El intervalo desde la última replicación con este servidor ha superado el período de vida de objetos de deshecho

[josereginog...@gmail.com]

Buenas tardes a todos y gracias por vuestra ayuda de antemano.

Os comento el problema que nos acaba de surgir y no sabemos
exactamente como solucionarlo:

*********************************************************************************************************************************
En junio del año pasado creamos una vpn entre 2 redes con WS03 que
actúan como DC (uno de ellos para dar soporte a una nueva oficina en
otra ciudad). Tras hacer las pruebas oportunas y comprobar que todo
funcionaba correctamente, apagamos el equipo ya que no era inminente
su entrada en producción.

Esta semana cual ha sido nuestra sorpresa cuando lo hemos encendido de
nuevo y hemos comprobado que no se actualizaba la información del
Directorio Activo ya que la replicación no se lleva a cabo.

--Salida parcial de la información mostrada por dcdiag.exe:--
"
The replication generated an error (8614):
Active Directory no puede hacer réplicas con el servidor
porque el intervalo desde la última replicación con este servidor ha
superado el período de vida de objetos de desecho.
The failure occurred at 2008-05-06 11:48:02.
The last success occurred at 2007-07-12 02:56:37.
2395 failures have occurred since the last success.
....
WARNING: This latency is over the Tombstone Lifetime of 60 days!
"
--Nota: el resto de las pruebas parecen correctas--

*********************************************************************************************************************************

Tras realizar algunas lecturas creo haber encontrado varias soluciones
pero no se cuan de eficaces o correctas pueden llegar a ser. A
continuación las enumero:

* Degradar y luego promocionar el DC

* Añadir entrada al registro HKEY_LOCAL_MACHINE\SYSTEM
\CurrentControlSet\Services\NTDS\Parameters añadiendo Allow
Replication With Divergent and Corrupt Partner

*Cambiar el Tombstone life a 360 dias por ejemplo xa que de esa manera
no hubiera excedio su lifetime y pudiera realizar de nuevo la
replicacion?

* -un dcpromo eliminando el DC
-borrar las referencias al mismo con el ADSIEdit
-y volver a promocionar el server a DC.

¿Alguien tuvo el mismo problema y fue capaz de solucionarlo?

Cualquier tipo de aclaración que me puedan dar será bien recibida ya
que no tenemos una gran experiencia.

Muchas gracias a todos.

[Javier Inglés [MS MVP]]

Hombre, tener sin replicar un DC más de 60 días no es precisamente algo
"normal" socio; como te dice el mensaje, es el tiempo máximo que se permite
por defecto que un DC esté sin replicar con otro; a partir de ese momento,
tendrás que reinstalar el DC que estaba apagado, y en el DC actual usar el
procedimiento de ntdsutil para eliminar el rastro dejado del anterior:

How to remove completely orphaned Domain Controller

http://support.microsoft.com/default.aspx?scid=kb;en-us;555846&sd=rss&spid=3198

HOW TO: Remove Data in Active Directory After an Unsuccessful Domain
Controller Demotion

http://support.microsoft.com/default.aspx?scid=kb;en-us;216498&Product=win2000

--
Salu2!!
Javier Inglés
https://mvp.support.microsoft.com/profile=540CC20A-D91F-4E7B-A209-2CB5567431B0
MS MVP, Windows Server-Directory Services

jin...@NOSPAMmvps.org

<josereginog...@gmail.com> escribió en el mensaje
news:d70ce45d-418c-4eca...@d77g2000hsb.googlegroups.com...

[josereginog...@gmail.com]

Hola Javier,

ya supongo que no es "normal" tener un servidor sin replicar mas de
60 días, pero tu debes saber mejor que nadie que en una implantación
pueden surgir imprevistos hasta de debajo las piedras, y este problema
nos ha surgido porque cuando quisimos entrar en producción a mediado
del verano no nos dieron el ok y el proyecto quedó aparcado hasta
ahora mismo que lo hemos retomado.

¿Que te parece la opción de añadir la entrada al registro?
Como indiqué en el post no tenemos demasiada experiencia en estos
temas y esta opción si funcionara creo que sería la más simple ya que
ya tenemos un par de equipos en producción y "no podemos" pararlos
para reinstalar el DC que estaba apagado.

Si aumentara el Lifetime del Tombstone, me imagino que no funcionaría
ni de cachondeo´, ¿no? (no creo que exista ese fallo)

Gracias y un saludo

On 6 mayo, 18:42, "Javier Inglés [MS MVP]" <jing...@NOSPAMmvps.org>
wrote:

> Hombre, tener sin replicar un DC más de 60 días no es precisamente algo
> "normal" socio; como te dice el mensaje, es el tiempo máximo que se permite
> por defecto que un DC esté sin replicar con otro; a partir de ese momento,
> tendrás que reinstalar el DC que estaba apagado, y en el DC actual usar el
> procedimiento de ntdsutil para eliminar el rastro dejado del anterior:
>

Un saludo

[Javier Inglés [MS MVP]]

Socio, 60 días parada una réplica, por mucho problema que haya, es una
locura; yo, personalmnete, me gusta partir de entorno un poco limpio, y
prefiero usar el ntdsutil y poner el otro DC de nuevo limpio que no otra
cosa; el parámetro que dices no lo heusado nunca, pero la posibilidad de que
un AD no quede coo deba a mí me daría que pensar teniendo la otra opción que
es la más "sana"

--
Salu2!!
Javier Inglés
https://mvp.support.microsoft.com/profile=540CC20A-D91F-4E7B-A209-2CB5567431B0
MS MVP, Windows Server-Directory Services

jin...@NOSPAMmvps.org

<josereginog...@gmail.com> escribió en el mensaje

news:22aba53c-688e-4838...@26g2000hsk.googlegroups.com...

[Antonio Soto]

Hola Jose,

Con el permiso de Javier.

Yo si he tenido que utilizar esa clave en algún cliente, y aunque está
documentada
(http://technet2.microsoft.com/WindowsServer/en/library/34c15446-b47f-4d51-8e4a-c14527060f901033.mspx?mfr=true
) al final, he tenido que hacer limpieza como sugiere Javier, porque
salíamos de un problema y nos metíamos en otro. Imagino que puedes probarlo
a ver si tienes suerte, pero coincido con JAvier en que lo mejor es empezar
sin parches de este tipo

Saludos!

Antonio Soto

<josereginog...@gmail.com> escribió en el mensaje de noticias
news:22aba53c-688e-4838...@26g2000hsk.googlegroups.com...

[podboq]

"Javier Inglés [MS MVP]" <jin...@NOSPAMmvps.org> escribió en el mensaje
news:uaMJlH6r...@TK2MSFTNGP06.phx.gbl...

> Socio, 60 días parada una réplica, por mucho problema que haya, es una
> locura;

Tengo entendido que si se instala desde 0 con el SP1 por defecto son 90
días.

> yo, personalmnete, me gusta partir de entorno un poco limpio, y prefiero
> usar el ntdsutil y poner el otro DC de nuevo limpio

Y después de eliminar el servidor del dominio cuál es el siquiente paso con
ese servidor, es decir volver a unirlo al dominio como DC?

Yo no consigo despromocionarlo y no quisiera "limpiar totalmente". Imagino
además que para curarse en salud es aconsejable que el nuevo servidor tenga
un nombre distiento al que tenía ¿no?

salu2.

[Javier Inglés [MS MVP]]

No, son 180 días pero si el primer DC del bosque es SP1

Determine the tombstone lifetime for the forest
http://technet2.microsoft.com/windowsserver/en/library/f3df8a52-81ea-4a1d-9823-4e51fbd3422a1033.mspx?mfr=true

El proceso a llevar a cabo es:

1.-Formateas el DC "malo" sin replicar; yo lo de hacer un dcpromo
/forceremoval por ahorrarme tiempo no me gusta, prefiero un entorno limpito
y que luego no me de problemas por perder algo más de tiempo

2.-En el otro DC haces lo del ntdsutil

3.-Promocionas de nuevo el otro DC, el nombre e IP pueden ser perfectamente
el mismo

--
Salu2!!
Javier Inglés
https://mvp.support.microsoft.com/profile=540CC20A-D91F-4E7B-A209-2CB5567431B0
MS MVP, Windows Server-Directory Services

jin...@NOSPAMmvps.org

"podboq" <podb...@tengo.com> escribió en el mensaje
news:ORCG0rFs...@TK2MSFTNGP06.phx.gbl...

[podboq]

"Javier Inglés [MS MVP]" <jin...@NOSPAMmvps.org> escribió en el mensaje

news:ud1E0zFs...@TK2MSFTNGP05.phx.gbl...

> No, son 180 días pero si el primer DC del bosque es SP1
>
> Determine the tombstone lifetime for the forest
> http://technet2.microsoft.com/windowsserver/en/library/f3df8a52-81ea-4a1d-9823-4e51fbd3422a1033.mspx?mfr=true

Razón tienes.

> El proceso a llevar a cabo es:
>
> 1.-Formateas el DC "malo" sin replicar; yo lo de hacer un dcpromo
> /forceremoval por ahorrarme tiempo no me gusta, prefiero un entorno
> limpito y que luego no me de problemas por perder algo más de tiempo

Este paso no quería hacerlo por las aplicaciones instaladas en el servidor.
Cierto es que si se parte de cero el instalarlas es cuestión de horas y si
se aplica el otro método puede llevar días. Qué remedio!!

> 2.-En el otro DC haces lo del ntdsutil

Eliminado el DC conflictivo.

> 3.-Promocionas de nuevo el otro DC,

Esto se hará ...

> el nombre e IP pueden ser perfectamente el mismo

Sobre este tema una pequeña duda, tengo un 2000 (BDC), un 2003 (PDC) y otro
con 2003 (BDC) <- este es el que me trae de cabeza. Los tres van con DNS,
los dos primeros están dentro de la misma lan y el último está a cienes de
kilómetros y existen varios cortafuegos que son los que me han provocado el
desliz.
El caso es que ahora para resolver el problema están los tres en el mismo
sitio y con ip's a.b.c.1, 2 y 3, pero en cuento esté todo en "su sitio" el
tercero va a tener otra ip totalmente distinta (pongamos x.y.z.4) pero
enrutado correctamente. Mi pregunta, en cuento lo tenga en su lugar el
cambio de la ip como afectará a todo el conjunto de servidores y DNS (cómo
deben estar configurados, en estrella?) y sobre todo que puertos deben
abrirse en los firewalls para que la replicación sea correcta?

Desde ya muchas gracias

salu2.

[Javier Inglés [MS MVP]]

Puedes hacer 2 cosas, montas una VLAN en la sede o un router simplemente y
configuras ya desde allí este DC con las IPs del sitio remoto y haces lo que
necesites (así simplemente es llevarlo al otro sitio, pinchar y listo); o si
no, lo instalas y configuras todo en la sede central, y luego cuando esté en
el remoto, le cambias las IPs al DC y le mueves a su Site correspondiente;
después del cambio de IP, debes hacer un:

ipconfig /registerdns y reiniciar el servicio de netlogon (el servicio, no
el servidor, no sirve si no); después verificar que esté correcto y listo

--
Salu2!!
Javier Inglés
https://mvp.support.microsoft.com/profile=540CC20A-D91F-4E7B-A209-2CB5567431B0
MS MVP, Windows Server-Directory Services

jin...@NOSPAMmvps.org

"podboq" <podb...@tengo.com> escribió en el mensaje
news:u%23$b0uGsI...@TK2MSFTNGP04.phx.gbl...

[podboq]

"Javier Inglés [MS MVP]" <jin...@NOSPAMmvps.org> escribió en el mensaje

news:uoM7oVOs...@TK2MSFTNGP03.phx.gbl...

> Puedes hacer 2 cosas, montas una VLAN en la sede o un router simplemente y
> configuras ya desde allí este DC con las IPs del sitio remoto y haces lo
> que necesites (así simplemente es llevarlo al otro sitio, pinchar y
> listo); o si no, lo instalas y configuras todo en la sede central, y luego
> cuando esté en el remoto, le cambias las IPs al DC y le mueves a su Site
> correspondiente; después del cambio de IP, debes hacer un:
>
> ipconfig /registerdns y reiniciar el servicio de netlogon (el servicio, no
> el servidor, no sirve si no); después verificar que esté correcto y listo

La primera opción no se me había ocurrido, pero la tendré en cuenta.
En cuanto a la segunda, cómo lo muevo a su Site?

salu2.

[Javier Inglés [MS MVP]]

En la consola de administración de Sitios y Servicios lo mueves del sitio
por defecto o en el que esté a su Site correspondiente

--
Salu2!!
Javier Inglés
https://mvp.support.microsoft.com/profile=540CC20A-D91F-4E7B-A209-2CB5567431B0
MS MVP, Windows Server-Directory Services

jin...@NOSPAMmvps.org

"podboq" <podb...@tengo.com> escribió en el mensaje
news:uGPkxpes...@TK2MSFTNGP05.phx.gbl...

[podboq]

"Javier Inglés [MS MVP]" <jin...@NOSPAMmvps.org> escribió en el mensaje

news:eaX5Jt$sIHA...@TK2MSFTNGP03.phx.gbl...

> En la consola de administración de Sitios y Servicios lo mueves del sitio
> por defecto o en el que esté a su Site correspondiente
>
> --
> Salu2!!
> Javier Inglés

Perfecto, muchas gracias

salu2.