Cómo eliminar datos de Active Directory después de que falla la degradación del controlador de dominio
Este artículo le indicará cómo eliminar datos de Active Directory después de que falla la degradación de la estación de control de dominio.
Advertencia Si utiliza el complemento incorporado del Editor ADSI, la utilidad LDP o cualquier otro cliente LDAP versión 3 y modifica incorrectamente los atributos de un objeto de Active Directory, pueden producirse problemas graves. Estos problemas pueden hacer que tenga que reinstalar Microsoft Windows 2000 Server, Microsoft Windows Server 2003, Microsoft Exchange 2000 Server, Microsoft Exchange Server 2003 o reinstalar tanto Windows como Exchange. Microsoft no garantiza que pueda resolver los problemas causados por la modificación incorrecta de los atributos de los objetos de Active Directory. Modifique estas propiedades bajo su propia responsabilidad.
El "Asistente de instalación de Active Directory" (Dcpromo.exe) puede actualizar el servidor a una estación de control de dominio o degradar la estación de control de dominio a un servidor miembro (si la estación de control de dominio está en el dominio el último es degradado a un servidor dedicado en el grupo de trabajo). Durante el proceso de degradación, el asistente elimina los datos de configuración del controlador de dominio de Active Directory. Estos datos tienen el formato de un objeto de configuración NTDS, que es descendiente del objeto Servidor en Sitios y servicios de Active Directory.
Esta información se encuentra en la siguiente ubicación de Active Directory:
CN=Configuración NTDS, CN=lt;servernamegt;, CN=Servidores, CN=lt;sitenamegt;, CN =Sitios, CN=Configuración, DC=lt;domainingt;...
Las propiedades del objeto "Configuración NTDS" incluyen datos que representan cómo el controlador de dominio es replicado y reconocido por la computadora cooperante, y el nombre reservado en el contenido de la computadora, si el controlador de dominio es un servidor de directorio universal y la política de consulta predeterminada. El objeto de configuración NTDS también es un contenedor y puede contener subobjetos que representan las réplicas de las computadoras asociadas del controlador de dominio. La Estación de control de dominio requiere esta información para operar en el entorno, pero ya no es necesaria después de la degradación.
Si el objeto de configuración NTDS se eliminó incorrectamente (por ejemplo, si el objeto de configuración NTDS no se eliminó correctamente después de una degradación), el administrador del sistema puede eliminar manualmente la información de retransmisión del objeto del servidor. En Windows Server 2008 y Windows Server 2008 R2, los administradores del sistema pueden eliminar el objeto de servidor en el complemento integrado Usuarios y equipos de Active Directory para eliminar los metadatos del objeto de servidor.
En Windows Server 2003 y Windows 2000 Server, los administradores del sistema pueden utilizar la utilidad Ntdsutil.exe para eliminar manualmente el objeto de configuración NTDS. Los siguientes pasos describen el procedimiento para eliminar el objeto de configuración NTDS en Active Directory para una estación de control de dominio específica. En cada menú de Ntdsutil, el administrador del sistema puede escribir ayuda para obtener detalles sobre las opciones disponibles.
Windows Server 2003 Service Pack 1 (SP1) o Service Pack posterior: versión mejorada de Ntdsutil.exe
Ntdsutil incluido con Windows Server 2003 Service Pack 1 (SP1) o Service Pack posterior La versión .exe se ha mejorado para permitir que se complete el proceso de limpieza de metadatos. Al realizar la limpieza de metadatos, Ntdsutil.exe, que se incluye con SP1 o service packs posteriores, hace lo siguiente:
Elimina la configuración principal NTDSA o NTDS.
Elimine el objeto de conexión AD de entrada del DC de destino existente utilizado para sobrescribir el DC de origen que se va a eliminar.
Eliminar cuenta de ordenador.
Eliminar el objeto miembro de FRS.
Eliminar el objeto suscriptor FRS.
Intente recuperar la función de maestro de operaciones únicas flexibles (también conocida como operaciones maestras únicas flexibles o FSMO) que tiene el controlador de dominio que se está eliminando.
Advertencia Antes de eliminar manualmente los objetos de configuración NTDS de cualquier servidor, los administradores del sistema también deben determinar si se ha realizado alguna sobrescritura desde la degradación. El uso inadecuado de la utilidad Ntdsutil puede provocar la pérdida de algunas o todas las funciones de Active Directory.
Procedimiento 1: Windows Server 2003 SP1 o Service Pack posterior únicamente
Haga clic en Inicio, seleccione Programas, seleccione Aplicaciones satelitales y luego haga clic en [carácter del símbolo del sistema].
En el símbolo del sistema, ingrese ntdsutil y luego presione ENTRAR.
Ingrese a limpieza de metadatos y presione ENTER. Los administradores del sistema pueden realizar la eliminación según las opciones proporcionadas, pero se deben especificar parámetros de configuración adicionales antes de que se pueda realizar la eliminación.
Ingrese conexiones y presione ENTER. Este menú se utiliza para conectarse al servidor específico donde se han producido los cambios. Si el usuario que ha iniciado sesión actualmente no tiene derechos de administración del sistema, puede especificar una autenticación diferente antes de establecer una conexión. Si desea hacer esto, ingrese set creds DomainNameUserNamePassword y presione ENTER. Para una contraseña nula, ingrese nulo como parámetro de contraseña.
Ingrese conectar al servidor nombre del servidor y presione ENTER. Debería recibir confirmación de que la conexión se estableció correctamente. Si se produce un error, confirme que el controlador de dominio al que se está conectando esté disponible y que las credenciales que proporcionó tengan derechos de administrador en el servidor.
Tenga en cuenta que si intenta conectarse al mismo servidor que desea eliminar, puede recibir el siguiente mensaje de error al eliminar el servidor mencionado en el paso 15:
Error 2094. No se puede eliminar el objeto DSA 0x2094
Ingrese salir y presione ENTER. Aparecerá el menú [Borrado de metadatos].
Ingrese, seleccione el objetivo de operación y presione ENTER.
Ingrese a la lista de dominios y presione ENTER. Aparece una lista de dominios basados en árbol, y cada dominio tiene un número asociado.
Ingrese el número de dominio seleccionado y presione ENTER, donde número es el número asociado con el dominio del cual es miembro el servidor que desea eliminar.
El dominio que seleccionó se utiliza para determinar si el servidor que se eliminará es el último controlador de dominio para ese dominio.
Ingrese a la lista de sitios y presione ENTER. Aparece una lista de sitios, cada uno con un número asociado.
Ingrese el número del sitio seleccionado y presione ENTRAR, donde número es el número asociado con el sitio del cual es miembro el servidor que desea eliminar. Debería recibir un mensaje de confirmación enumerando el sitio web y el dominio que seleccionó.
Ingrese a la lista de servidores en el sitio y presione ENTER. Aparecerá una lista de los servidores del sitio web, y cada servidor tendrá un número asociado.
Ingrese el número de servidor seleccionado, donde número es el número asociado con el servidor que desea eliminar. Recibirá un mensaje de confirmación que enumera el servidor seleccionado, su nombre de host del Sistema de nombres de dominio (DNS) y la ubicación de la cuenta de computadora del servidor que desea eliminar.
Ingresa salir y presiona ENTER. Aparecerá el menú [Borrado de metadatos].
Ingresa eliminar servidor seleccionado y presiona ENTER. Debería recibir confirmación de que la eliminación se realizó correctamente. Si recibe el siguiente mensaje de error, es posible que el objeto de configuración NTDS se haya eliminado de Active Directory porque otro administrador del sistema eliminó el objeto de configuración NTDS después de ejecutar la utilidad DCPROMO o sobrescribió un objeto eliminado correctamente.
Error 8419 (0x20E3)
Objeto DSA no encontrado
Tenga en cuenta que cuando intenta vincularse a un controlador de dominio que está a punto de ser eliminado, es posible que También verá este error. Ntdsutil no puede vincularse a un controlador de dominio que la utilidad de limpieza de retransmisión está a punto de eliminar.
Ingrese salir en cada menú y presione ENTER para finalizar la utilidad Ntdsutil. Debería recibir confirmación de que la conexión se desconectó correctamente.
Elimine el registro cname del dominio _msdcs.root de la zona forestal en DNS. Suponiendo que el DC está a punto de reinstalarse y actualizarse, cree un nuevo objeto "Configuración NTDS" con el nuevo GUID y el registro cname DNS coincidente. No desea que su DC existente utilice el registro cname antiguo.
Como práctica recomendada, elimine el nombre de host y otros registros DNS. Si el tiempo de retención mínimo en una dirección del Protocolo de configuración dinámica de host (DHCP) asignada a un servidor fuera de línea ha expirado, otro cliente puede obtener la dirección IP del DC problemático.
En la consola DNS, utilice el MMC de DNS para eliminar el registro A en DNS. Los registros A también se denominan registros de host. Si desea eliminar un registro A, haga clic derecho en el registro A y haga clic en Eliminar. Además, elimine el registro cname en el contenedor _msdcs. Para hacer esto, expanda el contenedor [_msdcs], haga clic derecho en [cname] y haga clic en 'Eliminar'.
Importante Si se trata de un servidor DNS, elimine la referencia a este DC bajo la etiqueta de índice de Servidores de nombres. Para hacer esto, haga clic en el nombre de dominio en Forward Maps en la consola DNS y elimine el servidor de la pestaña de índice de Servidores de nombres.
Nota Si tiene zonas de mapeo inverso, elimine también los servidores de esas zonas.
Si la computadora eliminada es la última estación de control de dominio en el subdominio y el subdominio se ha eliminado, utilice ADSIEdit para eliminar el objeto TrustDomain del subdominio. Para hacer esto, siga estos pasos:
Haga clic en Inicio, haga clic en Ir, ingrese adsiedit.msc y haga clic en Aceptar.
Amplíe el contenedor [Dominio NC].
Expandir [DC=Su Dominio, DC=COM, PRI, LOCAL, NET].
Ampliar [CN=Sistema].
Haga clic derecho en el objeto Dominios de confianza y haga clic en Eliminar.
Utilice Sitios y Servicios de Active Directory para eliminar el controlador de dominio. Para ello, siga estos pasos:
Inicie Sitios y servicios de Active Directory.
Ampliar [sitio].
Ampliar el sitio del servidor. El sitio predeterminado es Nombre-primer-sitio-predeterminado.
Ampliar [Servidores].
Haga clic derecho en la estación de control de dominio y haga clic en Eliminar.
Cuando utiliza la Replicación DFS en Windows Server 2008 y versiones posteriores, la versión actual de Ntdsutil.exe no borra los objetos de Replicación DFS. En este caso, puede utilizar Adsiedit.msc para corregir los objetos de réplica DFS para los Servicios de dominio de Active Directory (AD DS). Para hacer esto, siga estos pasos:
En el dominio afectado, inicie sesión en la estación de control del dominio como administrador del dominio.
Inicie Adsiedit.msc.
Conéctate al contenido con nombre predeterminado.
Busque los siguientes contenedores de topología de replicación DFS:
CN=Topología, CN=Dominio Volumen del sistema, CN=DFSR-Globalsettings, CN=Sistema, DC=Su dominio, DC=Dominio Sufijo
Elimine el objeto CN msDFSR-Member con el nombre de computadora anterior.
Programa 2: Windows 2000 (todas las versiones) Windows Server 2003 RTM
Haga clic en Inicio, seleccione Programas, seleccione Aplicaciones satelitales y luego haga clic en el carácter del símbolo del sistema].
En el símbolo del sistema, ingrese ntdsutil y luego presione ENTRAR.
Ingrese a limpieza de metadatos y presione ENTER. Los administradores del sistema pueden realizar la eliminación según las opciones proporcionadas, pero se deben especificar parámetros de configuración adicionales antes de que se pueda realizar la eliminación.
Ingrese conexiones y presione ENTER. Este menú se utiliza para conectarse al servidor específico donde se han producido los cambios. Si el usuario que ha iniciado sesión actualmente no tiene derechos de administración del sistema, puede especificar una autenticación diferente antes de establecer una conexión. Si desea hacer esto, ingrese set creds DomainNameUserNamePassword y presione ENTER. Para una contraseña nula, ingrese nulo como parámetro de contraseña.
Ingrese conectar al servidor nombre del servidor y presione ENTER. Debería recibir confirmación de que la conexión se estableció correctamente.
Si se produce un error, confirme que el controlador de dominio al que se está conectando esté disponible y que las credenciales que proporcionó tengan derechos de administrador en el servidor.
Tenga en cuenta que si intenta conectarse al mismo servidor que desea eliminar, puede recibir el siguiente mensaje de error al eliminar el servidor mencionado en el paso 15:
Error 2094. No se puede eliminar el objeto DSA 0x2094
Ingrese salir y presione ENTER. Aparecerá el menú [Borrado de metadatos].
Ingrese, seleccione el objetivo de operación y presione ENTER.
Ingrese a la lista de dominios y presione ENTER. Aparece una lista de dominios basados en árbol, y cada dominio tiene un número asociado.
Ingrese el número de dominio seleccionado y presione ENTER, donde número es el número asociado con el dominio del cual es miembro el servidor que desea eliminar. El dominio que seleccionó se utiliza para determinar si el servidor que se eliminará es el último controlador de dominio para ese dominio.
Ingrese a la lista de sitios y presione ENTER. Aparece una lista de sitios, cada uno con un número asociado.
Ingrese el número del sitio seleccionado y presione ENTRAR, donde número es el número asociado con el sitio del cual es miembro el servidor que desea eliminar. Debería recibir un mensaje de confirmación enumerando el sitio web y el dominio que seleccionó.
Ingrese a la lista de servidores en el sitio y presione ENTER. Aparecerá una lista de los servidores del sitio web, y cada servidor tendrá un número asociado.
Ingrese el número de servidor seleccionado, donde número es el número asociado con el servidor que desea eliminar. Recibirá un mensaje de confirmación que enumera el servidor seleccionado, su nombre de host del Sistema de nombres de dominio (DNS) y la ubicación de la cuenta de computadora del servidor que desea eliminar.
Ingresa salir y presiona ENTER. Aparecerá el menú [Borrado de metadatos].
Ingresa eliminar servidor seleccionado y presiona ENTER. Debería recibir confirmación de que la eliminación se realizó correctamente. Si recibe el siguiente mensaje de error:
Error 8419 (0x20E3)
Objeto DSA no encontrado
Porque otro administrador del sistema ha ejecutado la utilidad Dcpromo El archivo "NTDS Es posible que el objeto "Configuración" se haya eliminado de Active Directory si se eliminó el objeto "Configuración NTDS" o si se sobrescribió un objeto eliminado correctamente.
Nota También es posible que veas este error al intentar conectarte a un controlador de dominio que está a punto de eliminarse. Ntdsutil no puede vincularse a un controlador de dominio que la utilidad de limpieza de retransmisión está a punto de eliminar.
Ingrese salir en cada menú para finalizar la utilidad Ntdsutil. Debería recibir confirmación de que la conexión se desconectó correctamente.
Elimine el registro cname del dominio _msdcs.root de la zona forestal en DNS. Suponiendo que el DC está a punto de reinstalarse y actualizarse, cree un nuevo objeto "Configuración NTDS" con el nuevo GUID y el registro cname DNS coincidente. No desea que su DC existente utilice el registro cname antiguo.
Como práctica recomendada, elimine el nombre de host y otros registros DNS. Si el tiempo de retención mínimo en una dirección del Protocolo de configuración dinámica de host (DHCP) asignada a un servidor fuera de línea ha expirado, otro cliente puede obtener la dirección IP del DC problemático.
Ahora que se ha eliminado el objeto "Configuración NTDS", puede eliminar cuentas de computadora, objetos miembro de FRS, registros cname (o alias) en el contenedor _msdcs, registros A (o host) en DNS y Elimine el objeto TrustDomain y la estación de control de dominio del subdominio.
Nota No es necesario eliminar manualmente los objetos miembro de FRS en Windows Server 2003 RTM porque la utilidad Ntdsutil.exe ya elimina los objetos miembro de FRS cuando ejecuta la utilidad. Además, si la cuenta de computadora del DC contiene otro objeto hoja, los metadatos de la cuenta de computadora no se pueden eliminar. Por ejemplo, el Servicio de instalación remota (RIS) podría estar instalado en el DC.
La utilidad Adsiedit se incluye en la función Herramientas de soporte de Windows de Windows 2000 Server y Windows Server 2003. Si desea instalar las herramientas de soporte de Windows, siga los pasos a continuación:
Windows 2000 Server: en el CD-ROM de Windows 2000 Server, abra la carpeta Support\Tools, haga clic en Setup.exe dos veces y luego Siga las instrucciones que aparecen en pantalla para continuar.
Windows Server 2003: en el CD de Windows Server 2003, abra la carpeta Support\Tools, haga clic en Support.msi dos veces, haga clic en [Instalar] y luego siga los pasos del Asistente de instalación de herramientas de soporte de Windows para completar la instalación.
Utilice ADSIEdit para eliminar cuentas de computadora. Para hacer esto, siga estos pasos:
Haga clic en Inicio, haga clic en Ir, ingrese adsiedit.msc en el cuadro Abrir y haga clic en Aceptar.
Amplíe el contenedor [Dominio NC].
Expandir [DC=Su Nombre de Dominio, DC=COM, PRI, LOCAL, NET].
Expandir [OU=Controladores de Dominio].
Haga clic derecho en CN=nombre del controlador de dominio y haga clic en Eliminar.
Cuando intenta eliminar un objeto y recibe el mensaje de error "No se puede eliminar el objeto DSA", cambie el valor de UserAccountControl. Si desea cambiar el valor de UserAccountControl, haga clic derecho en la estación de control de dominio en ADSIEdit y haga clic en Contenido. En Seleccionar contenido para ver, haga clic en UserAccountControl. Haga clic en Borrar, cambie el valor a 4096 y luego haga clic en Establecer. Ahora puedes eliminar el objeto.
Nota Al eliminar el objeto Computadora, el objeto Suscriptor de FRS también se elimina porque es un subelemento de la Cuenta de computadora.
Utilice ADSIEdit para eliminar objetos miembro de FRS. Para hacer esto, siga estos pasos:
Haga clic en Inicio, haga clic en Ir, ingrese adsiedit.msc en el cuadro Abrir y haga clic en Aceptar.
Amplíe el contenedor [Dominio NC].
Expandir [DC=Su Dominio, DC=COM, PRI, LOCAL, NET].
Ampliar [CN=Sistema].
Expandir [CN=Servicio de replicación de archivos].
Expandir [CN=Volumen del sistema de dominio (compartido SYSVOL)].
Haga clic derecho en el controlador de dominio que desea eliminar y haga clic en Eliminar.
En la consola DNS, utilice el MMC de DNS para eliminar el registro A en DNS. Los registros A también se denominan registros de host. Si desea eliminar un registro A, haga clic derecho en el registro A y haga clic en Eliminar. Además, también se elimina el registro cname (también conocido como Alias) en el contenedor _msdcs. Para hacer esto, expanda el contenedor [_msdcs], haga clic derecho en cname y haga clic en Eliminar.
Importante Si anteriormente era un servidor DNS, elimine la referencia a este DC bajo la etiqueta de índice Servidores de nombres. Para hacer esto, haga clic derecho en el nombre de dominio en Forward Maps, haga clic en Contenido y elimine el servidor de la pestaña de índice de Servidores de nombres.
Nota Si tiene zonas de mapeo inverso, elimine también los servidores de esas zonas.
Si la computadora eliminada es la última estación de control de dominio en el subdominio y el subdominio se ha eliminado, utilice ADSIEdit para eliminar el objeto TrustDomain del subdominio. Para hacer esto, siga estos pasos:
Haga clic en Inicio, haga clic en Ir, ingrese adsiedit.msc en el cuadro Abrir y haga clic en Aceptar.
Amplíe el contenedor [Dominio NC].
Expandir [DC=Su Dominio, DC=COM, PRI, LOCAL, NET].
Ampliar [CN=Sistema].
Haga clic derecho en el objeto Dominios de confianza y haga clic en Eliminar.
Utilice Sitios y Servicios de Active Directory para eliminar el controlador de dominio. Para ello, siga estos pasos:
Inicie Sitios y servicios de Active Directory.
Ampliar [sitio].
Ampliar el sitio del servidor. El sitio predeterminado es [Nombre-primer-sitio-predeterminado].
Ampliar [Servidores].
Haga clic derecho en la estación de control de dominio y haga clic en Eliminar.
Sintaxis opcional avanzada para Ntdsutil.exe SP1 o posterior
Windows Server 2003 SP1 ha introducido una nueva sintaxis que se puede utilizar. Al utilizar la nueva sintaxis, ya no necesita vincularse a DS y seleccionar sus objetivos de acción. Si desea utilizar la nueva sintaxis, debe conocer u obtener el DN del objeto de configuración NTDS para el servidor que se está degradando. Si desea utilizar la nueva sintaxis para borrar metadatos, siga estos pasos:
Ejecute ntdsutil.
Cambiar al carácter de aviso de borrado de metadatos.
Ejecute el siguiente comando
elimine el servidor seleccionado lt;DN del objeto de servidor en el contenedor de configuracióngt;
Un ejemplo de este comando es el siguiente.
Tenga en cuenta que la siguiente línea ha sido ajustada.
Eliminar el servidor seleccionado cn=servername, cn=servers, cn=sitename, cn=sites, cn=configuration, dc=lt; forest_root_domainingt;
Eliminar el área del árbol en DNS registro cname del dominio _msdcs.root. Suponiendo que el DC está a punto de reinstalarse y actualizarse, cree un nuevo objeto "Configuración NTDS" con el nuevo GUID y el registro cname DNS coincidente. No desea que su DC existente utilice el registro cname antiguo.
Como práctica recomendada, elimine el nombre de host y otros registros DNS. Si el tiempo de retención mínimo en una dirección del Protocolo de configuración dinámica de host (DHCP) asignada a un servidor fuera de línea ha expirado, otro cliente puede obtener la dirección IP del DC problemático.
Si la computadora eliminada es la última estación de control de dominio en el subdominio y el subdominio se ha eliminado, utilice ADSIEdit para eliminar el objeto TrustDomain del subdominio. Para hacer esto, siga estos pasos:
Haga clic en Inicio, haga clic en Ir, ingrese adsiedit.msc y haga clic en Aceptar.
Amplíe el contenedor [Dominio NC].
Expandir [DC=Su Nombre de Dominio, DC=COM, PRI, LOCAL, NET].
Ampliar [CN=Sistema].
Haga clic derecho en el objeto Dominios de confianza y haga clic en Eliminar.
Utilice Sitios y Servicios de Active Directory para eliminar el controlador de dominio. Para ello, siga estos pasos:
Inicie Sitios y servicios de Active Directory.
Ampliar [sitio].
Ampliar el sitio del servidor. El sitio predeterminado es [Nombre-primer-sitio-predeterminado].
Ampliar [Servidores].
Haga clic derecho en la estación de control de dominio y haga clic en Eliminar.