pueden encontrar errores. Pueden perder cambios de contraseña y no podrían realizar la autenticación. Un DC que no se replica en el período de vida de desecho puede perder la información de eliminación de algunos objetos y bloquear automáticamente su futura replicación hasta que se reconcilie.

Para identificar los controladores de dominio por el nombre, instale las herramientas de soporte incluidas en el CD de instalación y ejecute dcdiag.exe.
También puede utilizar la herramienta de soporte repadmin.exe para mostrar las latencias de replicación de los controladores de dominio del bosque. El comando es "repadmin /showvector /latency <partition-dn>".
MensajePublicado:
Mie Feb 27, 2013 8:37 pm
Top of PageVer perfil de usuario
alonsojpd
Administrador/Moderador


Registrado: Sep 16, 2003
Mensajes: 2687

Asunto: Re: No puede asignar identificador relativo Active Directory Responder citando



Anuncios



Comprueba desde el modo gráfico si aparece el equipo que degradaste y despromocionaste de controlador de dominio en "Sitios y servicios de Active Directory", en "Sites". Si aparece aquí el servidor degradado deberás eliminarlo pues está intentando replicarse el catálogo global y no puede porque ya no es controlador de dominio.
MensajePublicado:
Mie Feb 27, 2013 8:40 pm
Top of PageVer perfil de usuario
varios
Magnífico usuario


Registrado: Oct 10, 2006
Mensajes: 2092

Asunto: Re: No puede asignar identificador relativo Active Directory Responder citando



Anuncios



alonsojpd escribió:
Comprueba desde el modo gráfico si aparece el equipo que degradaste y despromocionaste de controlador de dominio en "Sitios y servicios de Active Directory", en "Sites". Si aparece aquí el servidor degradado deberás eliminarlo pues está intentando replicarse el catálogo global y no puede porque ya no es controlador de dominio.


Efectivamente aparecen los dos servidores (el que vale y el que quité del dominio) en "Sitios y servicios de Active Directory" - "Sites" - "Nombre-predeerminado-primer-sitio" - "Servers", aquí me aparece el SERVIDOR1 en NTDS Settings y el SERVIDOR2, el bueno y el que debe quedar correctamente es el SERVIDOR2. Al mostrar las propiedades veo que ambos tienen marcado "Catálogo global".

Pero si intento eliminar desde ahí el SERVIDOR1 me dice que no es posible ¿Se puede eliminar todo el "rastro" de este servidor en el dominio Active Directory? ¿cómo?
MensajePublicado:
Mie Feb 27, 2013 8:44 pm
Top of PageVer perfil de usuario
alonsojpd
Administrador/Moderador


Registrado: Sep 16, 2003
Mensajes: 2687

Asunto: Re: No puede asignar identificador relativo Active Directory Responder citando



Anuncios



varios escribió:
Efectivamente aparecen los dos servidores (el que vale y el que quité del dominio) en "Sitios y servicios de Active Directory" - "Sites" - "Nombre-predeerminado-primer-sitio" - "Servers", aquí me aparece el SERVIDOR1 en NTDS Settings y el SERVIDOR2, el bueno y el que debe quedar correctamente es el SERVIDOR2. Al mostrar las propiedades veo que ambos tienen marcado "Catálogo global".

Pero si intento eliminar desde ahí el SERVIDOR1 me dice que no es posible ¿Se puede eliminar todo el "rastro" de este servidor en el dominio Active Directory? ¿cómo?


Si no te deja eliminarlo desde el modo gráfico puedes hacerlo desde la línea de comandos usando ntdsutil. Se trata de eliminar los metadatos relacionados con ese servidor SERVIDOR1 que forzaste al sacarlo del dominio. A continuación te indicamos cómo eliminar todas las referencias a este servidor en el Active Directory.

1. En primer lugar y como siempre que vayamos a realizar cambios potencialmente peligrosos en los sistemas es muy recomendable que hagas copia de seguridad del equipo, si es un equipo virtual puedes hacer un snapshot previo a lo que te vamos a explicar.

2. Una vez hecha copia de seguridad del sistema, Active Directory y equipo abre una ventana de MS-DOS (shell de comandos) e introduce el comando:

Código:

ntdsutil


Pulsa intro para ejecutarlo y a continuación ejecuta el comando:

Código:

metadata cleanup


A continuación:

Código:

connections


Luego:

Código:

connect to server SERVIDOR2


Si no hay problema se conectará con el servidor "bueno". Ahora ejecuta el comando "q" para salir del modo "Server connections":

Código:

q


Tras conectarnos al servidor y volver al modo "metadata cleanup" ejecuta:

Código:

select operation target


Luego:

Código:

list domains


Te devolverá el dominio de tu organización, el que creaste con los dos servidores SERVIDOR1 y SERVIDOR2, si tuvieras varios dominios te los mostrará, con un valor numérico a la izquierda (0 para el primero, 1 para el segundo, etc.). Ahora seleccionaremos el dominio con el que queramos trabajar, si solo tenemos 1 el identificador será cero, por lo que para trabajar con este dominio introduciríamos el comando:

Código:

select domain 0


Ahora mostraremos los "Sites" de este dominio con:

Código:

list sites


Al igual que para los dominios, nos mostrará los sitios que tengamos, seleccionaremos el sitio con el que queramos trabajar (si solo tenemos uno será el 0):

Código:

select site 0


Ahora mostraremos los servidores del sitio seleccionado con:

Código:

list servers in site


En este paso puede que aparezca el SERVIDOR1 que ya no debería estar y aparecerá también el SERVIDOR2. Si aparece el SERVIDOR1 te mostrará su número asociado (si aparece por orden, 0 para el primero, 1 para el segundo, etc.).

Ahora seleccioanaremos el servidor que queramos eliminar definitivamente del Active Directory, procede con precaución, repetimos, si aparecen por orden, el primero siempre es el 0 y así sucesivamente.

Ejecuta el comando siguiente para seleccionar el servidor a eliminar:

Código:

select server 0


Una vez seleccionado el dominio, el sitio y el servidor a eliminar ejecuta "q" para salir del modo de selección y volver a "metadata cleanup":

Código:

q


Ahora, para eliminar el servidor seleccionado ejecuta el comando:

Código:

remove selected server


Te mostrará un mensaje de confirmación donde aparecerá el objeto a eliminar, asegúrate de que es el servidor SERVIDOR1 (en tu caso), si es así pulsa en "Sí" para que se elimine defintivamente.

Una vez realizado el proceso puedes volver a comprobar si sigue apareciendo el servidor con el comando "list servers in site".
MensajePublicado:
Mie Feb 27, 2013 9:07 pm
Top of PageVer perfil de usuario
varios
Magnífico usuario


Registrado: Oct 10, 2006
Mensajes: 2092

Asunto: [RESUELTO] No puede asignar identificador relativo AD Responder citando



Anuncios



Genial!!!! he seguido tus indicaciones y ya no aparece el SERVIDOR1 que despromocioné "de mala manera" en el Active Directory, ni en "Sitios y servicios de Active Directory".

También he revisado lo que dice este post de vuestro sitio web:

http://www.ajpdsoft.com/modules.php?name=Foros&file=viewtopic&t=1662

Para transferir todos los roles al SERVIDOR2, pues había dos roles que seguían apareciendo con el comando "netdom query fsmo" asignados al SERVIDOR1, los he tenido que transferir con el "Seize" pues no me dejaba con el "Transfer" supongo que todo por el mismo motivo, por la despromoción forzada del SERVIDOR1.

Ahora ya no me aparece ningún error en el Visor de sucesos y me deja crear usuarios y grupos de seguridad perfectamente en el Active Directory del SERVIDOR2.

¡¡¡Muchas gracias!!!
MensajePublicado:
Mie Feb 27, 2013 9:15 pm
Top of PageVer perfil de usuario
Mostrar mensajes de anteriores:   
Todas las horas son GMT - 1 Horas
Publicar nuevo tema Responder al tema
Foros de discusión » Windows 10, Windows 7, Windows Server 2010, W2008, W2003  

Cambiar a:  
Key
  Puede publicar nuevos temas en este foro
No puede responder a temas en este foro
No puede editar sus mensajes en este foro
No puede borrar sus mensajes en este foro
No puede votar en encuestas en este foro
Este sitio web NO CONTIENE malware, todos los programas con código fuente aquí. Autor: Alonso Javier Pérez Díaz Google+ Síguenos en Google+