Clonación de DC se produce un error y crea un controlador de dominio duplicado no se clona en Windows Server 2012

Seleccione idioma Seleccione idioma
Id. de artículo: 2742970
Expandir todo | Contraer todo

Síntomas

Tenga en cuenta la situación siguiente:
  • Utilice el controlador de dominio virtualizados, clonación de función en un equipo que ejecuta Windows Server 2012.
  • Utiliza el direccionamiento IP automático.
  • Intenta clonar un controlador de dominio (DC).
En este escenario, el controlador de dominio original no se clona y lo hará normalmente. Sin embargo, un segundo controlador de dominio se crea, es decir no un clon del DC de origen, pero es un duplicado exacto del controlador de dominio de origen. Aunque este segundo DC activamente atiende las solicitudes, no confiable replica los cambios de los servicios de dominio de Active Directory (AD DS), saliente o entrante, cuando dos controladores de dominio se ejecutan simultáneamente. Además, dos controladores de dominio permiten a los cambios locales de AD DS.

Causa

Este problema puede producirse por una de las siguientes razones:
  • El archivo DcCloneConfig.xml que ha creado durante la operación de clonación no es de una de las siguientes ubicaciones apropiadas:
    • El directorio de trabajo de DSA
    • %SystemRoot%\Ntds
    • Medios extraíbles lectura y escritura, en el nivel de unidad de raíz
  • El archivo DcCloneConfig.xml es de una de las ubicaciones adecuadas, pero reinicia el equipo de origen antes de ejecutar la operación de clonación. Esta acción provocó que el sistema para cambiar el nombre del archivo DcCloneConfig.xml con una marca de tiempo. El sistema tomó esta acción para evitar que la clonación accidental debido a que no se cambió el ID de la generación de la máquina virtual.

Solución

Para resolver este problema, siga estos pasos.

Notas
  • En estos pasos, se utilizan los siguientes términos y ejemplos:
    • DC1.corp.contoso.com: "controlador de dominio nuevo/existente": un controlador de dominio no duplicados que ya existe en el entorno o que se ha promovido como parte de este proceso de reparación
    • DC2.corp.contoso.com: "Controlador de dominio de origen Original": el controlador de dominio que se ha copiado para que el clon
    • DC2.corp.contoso.com ? "Duplicar el controlador de dominio": el controlador de dominio que supuestamente para se puede clonar desde el controlador de dominio original, pero que ahora es una copia idéntica
  • Debe ejecutar estos pasos desde un símbolo del sistema con privilegios elevados mientras haya iniciado la sesión como miembro del grupo Admins. Para simplificar la recuperación, todos los controladores de dominio apunta principalmente el mismo servidor DNS.
  • Antes de comenzar estos pasos, asegúrese que usted sepa (o establece) la contraseña de modo de reparación de servicios de directorio en el DC de origen original mediante el comando ntdsutil.exe junto con las opciones de establecer la contraseña de dsrm .
  1. En el DC de origen original, ejecute los siguientes comandos de ejemplo:
    Bcdedit.exe /set dsrepair safeboot

    Shutdown.exe /s /t 0
    Nota Estos comandos se apague el DC de origen original. El controlador de dominio, a continuación, se inicia en modo de reparación de DS. Esto garantiza que si el controlador de dominio se reinicia accidentalmente en cualquier momento antes de completar estos pasos, es necesario que reinicie el procedimiento desde el principio.
  2. Reiniciar normalmente el controlador de dominio duplicado mediante el comando de ejemplo siguiente:
    Shutdown.exe /r /t 0
  3. Pausar el servicio Netlogon en el controlador de dominio duplicado con el comando de ejemplo siguiente:
    SC.exe pausa netlogon
    Nota Este comando impide aún más la ubicación automática del controlador de dominio duplicado por usuarios y equipos.
  4. Deshabilitar localmente la replicación entrante de AD DS en el controlador de dominio duplicado mediante el comando de ejemplo siguiente:
    Repadmin.exe /options <duplicate dc="" name=""></duplicate> + DISABLE_INBOUND_REPL
    Por ejemplo, ejecute el comando siguiente:
    DC2.corp.contoso.com + DISABLE_INBOUND_REPL/Options de Repadmin.exe
    Nota Este comando impide que otros controladores de dominio se realiza al controlador de dominio duplicado más actualizaciones.
  5. Opcional: Si no tiene ya una tercera "existente DC" (es decir, si ha intentado clonar el controlador de dominio único que se encontraba en el dominio), debe promover un nuevo controlador de dominio correctamente en el mismo dominio de Active Directory y el sitio como el controlador de dominio duplicado. Si un controlador de dominio existente en este dominio no se ha duplicado, omita este paso.
  6. Si realiza el paso 5, asegúrese de que el controlador de dominio nuevo o existente tiene una asociación de replicación entrante desde el controlador de dominio duplicado. Si es necesario, utilice el comando de DsSites.msc o /addrepsto de repadmin.exe para crear una conexión manual. Compruebe que el controlador de dominio duplicado está configurado para replicar correctamente saliente con el controlador de dominio nuevo o existente localmente ejecutando el siguiente comando en el controlador de dominio duplicado:
    Repadmin.exe /showrepl<new dc="" name=""></new>
    Por ejemplo, ejecute el comando siguiente:
    Repadmin.exe /showrepl dc1.corp.contoso.com
    Importante El controlador de dominio nuevo o existente debe tener una conexión de replicación entrante desde el controlador de dominio duplicado antes de pasar al siguiente paso.

    El argumento de /repsto también puede utilizarse para determinar las conexiones de replicación saliente desde el controlador de dominio duplicado dentro del mismo sitio, o para determinar si está configurada la notificación de cambios en los vínculos entre sitios.
  7. En el controlador de dominio duplicado, configure el Firewall de Windows con seguridad avanzada (o un servidor de seguridad de terceros) estableciendo las reglas de entrada para los siguientes puertos para bloque:
    • Puertos 138 y 445 (a través de TCP y UDP)
    • Puertos 389 y 636 (a través de TCP)
    Por ejemplo, ejecute los comandos siguientes:
    Netsh.exe advfirewall firewall Agregar nombre de la regla = "MSFT bloquear LDAP" protocolo = tcp dir = en PuertoLocal = acción 389 = bloquear

    Netsh.exe advfirewall firewall Agregar nombre de la regla = "MSFT bloquear LDAPS" protocol = tcp dir = en PuertoLocal = acción 636 = bloquear

    Netsh.exe advfirewall firewall Agregar nombre de la regla = "MSFT bloquear SMB" protocolo = tcp dir = en PuertoLocal = acción 445 = bloquear

    Netsh.exe advfirewall firewall Agregar nombre de la regla = "MSFT bloquear NB DG" protocol = tcp dir = en PuertoLocal = 138 acción = bloquear
    Nota Este paso impide que los usuarios que los originan más actualizaciones en el controlador de dominio duplicado a través de protocolos comunes de AD DS.
  8. Asegúrese de que todos los cambios pendientes replican desde el controlador de dominio duplicado en el controlador de dominio nuevo o existente. Para ello, utilice el comando siguiente en el controlador de dominio duplicado localmente para asegurarse que todos los cambios se han replicado saliente de los nombres de dominio, configuración de nombres de dominio y los contextos de nombres DNS.

    Nota El GUID de DSA que muestra el comando repadmin, en el paso 6 es necesario en estos comandos.
    Repadmin.exe /showchanges <new xisting="" dc="" name=""> <Duplicate dc="" dsa="" guid=""> <naming context="">/statistics</naming> </Duplicate> </new>
    Por ejemplo, ejecute los comandos siguientes:
    Repadmin.exe /showchanges dc1.corp.contoso.com5d083398-4bd3-48a4-a80d-fb2ebafb984f dc = corp, dc = contoso, dc = com

    Repadmin.exe /showchanges dc1.corp.contoso.com5d083398-4bd3-48a4-a80d-fb2ebafb984fcn = configuración, dc = corp, dc = contoso, dc = com

    Repadmin.exe /showchanges dc1.corp.contoso.com5d083398-4bd3-48a4-a80d-fb2ebafb984fdc = domaindnszones, dc = corp, dc = contoso, dc = com

    Repadmin.exe /showchanges dc1.corp.contoso.com5d083398-4bd3-48a4-a80d-fb2ebafb984fdc = forestdnszones, dc = corp, dc = contoso, dc = com
    Nota Una vez sincronizados toda la replicación, el valor de las estadísticas para los campos de todos los objetos y atributos será "0" (cero). Si quita el argumento /statistics, puede ver los objetos específicos y atributos pendientes de duplicación.
  9. Utilizar el complemento consola de administración de directivas de grupo (Gpmc.msc) en Windows Server 2012 GPMC.msc para asegurarse de que todos los cambios SYSVOL se han replicado desde el controlador de dominio duplicado al socio DC nuevo o existente. Para ello, haga clic en el Estado en el complemento y, a continuación, examinar su contenido.

    Notas
    • Establecer el controlador de dominio duplicado como línea de base.
    • Si todos los servidores ejecutan una instalación Server Core, utilizar GPMC desde un cliente de Windows 8 que tiene Microsoft remoto administración herramientas servidor (RSAT) instalado.
    • Si los servidores están fuera de sincronización, asegúrese de que antes de continuar con el siguiente paso que se replican las actualizaciones que faltan de otro DC. En este caso, las actualizaciones sería los cambios de directiva de grupo que se realizaron después de la replicación entrante se ha deshabilitado en este servidor en el paso 4.
  10. Impedir que el controlador de dominio duplicado nunca iniciar de nuevo como un duplicado. Para ello, se cierre correctamente el controlador de dominio duplicado, copia de seguridad de sus discos por motivos de seguridad y, a continuación, descartar la máquina virtual y sus discos.
  11. Asegúrese de que ha replicado todas las actualizaciones de controlador de dominio duplicadas que son salientes a otros controladores de dominio en el controlador de dominio nuevo o existente.

    Nota Esta acción garantiza que el delta de cambios que se crearon en el controlador de dominio duplicado para siempre no se pierdan al bosque.
  12. Opcional: Si ha creado un nuevo controlador de dominio en el paso 5, degradar correctamente el controlador de dominio.
  13. Inicie el DC de origen original e iniciar sesión con la cuenta de administrador DSRM.
  14. Ejecute los siguientes comandos:
    Bcdedit.exe/DeleteValue safeboot

    Shutdown.exe /r /t 0
    Nota Estos comandos quitar la marca de inicio DSRM automática para todos los reinicios posteriores.
  15. Habilitar localmente replicación entrante de AD DS en el DC de origen original con el comando de ejemplo siguiente:
    Repadmin.exe /options <duplicate dc="" name="">-DISABLE_INBOUND_REPL</duplicate>
    Por ejemplo, utilice el comando siguiente:
    Repadmin.exe /options DC2.corp.contoso.com-DISABLE_INBOUND_REPL
  16. Asegúrese de que los nuevos objetos que se crean en el entorno (a y desde el controlador de dominio de origen original) se replican en cualquier otro controlador de dominio existente.

Más información

Cuando se clona un controlador de dominio, virtualizar el controlador de dominio implementa medidas de seguridad mediante la creación de un nuevo identificador de invocación y, a continuación, invalidar el grupo de RID local. Esto permite que el controlador de dominio duplicado seguir duplicando entrantes y crear nuevos principales de seguridad. Sin embargo, otros metadatos de servidor duplicado impide la replicación de AD DS y SYSVOL saliente funcionen junto con otros controladores de dominio que están actualmente en el entorno. Sólo un DC de nuevo que no tiene ninguna asociación anterior con el controlador de dominio duplicado puede permitir la replicación entrante desde el controlador de dominio duplicado.

Los pasos descritos en la sección "Resolución" Asegúrese de que ningún delta de cambios se perderán definitivamente. Esta pérdida se produce si se desactiva el controlador de dominio duplicado y luego abandonarla. Si inicia el controlador de dominio duplicado y observará inmediatamente que es un duplicado, tiene la opción para desactivar el controlador de dominio duplicado y descartarlo sin realizar los pasos de este artículo. Sin embargo, tenga en cuenta que los cambios que se realizan en el controlador de dominio duplicado (por ejemplo, de reciente creación de objetos, los cambios de contraseña o modificación de pertenencia a grupo) se perderán permanentemente.

El potencial para la duplicación de controlador de dominio ha existido el principio en Windows 2000. Sin embargo, Windows Server 2012 VCC hace más probable que ocurra lo que era en versiones anteriores de sistemas operativos de duplicación de DC. Estos pasos son aplicables incluso si no se clonar un controlador de dominio pero, en su lugar, intente recuperar desde un DC duplicado (virtual o físico) que se creó mediante la clonación de disco.

Se recomienda que todos los dominios tienen más de un controlador de dominio.

Directorio de trabajo DSA está definido por el siguiente valor REG_SZ del registro:
HKEY_Local_Machine\System\CurrentControlSet\Services\NTDS\Parameters Directorio de trabajo de DSA

Referencias

Para descargar remoto servidor administración herramientas para Windows 8, visite el siguiente sitio Web de centro de descarga de Microsoft:
http://www.Microsoft.com/en-us/download/details.aspx?ID=28972
Para obtener más información acerca de cómo restablecer la contraseña DSRM, haga clic en el número de artículo siguiente para ir al artículo de Microsoft Knowledge Base:
322672 Cómo restablecer la contraseña de cuenta de administrador modo de la restauración de servicios de directorio en Windows Server 2003
Para obtener más información acerca de cómo configurar y solucionar problemas de controlador de dominio virtualizados, visite los siguientes temas de Microsoft TechNet:
Introducción a la virtualización de dominio de Active Directory (AD DS) de servicios (nivel 100)

Referencia virtualizado dominio controlador técnica (nivel 300)

Propiedades

Id. de artículo: 2742970 - Última revisión: viernes, 14 de septiembre de 2012 - Versión: 1.0
Palabras clave: 
kbmt KB2742970 KbMtes
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.
Haga clic aquí para ver el artículo original (en inglés): 2742970

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com