lunes, 25 de agosto de 2008

Correguir error en la compartición SYSVOL

Este documento hay que hacerlo cuando el sysvol no se comparte automáticamente en un servidor.

Sólo ocurre este error en redes con al menos dos servidores, por lo que pone en la documentación no ocurre nunca en una instalación con un único servidor. Tiene sentido porque este fallo se da cuando se tratan de replicar los permisos entre el servidor padre (PDC) y el resto de servidores (ya sea uno o más servidores secundarios BDC, aunque Microsoft dijo que a partir del 2003 dejaban de existir XD dichas definiciones)


http://support.microsoft.com/kb/315457


(Los pasos reales son todos estos, no hace falta copiar todo el documento ya que cierta parte es documentación, eso si, vale la pena leérselo todo, sino vas un poco perdido, bueno, que narices, yo fui perdido todo el documento, son la ostia de pasos.)

Cómo volver a generar el árbol de SYSVOL y su contenido en un dominio (sysvol is not shared)

Lista detallada de pasos
A continuación se detallan los pasos que se llevan a cabo en reinicio de una rama o el centro:
1.
En todos los controladores de dominio del dominio, detenga el FRS y, a continuación, establezca el valor de tipo de inicio de servicio para FRS en manual.
2.
En un controlador de dominio único, configure el conjunto de réplicas de SYSVOL como autorizado. Este controlador de dominio de referencia contendrá la copia autorizada del árbol de SYSVOL para todos los demás miembros del conjunto de réplicas. Por ejemplo, otros controladores de dominio del dominio se replicarán directa o transitivamente desde este controlador de dominio de referencia. Elija el controlador de dominio de referencia en función de la conectividad y los recursos físicos del servidor. Este controlador de dominio se conocerá como el "controlador de dominio de referencia" en los pasos siguientes. Para configurar el conjunto de réplicas de SYSVOL como autorizado, siga estos pasos:
a.
Haga clic en Inicio, en Ejecutar, escriba regedit y, a continuación, haga clic en Aceptar.
b.
Busque la entrada BurFlags, bajo la subclave del Registro siguiente, y haga clic en ella:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\Cumulative Replica Sets\GUID
GUID es el GUID del conjunto de réplicas del volumen de sistema del dominio que aparece en la siguiente subclave del Registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\Replica Sets\GUID
c.
En el menú Edición, seleccione Modificar.
d.
Escriba D4 como nombre del valor DWORD y, a continuación, presione ENTRAR.
3.
En todos los controladores de dominio del dominio, compruebe que la estructura de archivos y los puntos de unión son correctos. Para ello, siga estos pasos:
a.
Compruebe que las carpetas siguientes existen en el árbol de SYSVOL:
\SYSVOL\SYSVOL\domain\SYSVOL\staging\domain\SYSVOL\staging areas\SYSVOL\domain\Policies\SYSVOL\domain\scripts\SYSVOL\SYSVOL
b.
Compruebe que existen los siguientes puntos de análisis:
\SYSVOL\SYSVOLNombre de dominio DNSEste punto de análisis se debe vincular a la carpeta \SYSVOL\domain. \SYSVOL\staging\Nombre de dominio DNSEste punto de análisis se debe vincular a la carpeta \SYSVOL\staging\domain.
La ruta de acceso predeterminada para el árbol de SYSVOL está bajo la carpeta \WINDOWS o \WINNT en la partición donde esté instalado el sistema operativo. Sin embargo, el árbol de SYSVOL se puede instalar en cualquier partición que tenga formato del sistema de archivos NTFS. Compruebe que cada controlador de dominio del dominio tiene todas las carpetas requeridas y que existen los puntos de análisis. Vuelva a crear cualquier carpeta que falte según corresponda. No utilice el Explorador de Windows para mover o copiar el contenido del árbol de SYSVOL, o se pueden dañar los puntos de análisis.
El árbol de SYSVOL contiene puntos de análisis para otras carpetas del árbol de SYSVOL. Estos puntos de análisis están en el sistema de archivos NTFS. Considere un punto de análisis como una carpeta de origen que se asigna o señala a una carpeta de destino cuando se tiene acceso a la carpeta de origen. El contenido de las carpetas de análisis aparece como imágenes reflejadas. Los dos puntos de análisis siguientes para un árbol de SYSVOL se instalan en la carpeta C:\WINNT\SYSVOL:

C:\WINNT\SYSVOL\SYSVOL\Nombre de dominio DNS. Este punto de análisis se vincula a la carpeta C:\WINNT\SYSVOL\domain.

C:\WINNT\SYSVOL\staging areas\Nombre de dominio DNSEste punto de análisis se vincula a carpeta C:\WINNT\SYSVOL\staging\domain.
En cada controlador de dominio del dominio, siga estos pasos:
1.
Haga clic en Inicio y en Ejecutar, escriba cmd y haga clic en Aceptar.
2.
Escriba ntfrsutl ds findstr /i "root stage" y, a continuación, presione ENTRAR. El comando NTFRSUTIL devuelve el directorio raíz actual para el conjunto de réplicas de SYSVOL al que se hace referencia como "raíz del conjunto de réplicas" y la carpeta de ensayo. Por ejemplo, este comando devuelve:
Root: C:\WINNT\SYSVOL\domainStage: C:\WINNT\SYSVOL\staging\domain
3.
Escriba Linkd %systemroot%\SYSVOL\SYSVOL\ Nombre de dominio DNS y, a continuación, presione ENTRAR. El comando LINKD devuelve lo siguiente:
El Nombre de dominio DNS de origen está vinculado a %systemroot%\SYSVOL\domain
4.
Escriba linkd “%systemroot%\SYSVOL\staging areas\Nombre de dominio DNS" y, a continuación, presione ENTRAR. Este comando devuelve lo siguiente:
El Nombre de dominio DNS de origen está vinculado a %systemroot%\SYSVOL\Staging\domain
Nota: la ruta de acceso que indica el comando LINKD varía, dependiendo de la ubicación de la carpeta SYSVOL\SYSVOL\Nombre de dominio DNS. Si la carpeta de SYSVOL está en la ubicación predeterminada, en la carpeta %systemroot%\SYSVOL, utilice los comandos que se muestran. De otro modo, escriba la ruta de acceso real de las carpetas de SYSVOL. Por ejemplo, si los comandos NTFRSUTL y LINKD se ejecutan en un controlador de dominio en el dominio contoso.com y la carpeta de SYSVOL está en la carpeta C:\Windows\SYSVOL, la sintaxis del comando y los resultados para las carpetas SYSVOL y Staging aparecerán de forma similar a lo siguiente: C:\>ntfrsutl ds findstr /i "root stage" Root: C:\windows\sysvol\domain Stage: C:\windows\sysvol\staging\domain C:\>Linkd %systemroot%\SYSVOL\SYSVOL\Contoso.com Source domain.com is linked to C:\WINDOWS\SYSVOL\domain C:\>linkd “%systemroot%\SYSVOL\staging areas>\Contoso.com Source domain.com is linked to C:\WINDOWS\SYSVOL\staging\domain
Para volver a crear los puntos de unión si el comando LINKD informa de que hay puntos de unión no válidos o que faltan puntos de unión, siga estos pasos:
1.
Escriba linkd C:\WINNT\SYSVOL\sysvol\nombreDeDominioDNS Origen, donde Origen es la ruta de acceso raíz determinada mediante el comando NTFRSUTL.
2.
Escriba C:\linkd C:\WINNT\SYSVOL\staging areas\nombreDeDominioDNS Origen, donde Origen es la ruta de acceso de ensayo determinada mediante el comando NTFRSUTL.
Para obtener información adicional acerca de cómo crear puntos de unión, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
205524 (http://support.microsoft.com/kb/205524/) Cómo crear y manipular puntos de unión de NTFS
5.
En todos los controladores de dominio del dominio, compruebe que hay disponible suficiente espacio de ensayo. La proporción del tamaño del área de ensaño con respecto al tamaño del conjunto de datos depende en diversos factores. Para obtener más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
329491 (http://support.microsoft.com/kb/329491/) Configurar un espacio de área de ensayo correcto para conjuntos de duplicados
Para determinar el tamaño de la raíz del conjunto de réplicas, haga clic con el botón secundario del mouse (ratón) en la raíz del conjunto de réplicas que utiliza la carpeta Winnt\SYSVOL\domain en el Explorador de Windows y, a continuación, haga clic en Propiedades.Para ajustar el tamaño de la carpeta de ensayo, siga estos pasos:
a.
Haga clic en Inicio, en Ejecutar, escriba regedit y, a continuación, haga clic en Aceptar.
b.
Busque la siguiente subclave del Registro y haga clic en ella:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters
c.
Haga clic con el botón secundario del mouse en Staging Space Limit in KB y, a continuación, haga clic en Modificar.
d.
Haga clic decimal, escriba el tamaño de la carpeta de ensayo en Kilobytes y, a continuación, haga clic en Aceptar.
e.
Cierre el Editor del Registro.
6.
En el controlador de dominio de referencia, genere un conjunto de directivas y secuencias de comandos adecuado y, a continuación, póngalos en una carpeta temporal fuera de las carpetas de conjunto de réplicas de SYSVOL en el controlador de dominio de referencia de FRS.Para finalizar este paso, examine Active Directory para determinar las directivas de grupo que todavía se utilizan y que contenga los datos huérfanos. La información de la directiva se encuentra en el contenedor Directivas de grupo. Para ver este contenedor, siga estos pasos:
a.
Inicie Usuarios y equipos de Active Directory.
b.
En el menú Ver, haga clic en Características avanzadas si aún no está seleccionado.
c.
Expanda el contenedor del dominio, expanda el contenedor Sistema y, a continuación, expanda el contenedor Directivas. En el panel derecho de Usuarios y equipos de Active Directory se muestran todos los objetos de directiva de grupo (GPO) de Active Directory. Debería haber una asignación unívoca entre los GPO válidos de Active Directory y las carpetas Directiva de grupo en el árbol de SYSVOL.

Si la carpeta de SYSVOL contiene un nombre de carpeta que tiene un GUID que no aparece en Active Directory, el sistema de archivos contiene un GPO huérfano y puede eliminar sin ningún riesgo la carpeta del sistema de archivos.

Si Active Directory contiene un GUID de directiva de grupo que no está asignado a un GUID de la carpeta SYSVOL\domain\policies de ningún controlador de dominio del dominio, puede eliminar sin ningún riesgo esa configuración de directiva de Active Directory.
Nota: si algún controlador de dominio que participe en el dominio tiene una versión más reciente de una directiva de grupo en su árbol de SYSVOL local, asegúrese de que se copia en una ubicación temporal en el controlador de dominio de referencia.
d.
En el controlador de dominio de referencia, elimine cualquier archivo o carpeta que esté en la raíz del conjunto de réplicas de FRS o en las carpetas de ensayo del conjunto de réplicas. En los conjuntos de réplicas de SYSVOL predeterminados, elimine los archivos y carpetas que se encuentren debajo de las dos carpetas siguientes:
C:\WINNT\SYSVOL\domain C:\WINNT\SYSVOL\staging\domain
Nota: No elimine las carpetas solas.
e.
En el controlador de dominio de referencia, reinicie el FRS y, a continuación, compruebe que existen los recursos compartidos de SYSVOL y NETLOGON.
f.
En el controlador de dominio de referencia, copie las directivas, las carpetas de secuencias de comandos y el contenido de las carpetas de la ubicación temporal que utilizó en el paso c a la carpeta raíz del conjunto de réplicas de FRS. En la carpeta de SYSVOL, la ubicación predeterminada para la raíz del conjunto de réplicas es la siguiente:
C:\WINNT\SYSVOL\domain
g.
En todos los controladores de dominio excepto en el de referencia, configure el FRS para que no esté autorizado. Para ello, siga estos pasos:
1.
Haga clic en Inicio, en Ejecutar, escriba regedit y, a continuación, haga clic en Aceptar.
2.
Busque la entrada BurFlags, bajo la subclave del Registro siguiente, y haga clic en ella:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\Cumulative Replica Sets\GUID
GUID es el GUID del conjunto de réplicas del volumen de sistema del dominio que aparece en la siguiente subclave del Registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\Replica Sets\GUID
3.
En el menú Edición, seleccione Nuevo y haga clic en Valor DWORD.
4.
Escriba D2 como nombre del valor DWORD y, a continuación, presione ENTRAR.
Nota: en los controladores de dominio que no participen en la replicación del Sistema de archivos distribuido (DFS), establezca el valor DWORD en D2 en la subclave del Registro siguiente para las modificaciones masivas:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\Backup/Restore\Process atStartup\BurFlags
h.
Cierre el Editor del Registro.
El FRS está programado para reinicializar su base de datos y sobrescribir el contenido del árbol de SYSVOL con datos de un asociado de nivel superior. En sitios grandes, recomendamos que utilice una solución por etapas para regenerar el árbol de SYSVOL. Este enfoque ayuda a evitar sobrecargar un controlador de dominio único o hacer que el FRS consiga su contenido de un controlador de dominio que no haya finalizado su propia regeneración del volumen del sistema. Este proceso conlleva establecer la configuración del valor del Registro Burflags en D2 en todos los controladores de dominio del sitio central antes de continuar con los sitios sucursales o satélites. Utilice la entrada del registro Replica Set Parent para especificar un controlador de dominio de origen para la configuración D2:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\SYSVOL Seeding\DOMAIN SYSTEM VOLUME (SYSVOL SHARE)

Replica Set ParentTipo: REG_SZ Valor: controlador de dominio de origen
Nota: si esta entrada del Registro no existe, créela. Recomendamos que un controlador de dominio único no sea el origen para más de 10 o 15 controladores de dominio al mismo tiempo. Si tiene que hacer que haya más de 15 controladores de dominio con un único origen, debe iniciar el FRS en sólo 15 asociados de nivel inferior de cualquier controlador de dominio de origen determinado y, a continuación, debe esperar a que ellos completen la generación del árbol de SYSVOL antes de que se inicie el servicio FRS en el siguiente grupo de 15 equipos. Notas

No recomendamos que más de 15 controladores de dominio de dominio generen su contenido de un único controlador de dominio al mismo tiempo.

La replicación entrante depende de una programación que se define en el vínculo del sitio pertinente o en el objeto de conexión utilizado por el controlador de dominio de destino que permite la replicación. Si la programación de replicación se deshabilita, la replicación entrante se retrasará.

Si se usa la entrada del Registro "Replica set parent", el FRS originará los datos al reiniciar el servicio, independientemente de que la replicación esté habilitada o deshabilitada el día o la hora en que se produjera el reinicio del servicio. Una vez que se haya completado la generación inicial, toda replicación adicional se basará en los programas de conexión. Si no se utiliza la entrada del Registro, el FRS iniciará la replicación según la programación definida en el vínculo del sitio pertinente u objeto de conexión.
7.
En todos los controladores de dominio del dominio excepto en el de referencia, elimine cualquier archivo o carpeta debajo de la raíz del conjunto de réplicas de FRS y de los directorios de ensayo del conjunto de réplicas. Por ejemplo, en los conjuntos de réplicas de SYSVOL predeterminados, elimine los archivos y carpetas de las dos ubicaciones siguientes:
C:\WINNT\SYSVOL\domain C:\WINNT\SYSVOL\staging\domain
Nota: no elimine las carpetas solas. Este paso permite una replicación más rápida del árbol de SYSVOL para el origen dado. Evita que el servidor de FRS tenga que mover el contenido existente antes de replicar los datos nuevos. Este paso no es obligatorio pero se recomienda.
8.
En todos los controladores de dominio del sitio del centro, excepto en el de referencia, reinicie el FRS y, a continuación, compruebe que SYSVOL y NETLOGON están compartidos.
9.
En todos los controladores de dominio que no sean de referencia en los sitios de las ramas, inicie el servicio FRS y compruebe que SYSVOL y NETLOGON están compartidos.

AUTOR: Moi

Cambiar de USB 2.0 a USB 1.0 para compatibilidad con impresoras antiguas

Si conectais una impresora por usb y aunque aparece el mensajito de dispositivo conectado no te deja instalar nada y además no aparece en el apartado de impresoras en lista de dispositivos sino que aparece un "dispositivo desconocido" en el apartado de usbs:

a los que le ocurra esto, es principalmente, porque tiene instalado el sofware de USB 2.0 y su hardware es solo USB 1.1, tambien es posible que tengan unos puertos USB 2.0 traseros, pero los delanteros sean USb 1.1 o 1.0, - tambien puede ser que tengas en este ultimo caso unos USB 2.0 tanto delanteros como traseors, pero los cables que comunican la información de uno trasero al delantero no sean para USB 2.0, por lo que te dará este fallo.

Lo que teneis que hacer es los siguiente:

1.- Id boton derecho sobre Mi PC, y propiedades
2.- Pestañad e Hardware
3.- Administrados de dispositivos
4.- Desplegais el Controlador de Bus Serie universal (USB)
5.- Buscais el "Controlador de host de PCI a USB mejorado", boton derecho de dehabilitar
6.- Si tenies conectado el dispositivo al USB os lo cogerá instantaneamente

Dejarlo siempre deshabilitado ya que sino no os funcionará.

AUTOR: Moisés

Logearte con horario

Hay una cosa que siempre me han preguntado a lo largo de toda mi trayectoria informática es como hacer para que un usuario no pueda acceder a ciertas horas al ordenador. Podríamos recurrir a software de terceros que hace la tarea mucho más sencilla pero cuesta dinero, sin embargo Windows XP incorpora un pequeño comando que nos permite hacerlo sin mayores problemas.

Para poder usar este comando debemos estar logueados en el sistema con una cuenta con credenciales de administrador y conocer el nombre de usuario al que queremos controlar. Vamos a hacer uso del comando net, pero con una sintaxis especial:

net user nombredeusuario /times: {día[-día][,día[-día]],hora[-hora][,hora[-hora]][;] all}

Como nombredeusuario debemos usar la cuenta del usuario al que queremos controlar y después de times debemos introducir los días y las horas que queremos que ese usuario pueda acceder al sistema. Para los días podemos usar la primera letra de cada uno, L para el Lunes, Ma para el Martes, Mi para el Miércoles etc. y las horas se controlan en intervalos de una hora, con los cual no podríamos poner 8:15, pero si 8:00. Además podemos hacer uso de ambos formatos, tanto 12h como 24h. En el caso de las 12h debemos especificar si es am o pm.
Si queremos que el usuario Roberto solo se pueda conectar los miércoles de tres de la tarde a diez de la noche deberíamos escribir algo como esto:

net user Roberto /times:Mi,15:00-22:00

Básicamente el planteamiento es este, ya es cuestión de adaptar el comando a nuestras necesidades. Ni que decir tiene que esto está genial para máquinas locales, pero si trabajamos en red o con dominios tenemos muchas herramientas más potentes que este comando y que nos serán de más ayuda y nos ofrecen un control aún mayor sobre los usuarios.
Via: Genbeta

AUTOR: Luistec

sábado, 23 de agosto de 2008

Primera medida Antivirus

Os dejo el enlace que creo que es interesante como primera medida antivirus.

http://www.zonavirus.com/datos/historico.asp?idcategoria=36&genero=descargas



No se por que no me deja descargar desde esa web por lo que el elistara lo he descargado desde otro sitio y puesto en el buzón de Simauria.

AUTOR: Kutul

martes, 12 de agosto de 2008

Crear un dominio en Windows 2003 con DCpromo

Lo más importante del dcpromo es tener varios conocimientos que de normal no se tienen:
- El cable de red de la maquina debe estar conectado siempre que se toquen temas de red, dns, dcpromo, etc. Si no se tiene conectado el sistema no instala bien las cosas. El dns no se temina de configurar, el dcpromo revienta, etc.
- Dcpromo sirve tanto para promocionar a domain controler como para depromocionar (quitar un servidor de controlador de dominio), esto es tanto para poner y como para quitar los servicios de dominio del directorio activo (Active Directory Domain Services), ya que a fin de cuentas lo que importa de un controlador de dominio es el Active Directory o LDAP.
- En w2003 server Se puede hacer un dcpromo desde un backup del directorio activo, algo novedoso e interesante, además probado y funciona. Para poder hacer esto se debe lanzar el dcpromo con la opción advanced (dcpromo /adv)

Web donde resume todo esto (en español):
http://julianrv.com/blog/2006/01/uso-avanzado-de-dcpromo-y-solucin-de.html


Fallos muy comunes al promocionar o depromocionar un servidor que no es el único en la red.
- Si un servidor tiene alguno de los roles principales del dominio no puedes depromocionarlo. (hay 5 roles principales)
- Si el Directorio Activo esta corrupto salen errores y nunca termina la ejecución del dcpromo, tanto para promocionar como para depromocionar.
- Si no tienes conexión con otro servidor que tenga el Directorio Activo el dcpromo no funciona.

Se acabaron las clases por hoy ^_^
AUTOR: Moi

sábado, 9 de agosto de 2008

Bloquear la escritura en dispositivos de almacenamiento masivo USB

Block writing to USB Removable Disks
To block your computer's ability to use USB Removable Disks follow these steps:
Open Registry Editor.
In Registry Editor, navigate to the following registry key:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies
Create the following value (DWORD):
WriteProtect
and give it a value of 1.
Note: As always, before making changes to your registry you should always make sure you have a valid backup. In cases where you're supposed to delete or modify keys or values from the registry it is possible to first export that key or value(s) to a .REG file before performing the changes.
Close Registry Editor. You do not need to reboot the computer for changes to apply.
Users trying to write to any USB Removable Disk will now get an Access Denied message.
Enable writing to USB Removable Disks
To return to the default configuration and enable your computer's ability to use USB Removable Disks follow these steps:
Go to the registry path found above.
Locate the following value:
WriteProtect
and give it a value of 0.
You can download a .REG file that configure this setting right HERE (1kb).

AUTOR: Cajun

viernes, 8 de agosto de 2008

La UOC libera materiales del Máster en Software Libre

La UOC libera materiales del Máster en Software Libre


Temario y descargas: http://ocw.uoc.edu/informatica-tecnologia-y-multimedia/

Para aquellos problemas de software (Utilidades del sistema)


Filemon, nos permite ver los ficheros a los que acceden, o intentan,

los procesos en ejecución. Regmon, hace lo mismo pero con el registro de windows.

Desgraciadamente estos programas no son compatibles con Windows Vista pero

Sysinternals los ha unido en uno solo llamado Process Monitor.

http://technet.microsoft.com/en-us/sysinternals/bb896645.aspx


Perdona que te lo mande a ti pero es que no encuentro la dirección a donde hay que mandarlo para subirlo a la web.


Mas utilidades para la monitorización de windows.

http://technet.microsoft.com/en-us/sysinternals/default.aspx


Entre ellos destacar:

Para descargar directamente: http://live.sysinternals.com/



jueves, 7 de agosto de 2008

Recuperar datos de Exchange

Para poder extraer los datos de un almacén de Exchange (OST o EDB) a un PST incluso del outlook express

Sacado de :
http://www.taringa.net/posts/downloads/1219612/Convertir-_OST-a-_PST-con-Mail-Recovery-2_0.html

El Mail Recovery 2.0 es un zip con 4 programas, os cito a continuación que programas son y que hace cada uno.

Exchange Recovery (convierte .ost a .pst) Exchange Server Recovery (convierte .edb a PSTs) Outlook Express Recovery (Recupera DBXs dañados) Outlook Recovery (Recupera PSTs dañados)

Autor: Moi

miércoles, 6 de agosto de 2008

Asumir funciones de servidor principal de dominio

Responder a errores en el servidor principal de operaciones

Algunas de las funciones de servidor principal de operaciones son cruciales para el funcionamiento de la red. Otras pueden dejar de estar disponibles durante algún tiempo antes de que su ausencia se convierta en un problema. Por lo general, observará que el poseedor de una función relativa a las operaciones con un solo servidor principal no está disponible cuando intenta realizar algunas funciones que controla el servidor principal de operaciones en particular.

Si un servidor principal de operaciones no está disponible debido a un error del equipo o a un problema de la red, puede asumir su función. Esto también se conoce como forzar la transferencia de la función de servidor principal de operaciones.

Antes de forzar la transferencia, determine primero la causa y la duración esperada del error del equipo o de la red. Si la causa es un problema de la interconexión en red o un error del servidor que se va a resolver pronto, espere a que el poseedor de la función esté disponible de nuevo. Si el controlador de dominio que desempeña actualmente la función tiene un error, debe determinar si se puede recuperar y ponerse de nuevo en conexión.

En general, asumir esta función es un paso drástico que únicamente se debe considerar si el servidor principal de operaciones actual no va a volver a estar disponible. La decisión depende de la función y del tiempo que el poseedor de la función en particular no estará disponible. En los temas siguientes se discutirá el efecto de los diversos errores del poseedor de la función.

Error del servidor principal de esquemas

La pérdida temporal del servidor principal de operaciones de esquemas no será visible para los usuarios de la red. Tampoco será visible para los administradores de la red, a menos que intenten modificar el esquema o instalar una aplicación que lo modifique durante la instalación.

Si el servidor principal de esquemas no va a estar disponible durante un período inaceptable, puede transferir la función al servidor de operaciones en espera. Sin embargo, asumir esta función es un paso drástico que sólo debe considerar si el error del servidor de esquemas es permanente.

important Important

  • Un controlador de dominio cuya función de servidor principal de esquemas se ha transferido nunca se debe poner de nuevo en conexión.

Para obtener información acerca de los procedimientos relativos al modo de asumir la función de servidor principal de esquemas, consulte Asumir la función de servidor principal de esquemas

Para asumir la función de servidor principal de esquemas

  1. Haga clic en Inicio y Ejecutar, y después escriba cmd.
  2. En el símbolo del sistema, escriba ntdsutil.
  3. En el símbolo del sistema de ntdsutil, escriba roles.
  4. En el símbolo del sistema fsmo maintenance, escriba connections.
  5. En el símbolo del sistema server connections, escriba connect to server, seguido del nombre de dominio completo.
  6. En el símbolo del sistema server connections, escriba quit.
  7. En el símbolo del sistema fsmo maintenance, escriba seize schema master.
  8. En el símbolo del sistema fsmo maintenance, escriba quit.
  9. En el símbolo del sistema de ntdsutil, escriba quit.

Error del servidor principal de nombres de dominio

Los usuarios de la red no advierten la pérdida temporal del servidor principal de nombres de dominio. Tampoco será visible para los administradores de la red, a menos que intenten agregar o quitar un dominio del bosque.

Si el servidor principal de nombres de dominio no va a estar disponible durante un período inaceptable, puede transferir la función al servidor de operaciones en espera. Sin embargo, asumir esta función es un paso drástico que sólo debe considerar si el error del servidor principal de nombres de dominios es permanente.

important Important

  • Un controlador de dominio cuya función de servidor principal de nombres de dominio se ha transferido nunca se debe poner de nuevo en conexión.

Para obtener información acerca de los procedimientos relativos al modo de asumir la función de servidor principal de nombres de dominio, consulte Asumir la función de servidor principal de nombres de dominio

Para asumir la función de maestro de nombres de dominio

  1. Haga clic en Inicio y Ejecutar, y después escriba cmd.
  2. En el símbolo del sistema, escriba ntdsutil.
  3. En el símbolo del sistema de ntdsutil, escriba roles.
  4. En el símbolo del sistema fsmo maintenance, escriba connections.
  5. En el símbolo del sistema server connections, escriba connect to server, seguido del nombre de dominio completo.
  6. En el símbolo del sistema server connections , escriba quit.
  7. En el símbolo del sistema fsmo maintenance, escriba seize domain naming master.
  8. En el símbolo del sistema fsmo maintenance , escriba quit.
  9. En el símbolo del sistema de ntdsutil, escriba quit.

Error del servidor principal de identificadores relativos

La pérdida temporal del servidor principal de operaciones de identificadores relativos no será visible para los usuarios de la red. Tampoco será visible para los administradores de la red, a menos que estén creando objetos y el dominio donde lo hacen se haya quedado sin identificadores relativos.

Si el servidor principal de identificadores relativos no va a estar disponible durante un período inaceptable, puede transferir la función al servidor principal de operaciones. Sin embargo, asumir esta función es un paso drástico que sólo debe considerar si el error del servidor principal de identificadores relativos es permanente.

important Important

  • Un controlador de dominio cuya función de servidor principal de identificadores relativos se ha transferido nunca se debe poner de nuevo en conexión.

Para obtener información acerca de los procedimientos para asumir la función de servidor principal de identificadores relativos, consulte Asumir la función de servidor principal de identificadores relativos

Para asumir la función de servidor principal de identificadores relativos

  1. Haga clic en Inicio y Ejecutar, y después escriba cmd.
  2. En el símbolo del sistema, escriba ntdsutil.
  3. En el símbolo del sistema de ntdsutil, escriba roles.
  4. En el símbolo del sistema fsmo maintenance, escriba connections.
  5. En el símbolo del sistema server connections, escriba connect to server, seguido del nombre de dominio completo.
  6. En el símbolo del sistema server connections, escriba quit.
  7. En el símbolo del sistema fsmo maintenance, escriba seize RID master.
  8. En el símbolo del sistema de fsmo maintenance, escriba quit.
  9. En el símbolo del sistema de ntdsutil, escriba quit.

Error del emulador PDC

La pérdida del emulador del controlador principal del dominio (PDC) afecta a los usuarios de la red. Por lo tanto, cuando el emulador PDC no está disponible, es posible que tenga que asumir inmediatamente la función.

Si el servidor principal emulador PDC actual no va a estar disponible durante un período inaceptable y su dominio tiene clientes sin el software de cliente de Windows 2000, o si contiene controladores de dominio de reserva de Windows NT, transfiera la función de servidor principal emulador PDC al servidor principal de operaciones en espera. Cuando el emulador PDC original vuelva a estar en servicio, puede transferir de nuevo la función al controlador de dominio original.

Para obtener información acerca de los procedimientos relativos al modo de asumir la función de emulador PDC, consulte Asumir la función de emulador PDC

Para asumir la función de emulador PDC

  1. Haga clic en Inicio y Ejecutar, y después escriba cmd.
  2. En el símbolo del sistema, escriba ntdsutil.
  3. En el símbolo del sistema de ntdsutil, escriba roles.
  4. En el símbolo del sistema fsmo maintenance, escriba connections.
  5. En el símbolo del sistema server connections, escriba connect to server, seguido del nombre de dominio completo.
  6. En el símbolo del sistema server connections, escriba quit.
  7. En el símbolo del sistema fsmo maintenance, escriba seize PDC.
  8. En el símbolo del sistema de fsmo maintenance, escriba quit.
  9. En el símbolo del sistema de ntdsutil, escriba quit.

Error del servidor principal de infraestructuras

Los usuarios de la red no advierten la pérdida temporal de un servidor principal de infraestructuras. Tampoco será visible para los administradores de la red, a menos que hayan movido recientemente o cambiado el nombre de una gran cantidad de cuentas.

Si el servidor principal de infraestructuras no va a estar disponible durante un período inaceptable, puede transferir la función a un controlador de dominio que no sea un catálogo global pero que esté conectado correctamente a uno de cualquier dominio y, si es posible, del mismo sitio que el catálogo global actual. Cuando el servidor principal de infraestructuras original vuelva a estar en servicio, puede transferir de nuevo la función al controlador de dominio original.

Para obtener información acerca de los procedimientos relativos al modo de asumir la función de servidor principal de infraestructuras, consulte Asumir la función de servidor principal de infraestructuras

Para asumir la función de servidor principal de infraestructuras

  1. Haga clic en Inicio y Ejecutar, y después escriba cmd.
  2. En el símbolo del sistema, escriba ntdsutil.
  3. En el símbolo del sistema de ntdsutil, escriba roles.
  4. En el símbolo del sistema fsmo maintenance, escriba connections.
  5. En el símbolo del sistema server connections, escriba connect to server, seguido del nombre de dominio completo.
  6. En el símbolo del sistema server connections , escriba quit.
  7. En el símbolo del sistema fsmo maintenance, escriba seize infrastructure master.
  8. En el símbolo del sistema fsmo maintenance , escriba quit.
  9. En el símbolo del sistema de ntdsutil, escriba quit.

Para obtener información general acerca de los servidores principales de operaciones, consulte Operaciones de un solo servidor principal

Operaciones de un solo maestro

Active Directory permite realizar la replicación Multimaster del almacén de datos de directorio entre todos los controladores del dominio. Algunos cambios no se pueden realizar por el método Multimaster, por lo que sólo un controlador de dominio, denominado maestro de operaciones, acepta las solicitudes de este tipo de cambios.

Dado que las funciones de maestro de operaciones pueden moverse a otros controladores de dominio del mismo domino o del bosque, esas funciones se denominan a veces operaciones flexibles de un solo maestro.

En cualquier bosque de Active Directory hay cinco funciones de maestro de operaciones que se asignan a uno o más controladores de dominio. Algunas funciones deben estar presentes en todos los bosques. Otras funciones deben estar presentes en todos los dominios del bosque.

Funciones de maestro de operaciones en todo el bosque

Cada bosque de Active Directory debe tener las siguientes funciones:

  • Maestro de esquema
  • Maestro de nombres de dominio

Estas funciones deben ser únicas en el bosque. Es decir, en todo el bosque sólo puede haber un maestro de esquema y un maestro de nombres de dominio.

Maestro de esquema

El controlador maestro de esquema del dominio controla todas las actualizaciones y modificaciones al esquema. Para poder actualizar el esquema de un bosque, debe tener acceso al maestro de esquema. En un momento dado, sólo puede haber un maestro de esquema en todo el bosque.

Maestro de nombres de dominio

El controlador de dominio al que se asigna la función de maestro de nombres de dominio controla la adición o eliminación de dominios en el bosque. En un momento dado, sólo puede haber un maestro de nombres de dominio en todo el bosque.

Funciones de maestro de operaciones en todo el dominio

Cada dominio del bosque debe tener las siguientes funciones:

  • Maestro de identificadores relativos
  • Emulador del controlador principal de dominio (PDC, Primary Domain Controller)
  • Maestro de infraestructuras

Estas funciones deben ser únicas en cada dominio. Esto significa que en cada dominio del bosque sólo puede haber un maestro de identificadores relativos, un emulador del PDC y un maestro de infraestructuras.

Maestro de identificadores relativos

El maestro de identificadores relativos asocia secuencias de identificadores relativos a cada uno de los distintos controladores de su dominio. En un momento dado, sólo puede haber un controlador de dominio que actúe como maestro de identificadores relativos en cada dominio del bosque.

Cada vez que un controlador de dominio crea un objeto de usuario, grupo o equipo, asigna al objeto un Id. de seguridad único. El Id. de seguridad consta de un Id. de seguridad de dominio (que es el mismo para todos los Id. de seguridad creados en un dominio específico) y de un Id. relativo que es único para cada Id. de seguridad creado en el dominio.

Para mover un objeto de un dominio a otro (mediante Movetree.exe), debe iniciar la operación en el controlador de dominio que actúa como maestro de identificadores relativos del dominio que contiene el objeto en ese momento.

Emulador del PDC

Si el dominio contiene equipos que operan sin el software de cliente de Windows 2000 o si contiene controladores de reserva (BDC, Backup Domain Controller) de Windows NT, el emulador del PDC actúa como un controlador principal de dominio de Windows NT. Se ocupa de procesar los cambios de contraseña de los clientes y replica las actualizaciones en los BDC. En un momento dado, sólo puede haber un controlador de dominio que actúe como emulador del PDC en cada dominio del bosque.

En un dominio de Windows 2000 que funciona en modo nativo, el emulador del PDC recibe la replicación preferencial de los cambios a las contraseñas realizados por otros controladores del dominio. Si una contraseña ha cambiado recientemente, ese cambio tarda algún tiempo en replicarse en cada controlador del dominio. Si una autenticación de inicio de sesión produce un error en otro controlador de dominio debido a una contraseña incorrecta, ese controlador de dominio reenviará la solicitud de autenticación al emulador del PDC antes de rechazar el intento de inicio de sesión.

Maestro de infraestructuras

El maestro de infraestructuras es responsable de actualizar las referencias de grupos a usuarios cada vez que hay alguna variación o cambio de nombre en los miembros de un grupo. En un momento dado, sólo puede haber un controlador de dominio que actúe como maestro de infraestructuras en cada dominio.

Al cambiar de nombre o mover un miembro de un grupo (si el miembro reside en un dominio distinto del grupo), puede que durante un tiempo parezca que el grupo no contiene ese miembro. El maestro de infraestructuras del dominio del grupo es responsable de actualizar el grupo de forma que sepa en todo momento el nuevo nombre o ubicación del miembro. El maestro de infraestructuras distribuye la actualización mediante la replicación Multimaster.

La seguridad no se pone en peligro durante el tiempo que transcurre entre el cambio de nombre de un miembro y la actualización del grupo. Sólo un administrador que esté examinando la pertenencia a ese grupo en particular podría darse cuenta de la falta momentánea de coherencia.

Autor: Moi