jueves, 18 de noviembre de 2010

Cómo quitar datos en Active Directory después de una degradación sin éxito de un controlador de dominio

http://support.microsoft.com/kb/216498/es

Windows Server 2003 Service Pack 1 (SP1), los Service Pack posteriores (versión mejorada de Ntdsutil.exe)
La versión de Ntdsutil.exe que se incluye en el Service Pack 1, o en los Service Pack posteriores, para Windows Server 2003 se ha mejorado para completar el proceso de limpieza de metadatos. La versión de Ntdsutil.exe que se incluye en el SP1, o en los Service Pack posteriores, hace lo siguiente cuando se ejecuta la limpieza de metadatos:

* Quita el asunto de NTDSA o de configuración NTDS.
* Quita los objetos de conexión AD entrante que los controladores de dominio de destino existentes utilizan para replicar desde el controlador de dominio de origen que se va a eliminar.
* Quita la cuenta de equipo.
* Quita el objeto miembro FRS.
* Quita los objetos suscriptores FRS.
* Intenta asumir las funciones de maestro de operaciones único flexible (también conocido como FSMO, flexible single master operations) que tiene el controlador de dominio que se va a quitar.

Precaución: antes de quitar manualmente el objeto de configuración NTDS para cualquier servidor, el administrador también debe asegurarse de que la replicación ha tenido lugar desde la degradación. El uso incorrecto de la utilidad Ntdsutil puede provocar la inhabilitación parcial o completa de las funciones de Active Directory.
Volver al principio
Procedimiento 1: sólo Windows Server 2003 SP1 o Service Pack posteriores

1. Haga clic en Inicio, seleccione Programas y Accesorios y, a continuación, haga clic en Símbolo del sistema.
2. En el símbolo del sistema, escriba ntdsutil y presione ENTRAR.
3. Escriba metadata cleanup y presione ENTRAR. Según las opciones dadas, el administrador puede realizar la eliminación; pero para que ello sea posible se deben especificar parámetros de configuración adicionales.
4. Escriba connections y presione ENTRAR. Este menú se usa para conectar con el servidor específico donde se producen los cambios. Si el usuario que ha iniciado sesión no tiene permisos administrativos, se pueden suministrar credenciales diferentes especificando las credenciales que hay que usar antes de realizar la conexión. Para ello, escriba set creds NombreDeDominioNombreDeUsuarioContraseña y presione ENTRAR. Para escribir una contraseña nula, escriba null en el parámetro correspondiente a la contraseña.
5. Escriba connect to server nombreDeServidor y presione ENTRAR. Debe recibir la confirmación de que la conexión se ha establecido correctamente. Si se produce un error, compruebe que el controlador de dominio que se usa en la conexión está disponible y que las credenciales que ha suministrado tienen permisos administrativos en el servidor.

Nota Si intenta conectar con el mismo servidor que desea eliminar, cuando intente eliminar el servidor al que se hace referencia en el paso 15, puede aparecer un mensaje de error similar al siguiente:
Error 2094. No se puede eliminar el objeto DSA
6. Escriba quit y presione ENTRAR. Aparecerá el menú Metadata Cleanup.
7. Escriba select operation target y presione ENTRAR.
8. Escriba list domains y presione ENTRAR. Se mostrará una lista de dominios del bosque, cada uno con un número asociado.
9. Escriba select domain número y presione ENTRAR, donde número es el número asociado al dominio del que es miembro el servidor que está quitando. El dominio que seleccione se usa para determinar si el servidor que se está quitando es el último controlador de dominio de ese dominio.
10. Escriba list sites y presione ENTRAR. Se mostrará una lista de sitios, cada uno con un número asociado.
11. Escriba select site número y presione ENTRAR, donde número es el número asociado al sitio del que es miembro el servidor que está quitando. Debe recibir una confirmación que enumere el sitio y el dominio que eligió.
12. Escriba list servers in site y presione ENTRAR. Se mostrará una lista de los servidores del sitio, cada uno con un número asociado.
13. Escriba select servernúmero y presione ENTRAR, donde número es el número asociado al servidor que desea quitar. Aparecerá una confirmación donde se indica el servidor seleccionado, su nombre de host del Sistema de nombres de dominio (DNS) y la ubicación de la cuenta de equipo del servidor que desea quitar.
14. Escriba quit y presione ENTRAR. Aparecerá el menú Metadata Cleanup.
15. Escriba remove selected server y presione ENTRAR. Debe recibir la confirmación de que la eliminación se ha completado correctamente. Si aparece el mensaje de error siguiente, el objeto de configuración NTDS puede haberse quitado ya de Active Directory porque lo haya quitado otro administrador o como consecuencia de la replicación de la eliminación con éxito del objeto después de ejecutar la utilidad DCPROMO.
Error 8419 (0x20E3)
No se encontró el objeto DSA


Nota También puede ver este error cuando intenta enlazar con el controlador de dominio que se va a quitar. Ntdsutil tiene que enlazar con otro controlador de dominio distinto al que se va a quitar con la limpieza de metadatos.
16. Escriba quit y, a continuación, presione ENTRAR en cada, y cierre la utilidad Ntdsutil. Debe aparecer la confirmación de que la desconexión se ha completado correctamente.
17. Quite el registro cname de la zona _msdcs.dominio raíz del bosque en DNS. Suponiendo que el controlador de dominio (DC) se vaya a reinstalar y a volver a promover, se crea un nuevo objeto de configuración NTDS con un nuevo GUID y un registro cname coincidente en DNS. Es mejor que los DC que existan no usen el registro cname antiguo.

Es conveniente eliminar el nombre de host y otros registros DNS. Si se supera el tiempo de concesión que queda en la dirección del Protocolo de configuración dinámica de host (DHCP) asignada al servidor sin conexión, otro cliente puede obtener la dirección IP del DC problemático.
18. En la consola DNS, use el complemento DNS de MMC para eliminar el registro A en DNS. El registro A también se conoce como registro Host. Para eliminar el registro A, haga clic con el botón secundario del mouse (ratón) en él y, después, haga clic en Eliminar. Elimine también el registro cname en el contenedor _msdcs. Para ello, expanda el contenedor _msdcs, haga clic con el botón secundario del mouse en cname y, después, haga clic en Eliminar.

Importante Si es un servidor DNS, quite la referencia a este DC en la ficha Servidores de nombres. Para ello, en la consola DNS, haga clic en el nombre de dominio en Zonas de búsqueda directa y quite este servidor de la ficha Servidores de nombres.

Nota Si tiene zonas de búsqueda inversa, quite también el servidor de esas zonas.
19. Si el equipo eliminado es el último controlador de dominio de un dominio secundario y éste también se eliminó, use ADSIEdit para eliminar el objeto trustDomain del objeto secundario. Para ello, siga estos pasos:
1. Haga clic en Inicio y en Ejecutar, escriba adsiedit.msc y haga clic en Aceptar.
2. Expanda el contenedor Domain NC.
3. Expanda DC=Su dominio, DC=COM, PRI, LOCAL, NET.
4. Expanda CN=System.
5. Haga clic con el botón secundario del mouse en el objeto Dominio de confianza y, a continuación, haga clic en Eliminar.
20. Use Sitios y servicios de Active Directory para quitar el controlador de dominio. Para ello, siga estos pasos:
1. Inicie Sitios y servicios de Active Directory.
2. Expanda Sitios.
3. Expanda el sitio del servidor. El sitio predeterminado es Nombre-predeterminado-primer-sitio.
4. Expanda Servidor.
5. Haga clic con el botón secundario del mouse en el controlador de dominio y, a continuación, haga clic en Eliminar.
21. Cuando utiliza la replicación de DFS en Windows Server 2008 y versiones posteriores, la versión actual de Ntdsutil.exe no limpia el objeto de replicación de DFS. En este caso, puede utilizar Adsiedit.msc para corregir los objetos de replicación de DFS para los Servicios de dominio de Active Directory (AD DS) de forma manual. Para realizar esta tarea, siga estos pasos:
1. Inicie la sesión en un controlador de dominio como administrador de dominio en el dominio afectado.
2. Inicie Adsiedit.msc.
3. Conecte con el contexto de nomenclatura predeterminado.
4. Busque el siguiente contenedor de topología de replicación de DFS:
CN=Topology,CN=Domain System Volume,CN=DFSR-Globalsettings,CN=System,DC=Your Domain,DC=Domain Suffix
5. Elimine el objeto CN de msDFSR-Member que tiene el nombre de equipo antiguo.

jueves, 11 de noviembre de 2010

Pasos para seguir mediante la utilidad Ntdsutil para transferir los roles si existe el servidor antiguo o asumirlos sino existe

Algunas operaciones a nivel de dominio y de empresa que no son adecuadas para actualizaciones de varios maestros las realiza un solo controlador de dominio en un dominio o bosque de Active Directory. Los controladores de dominio designados para realizar estas operaciones exclusivas se denominan maestros de operaciones o titulares de la función FSMO.

En la lista siguiente se describen las 5 funciones FSMO exclusivas de un bosque de Active Directory, así como las operaciones dependientes que realizan:

  • Maestro de esquema: afecta a todo el bosque y hay una para cada bosque. Esta función es necesaria para expandir el esquema de un bosque de Active Directory o para ejecutar el comando adprep /forestprep.
  • Maestro de nombres de dominio: afecta a todo el bosque y hay una para cada bosque. Esta función es necesaria para agregar o eliminar dominios o particiones de aplicaciones en un bosque.
  • Maestro RID: afecta a todo el dominio y hay una para cada dominio. Esta función es necesaria para asignar el grupo de RID con objeto de que los controladores de dominio nuevos o existentes puedan crear cuentas de usuario y de equipo, así como grupos de seguridad.
  • Emulador de PDC: afecta a todo el dominio y hay una para cada dominio. Esta función es necesaria para el controlador de dominio que envía actualizaciones de base de datos a los controladores de dominio de reserva de Windows NT. El controlador de dominio propietario de esta función es también el objetivo de ciertas herramientas de administración y actualizaciones de contraseñas de cuentas de usuario y de equipo.
  • Maestro de infraestructuras: afecta a todo el dominio y hay una para cada dominio. Esta función es necesaria para que los controladores de dominio puedan ejecutar correctamente el comando adprep /forestprep, así como para actualizar los atributos SID y de nombre completo para los objetos a los que se hace referencia entre varios dominios.

El Asistente para instalación de Active Directory (Dcpromo.exe) asigna las 5 funciones FSMO al primer controlador de dominio del dominio raíz del bosque. Las tres funciones específicas del dominio se asignan al primer controlador de dominio de cada nuevo dominio secundario o de árbol. Los controladores de dominio siguen siendo los propietarios de las funciones FSMO hasta que se reasignen utilizando uno de los métodos siguientes:

  • Para reasignar la función, el administrador debe utilizar una herramienta administrativa GUI.
  • Para realizar esta operación, debe usar el comando ntdsutil /roles.
  • El administrador debe utilizar el Asistente de instalación de Active Directory para degradar correctamente un controlador de dominio contenedor de funciones. Este asistente reasigna las funciones contenidas localmente a un controlador de dominio existente del bosque. Las operaciones de degradación realizadas utilizando el comando dcpromo /forceremoval dejan las funciones FSMO en un estado no válido hasta que son reasignadas por un administrador.

Se recomienda transferir las funciones FSMO en los escenarios siguientes:

  • El titular de la función actual está operativo y el nuevo propietario de FSMO puede acceder a él en la red.
  • Está degradando correctamente un controlador de dominio que actualmente posee funciones FSMO que desea asignar a un controlador de dominio específico de su bosque de Active Directory.
  • El controlador de dominio que actualmente posee funciones FSMO se está desconectando para su mantenimiento periódico y es necesario que se asignen funciones FSMO específicas a un controlador de dominio "activo". Esto puede ser necesario para realizar operaciones que se conectan con el propietario de FSMO. Esto sería especialmente cierto para la función de emulador PDC, pero no tanto para las funciones de maestro RID, de maestro de nombres de dominio y de maestro de esquema.

Se recomienda que asuma las funciones FSMO en los escenarios siguientes:

  • El titular de la función actual está experimentando un error operativo que impide que una operación dependiente de FSMO termine correctamente y dicha función no se puede transferir.
  • Para degradar por la fuerza a un controlador de dominio que posee una función FSMO, se utiliza el comando dcpromo /forceremoval.
  • El sistema operativo del equipo que poseía originalmente una función específica ya no existe o se ha reinstalado.

Mientras se produce la replicación, los controladores de dominio que no son FSMO del dominio o del bosque son plenamente conscientes de los cambios realizados por los controladores de dominio que son titulares de funciones FSMO. Si debe transferir una función, el controlador de dominio más idóneo es aquél que está en el dominio apropiado que ha realizado la replicación entrante por última vez, o la ha realizado recientemente, de una copia modificable de la “partición FSMO” desde el titular de la función existente. Por ejemplo, el titular de la función de maestro de esquema tiene la ruta de acceso completa CN=schema,CN=configuration,dc=, lo que significa que las funciones están ubicadas en la partición CN=schema y se replican como parte de ella. Si el controlador de dominio que tiene la función de maestro de esquema experimenta un fallo de hardware o de software, un buen candidato para ser titular de las funciones sería un controlador de dominio del dominio raíz y del mismo sitio Active Directory que el propietario actual. Los controladores de dominio del mismo sitio Active Directory realizan la replicación entrante cada 5 minutos o cada 15 segundos.

La partición para cada función FSMO está en la lista siguiente:

Contraer esta tablaAmpliar esta tabla

Función FSMO

Partición

Esquema

CN=Schema,CN=configuration,DC=

Maestro de nombres de dominio

CN=configuration,DC=

PDC

DC=

RID

DC=

Infraestructura

DC=



Un controlador de dominio cuyas funciones FSMO se han asumido no debería poder comunicarse con los controladores de dominio existentes en el bosque. En este escenario, debería formatear el disco duro y reinstalar el sistema operativo en dichos controladores de dominio o forzar la degradación de éstos en una red privada y, a continuación, eliminar sus metadatos en un controlador de dominio superviviente en el bosque utilizando el comando ntdsutil /metadata cleanup. El riesgo de introducir un antiguo titular de función FSMO cuya función se ha asumido en el bosque es que el titular original de la función puede seguir funcionando como antes hasta que replique de forma entrante el conocimiento de la toma de control de la función. Los riesgos conocidos de dos controladores de dominio que posean las mismas funciones FSMO incluyen la creación de principales de seguridad con grupos RID superpuestos, así como otros problemas.



Transferir funciones FSMO

Para transferir las funciones FSMO mediante la utilidad Ntdsutil, siga estos pasos:

  1. Inicie una sesión en un equipo o controlador de dominio basado en Windows 2000 Server o Windows Server 2003 que esté ubicado en el bosque donde se están transfiriendo las funciones FSMO. Se recomienda que inicie una sesión en el controlador de dominio al que esté asignando las funciones FSMO. El usuario que ha iniciado la sesión debería ser miembro del grupo de administradores de organización para poder transferir las funciones de maestro de esquema o de maestro de nombres de dominio, o miembro del grupo de administradores de dominio del dominio donde se van a transferir las funciones de emulador de PDC, de maestro RID y de maestro de infraestructura.
  2. Haga clic en Inicio y en Ejecutar, escriba ntdsutil en el cuadro Abrir y, a continuación, haga clic en Aceptar.
  3. Escriba roles y presione ENTRAR.

    Nota:
    Para ver una lista de comandos disponibles en cualquiera de los símbolos del sistema de la utilidad Ntdsutil, escriba ? y, a continuación, presione ENTRAR.
  4. Escriba connections y, a continuación, presione ENTRAR.
  5. Escriba connect to server nombre del servidor y, a continuación, presione ENTRAR, donde nombre del servidor es el nombre del controlador de dominio al que desea asignar la función FSMO.
  6. Escriba q en el símbolo del sistema server connections y, a continuación, presione ENTRAR.
  7. Escriba transfer función, donde función es la función que desea transferir. Si desea consultar la lista de funciones que puede transferir, escriba ? en el símbolo del sistema fsmo maintenance y, a continuación, presione ENTRAR, o vea la lista de funciones incluidas al principio de este artículo. Por ejemplo, para transferir la función de maestro RID, escriba transfer rid master. La única excepción es para la función de emulador de PDC, cuya sintaxis es transfer pdc, no transfer pdc emulator.
  8. Escriba q en el símbolo del sistema fsmo maintenance y, a continuación, presione ENTRAR para obtener acceso al símbolo del sistema de ntdsutil. Escriba q y, a continuación, presione ENTRAR para salir de la utilidad Ntdsutil.



Asumir funciones FSMO

Para asumir las funciones FSMO mediante la utilidad Ntdsutil, siga estos pasos:

  1. Inicie una sesión en un equipo o controlador de dominio basado en Windows 2000 Server o Windows Server 2003 que esté ubicado en el bosque donde se están asumiendo las funciones FSMO. Se recomienda que inicie una sesión en el controlador de dominio al que esté asignando las funciones FSMO. El usuario que ha iniciado la sesión debería ser miembro del grupo de administradores de organización para poder transferir las funciones de esquema o de maestro de nombres de dominio, o miembro del grupo de administradores de dominio del dominio donde se van a transferir las funciones de emulador de PDC, de maestro RID y de maestro de infraestructura.
  2. Haga clic en Inicio y en Ejecutar, escriba ntdsutil en el cuadro Abrir y, a continuación, haga clic en Aceptar.
  3. Escriba roles y presione ENTRAR.
  4. Escriba connections y, a continuación, presione ENTRAR.
  5. Escriba connect to server nombre del servidor y, a continuación, presione ENTRAR, donde nombre del servidor es el nombre del controlador de dominio al que desea asignar la función FSMO.
  6. Escriba q en el símbolo del sistema server connections y, a continuación, presione ENTRAR.
  7. Escriba seize función, donde función es la función que desea asumir. Si desea consultar la lista de funciones que puede asumir, escriba ? en el símbolo del sistema fsmo maintenance y, a continuación, presione ENTRAR, o vea la lista de funciones incluidas al principio de este artículo. Por ejemplo, para asumir la función de maestro RID, escriba seize rid master. La única excepción es para la función de emulador de PDC, cuya sintaxis es seize pdc, no seize pdc emulator.
  8. Escriba q en el símbolo del sistema fsmo maintenance y, a continuación, presione ENTRAR para obtener acceso al símbolo del sistema de ntdsutil. Escriba q y, a continuación, presione ENTRAR para salir de la utilidad Ntdsutil.

    Notas
    • Bajo condiciones normales, las cinco funciones se deben asignar a controladores de dominio “activos” del bosque. Si un controlador de dominio que posee una función FSMO se lleva fuera de servicio antes de que se transfieran sus funciones, deberá asignar todas ellas a un controlador de dominio apropiado que esté en buenas condiciones. Se recomienda que solamente asuma todas las funciones cuando el otro controlador de dominio no vaya a regresar al dominio. Si es posible, repare el controlador de dominio dañado que tiene asignadas las funciones FSMO. Debería determinar qué funciones deben estar en cada uno de los controladores de dominio restantes con objeto de que las cinco funciones se asignen a un único controlador de dominio. Para obtener más información acerca de la ubicación de funciones FSMO, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

223346 (http://support.microsoft.com/kb/223346/ ) Ubicación y optimización del FSMO en controladores de dominio de Active Directory

    • Si el controlador de dominio que anteriormente tenía funciones FSMO no está presente en el dominio y se han asumido sus funciones siguiendo los pasos descritos en este artículo, elimínelo del Active Directory realizando el procedimiento detallado en el siguiente artículo de Microsoft Knowledge Base:

216498 (http://support.microsoft.com/kb/216498/ ) Cómo quitar datos en Active Directory después de una degradación sin éxito de un controlador de dominio

    • La eliminación de metadatos del controlador de dominio con la versión de Windows 2000 o de Windows Server 2003 build 3790 del comando ntdsutil /metadata cleanup no reubica las funciones FSMO asignadas a controladores de dominio activos. La versión de Windows Server 2003 Service Pack 1 (SP1) de la utilidad Ntdsutil automatiza esta tarea y elimina elementos adicionales de los metadatos del controlador de dominio.
    • Algunos clientes prefieren no restaurar las copias de seguridad del estado del sistema de los titulares de las funciones FSMO en caso de que la función haya sido reasignada desde la realización de la copia de seguridad.
    • No coloque la función de maestro de infraestructura en el mismo controlador de dominio que el servidor de catálogo global. Si el Maestro de infraestructura se ejecuta en un servidor de catálogo global no se actualizará la información de los objetos, pues no contiene referencias a objetos que no alberga. Esta situación se produce porque un servidor de catálogo global contiene una réplica parcial de cada objeto del bosque.

Para probar si un controlador de dominio es también un servidor de catálogo global:

  1. Haga clic en Inicio, seleccione Programas, Herramientas administrativas y, a continuación, haga clic en Sitios y servicios de Active Directory.
  2. Haga doble clic en Sitios en el panel izquierdo y, a continuación, localice el sitio apropiado o haga clic en Nombre-predeterminado-primer-sitio si no hay ningún otro sitio disponible.
  3. Abra la carpeta Servidores y, a continuación, haga clic en el controlador de dominio.
  4. En la carpeta del controlador de dominio, haga doble clic en Configuración de NTDS.
  5. En el menú Acción, haga clic en Propiedades.
  6. En la ficha General, compruebe si está seleccionada la casilla de verificación Catálogo global.

Para obtener más información acerca de las funciones FSMO, haga clic en los números de artículo siguientes para verlos en Microsoft Knowledge Base:

197132 (http://support.microsoft.com/kb/197132/ ) Funciones de FSMO de Active Directory de Windows 2000

223787 (http://support.microsoft.com/kb/223787/ ) Proceso para transferir y asumir la función Operación de maestro único flexible