El Blog de Gualtrysoft

Windows 2000/2003/2008, Active Directory, VBScript, Hyper-V, PowerShell y todo aquello interesante a la hora de usar, configurar y administrar Windows Server. También tenemos longanizas…

Unir Una Máquina Al Dominio Cuando Se Produce “Error joining domain ‘the specified user already exists'” (El Usuario Especificado Ya Existe)

Posted by urpiano en Miércoles 17 \17\UTC diciembre \17\UTC 2008

Debido a unos problemas que tuvimos con la red el otro día, un servidor que estaba promocionando a controlador de dominio lo hizo mal. Aparentemente promocionó bien, pues no se mostró ningún error ni al promocionarlo ni al reiniciarlo, pero realmente estaba mal promocionado, pues no era capaz de replicar con ningún otro controlador de dominio, no actualizaba directivas de grupo, etc. Era pues necesario despromocionarle, cosa para la que contínuamente daba errores, no pudiendose hacer (la red ya no tenía esos problemas). Por ello se forzó la despromoción (/forceremoval), lo cual sacó al equipo del dominio. A pesar de limpiar los metadatos (ntdsutil), toda referencia al equipo que hubiera en el DNS (CNAME y A) y forzar la replicación desde el controlador de dominio donde se operaron los cambios, a la hora de volverlo a unir al dominio se producía el error:

Error al unir al dominio:
El usuario especificado ya existe

El motivo de esto es que el dominio tiene multitud de sitios y no acababa de replicar totalmente (debido a algún problema en algún enlace, o al desplazamiento de la replicación o a lo que sea que fuere). Como quieres hacer las cosas en el momento y no esperar al día siguiente a que se haya completado la replicación en todo el dominio, necesitas limpiar toda referencia al equipo en un controlador de dominio y controlar que sea ese controlador de dominio el que se utilice para unir el equipo al dominio, de manera que no encuentre referencias “fantasmas”. Esto lo consigues con la utilidad del kit de recursos de Windows Server 2003 netdom. A continuación explico todo el proceso paso a paso.


Lo primero es despromocionar el equipo “a lo bestia”:

dcpromo /forceremoval

De esta manera el equipo deja de ser controlador de dominio (y como he dicho antes, miembro del dominio). Una vez hecha esta despromoción, hay que limpiar los metadatos del equipo en Active Directory. Para ello abrimos una ventana de comandos y ejecutamos (vamos a suponer que el dominio es tia.org, el controlador de dominio al que nos conectamos el mortadelo, el controlador de dominio a borrar es bestiajez y que el sitio en el que está es oficinas):

ntdsutil
ntdsutil: metadata cleanup
metadata cleanup: connections
server connections: connect to server mortadelo.tia.org
Enlazando a mortadelo.tia.org ...
Conectado a mortadelo.tia.org utilizando credenciales de usuario conectado localmente.
server connections: quit
metadata cleanup: select operation target
select operation target: list domains
Se han encontrado 1 dominios
0 - DC=tia,DC=org
select operation target: select domain 0
No hay sitio actual
Dominio: DC=acs-syc,DC=local
No hay servidor actual
No hay contexto de nombres actual
select operation target: list sites
Se han encontrado 6 sitios
0 - CN=Oficinas,CN=Sites,CN=Configuration,DC=tia,DC=org
1 - CN=Parque Movil,CN=Sites,CN=Configuration,DC=tia,DC=org
2 - CN=Laboratorios,CN=Sites,CN=Configuration,DC=tia,DC=org
3 - CN=Turulandia,CN=Sites,CN=Configuration,DC=tia,DC=org
4 - CN=Bar Tolo,CN=Sites,CN=Configuration,DC=tia,DC=org
5 - CN=Bar Becho,CN=Sites,CN=Configuration,DC=tia,DC=org
select operation target: select site 0
Sitio: CN=Oficinas,CN=Sites,CN=Configuration,DC=tia,DC=org
Dominio: DC=tia,DC=org
No hay servidor actual
No hay contexto de nombres actual
select operation target: list servers in site
Se han encontrado 4 servidores
0 - CN=Vicente,CN=Servers,CN=Oficinas,CN=Sites,CN=Configuration,DC=tiac,DC=org
1 - CN=Mortadelo,CN=Servers,CN=Oficinas,CN=Sites,CN=Configuration,DC=tia,DC=org
2 - CN=Filemon,CN=Servers,CN=Oficinas,CN=Sites,CN=Configuration,DC=tia,DC=org
3 - CN=Bestiajez,CN=Servers,CN=Oficinas,CN=Sites,CN=Configuration,DC=tia,DC=org
select operation target: select server 3
Sitio: CN=Oficinas,CN=Sites,CN=Configuration,DC=tia,DC=org
Dominio: DC=tia,DC=org
Servidor: CN=Bestiajez,CN=Servers,CN=Oficinas,CN=Sites,CN=Configuration,DC=tia,D
C=org
        Objeto DSA: CN=NTDS Settings,CN=Bestiajez,CN=Servers,CN=Oficinas,CN=Sites,CN
=Configuration,DC=tia,DC=org
        Nombre de host DNS: Bestiajez.tia.org



        Objetos de equipo: CN=Bestiajez,OU=Domain Controllers,DC=tia,DC=org
No hay contexto de nombres actual
select operation target: quit
metadata cleanup: remove selected server

Una vez termina este proceso queda eliminada toda referencia al equipo en Active Directory. Ahora hay que eliminar los registros CNAME, SRV y A del equipo en el DNS. Encontraremos estas referencias en _tcp.Oficinas._sites._dc._msdtc.tia.org, _tcp.Oficinas._sites._gc._msdtc.tia.org, en tia.org, en _tcp.Oficinas._sites.tia.org y en .

Hecho esto, ya podemos lanzar la unión del equipo al dominio. Utilizamos netdom, de las Support Tools, dado que nos permite especificar el controlador de dominio en el que se creará la cuenta de del equipo a unir. De esta manera especificaremos el controlador de dominio del que borramos los datos del equipo. Este comando se lanza de la siguiente manera:

netdom join <nombre de equipo> /domain:<nombre dominio>\<controlador de dominio>
/userd:<usuario de dominio que une la máquina>
/passwordd:<contraseña del usuario que une la máquina>
/usero:<administrador local del equipo>
/passwordo:<contraseña del administrador local del equipo>
/OU:<nombre distinguido del contenedor en el que se crea el objeto>
/REBoot

Siguiendo con nuestro ejemplo, ejecutaríamos:

netdom join bestiajez /domain:TIA\administrador /userd:tia\mortadelo
/passwordd:"Ofelia Foca" /usero:bestiajez\administrador /passwordo:"Vicente burro" /REBoot

Este comando se lanza desde un equipo que tenga las Support Tools instaladas. Se puede lanzar desde el equipo a unir, como administrador local del mismo, y en este caso se omite usero y passwordo:

netdom join bestiajez /domain:TIA\mortadelo /userd:tia\administrador
/passwordd:"Ofelia Foca" /REBoot

4 comentarios to “Unir Una Máquina Al Dominio Cuando Se Produce “Error joining domain ‘the specified user already exists'” (El Usuario Especificado Ya Existe)”

  1. Roger Tranchez said

    Hombre, muchas muchísimas gracias por el artículo, nos ha salvado de una buena !

    En mi empresa tenemos un soporte informático que lleva una empresa pequeña, y para según que cuestiones no llegan. Incluso un técnico de Microsoft no podía con ello.

    El caso es que teníamos problemas con uno de los servidores que no sincronizaba bien el active directory, y se optó por despromocionarlo. Se tuvo que hacer de manera forzada, y luego como se decía en el artículo, seguía dando el error. Menos mal que el netdom funcionó, porque ya estaban de vuelta de la comida los usuarios, ya sabéis…

    p.d.: soy programador, pero por culpa de la crisis estoy de vuelta en el “fantástico” mundo de los sistemas de nuevo, o séa que gracias de nuevo por sacarme de uno de los mil marrones en los que por desgracia me seguiré encontrando…

  2. Darhac said

    Muchas gracias por la ayuda .. saludos.

  3. alexrainman said

    Thanks a lot. Good trixx.

  4. Diego Hoyos said

    muchas gracias por el articulo me sirvió bastante

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

 
A %d blogueros les gusta esto: