Cómo eliminar datos en AD después de que falla la degradación del controlador de dominio
1. Haga clic en Inicio, seleccione Programas, seleccione Accesorios y luego haga clic en Símbolo del sistema. 2. En el símbolo del sistema, escriba ntdsutil y luego presione Entrar. 3. Escriba limpieza de metadatos y presione Entrar. Según las opciones proporcionadas, el administrador puede realizar la eliminación, pero se deben especificar parámetros de configuración adicionales antes de poder realizar la eliminación. 4. Escriba conexiones y presione Entrar. Este menú se utiliza para conectarse al servidor específico donde se producirán estos cambios. Si el usuario que ha iniciado sesión actualmente no tiene derechos administrativos, puede especificar credenciales alternativas para usar antes de establecer la conexión. Para hacer esto, escriba set credsDomainNameUserNamePassword y luego presione Enter. Si la contraseña está vacía, escriba nulo como parámetro de contraseña. 5. Escriba conectarse al servidor nombre del servidor y presione Entrar. Luego aparece un mensaje de confirmación indicando que la conexión se estableció exitosamente. Si se produce un error, verifique que el controlador de dominio utilizado en la conexión esté disponible y que las credenciales que proporcionó tengan derechos administrativos para el servidor.
Nota: Si el servidor al que intenta conectarse es el que desea eliminar, se mostrará el siguiente mensaje de error al intentar eliminar el servidor mencionado en el paso 15:
Error 2094. El objeto DSA no se puede eliminar 0x20946 Escriba quit y luego presione Entrar. Aparecerá el menú Borrar metadatos. 7. Escriba seleccionar objetivo de operación y presione Entrar. 8. Escriba lista de dominios y presione Entrar. Se muestra una lista de todos los dominios del bosque, cada dominio tiene un número asociado. 9. Escriba seleccionar número de dominio y presione Entrar, donde número es el número asociado con el dominio que desea eliminar. El dominio que seleccione se utiliza para determinar si el servidor que se eliminará es el último controlador de dominio para ese dominio. 10. Escriba lista de sitios y presione Entrar. Se mostrará una lista de sitios, cada sitio tiene un número asociado. 11. Escriba el número de sitio seleccionado y presione Entrar, donde número es el número asociado con el dominio que desea eliminar. Aparecerá un mensaje de confirmación enumerando el sitio y el dominio seleccionados. 12. Escriba servidores de lista en el sitio y presione Entrar. Aparecerá una lista de todos los servidores del sitio, cada uno con un número asociado. 13. Escriba el número de servidor seleccionado, donde número es el número asociado con el servidor que desea eliminar. Aparece un mensaje de confirmación que enumera el servidor seleccionado, el nombre de host del servidor de nombres de dominio (DNS) del servidor y la ubicación de la cuenta de computadora del servidor que se eliminará. 14. Escriba salir y presione Entrar. Aparecerá el menú Borrar metadatos. 15.Escriba eliminar servidor seleccionado y presione Entrar. Aparecerá un mensaje de confirmación indicando que la eliminación se completó con éxito. Si aparece el siguiente mensaje de error:
Error 8419 (0x20E3)
No se pudo encontrar el objeto DSA, es posible que el objeto "Configuración NTDS" se haya eliminado de Active Directory debido a otros El administrador eliminó el objeto de configuración NTDS o ejecutó la utilidad DCPROMO y eliminó exitosamente el objeto nuevamente.
Nota: Este error también puede ocurrir al intentar vincularse a un controlador de dominio que se está eliminando. Ntdsutil debe estar vinculado a un controlador de dominio distinto del controlador de dominio que se elimina con la limpieza de metadatos. 16. Escriba quit en cada menú para salir de la utilidad NTDSUTIL.
Aparecerá un mensaje de confirmación indicando que la conexión se desconectó exitosamente. 17. Elimine el registro cname en el dominio _msdcs.root de la zona forestal de DNS. Se supone que el DC se está reinstalando y volviendo a promocionar, por lo que se crea un nuevo objeto "Configuración NTDS" con un nuevo GUID y un registro cname coincidente en DNS. No desea que el DC existente utilice el registro cname antiguo.
Como práctica recomendada, elimine el nombre de host y otros registros DNS. Si se excede el tiempo de concesión restante en la dirección del Protocolo de configuración dinámica de host (DHCP) asignada al servidor fuera de línea, otro cliente puede obtener la dirección IP del DC problemático. Ahora que se ha eliminado el objeto de configuración NTDS, puede eliminar la cuenta de la computadora, el objeto miembro de FRS, el registro cname (o alias) en el contenedor _msdcs, el registro A (o host) en DNS, el objeto trustDomain para el objeto eliminado subdominio y el controlador de dominio.
La utilidad Adsiedit se incluye en la función Herramientas de soporte de Windows de Windows 2000 Server y Windows Server 2003. Para instalar las herramientas de soporte de Windows, siga estos pasos: Windows 2000 Server: en el CD de instalación de Windows 2000 Server, abra la carpeta Soporte/Herramientas, haga doble clic en Setup.exe y luego siga las instrucciones que aparecen en pantalla. Windows Server 2003: en el CD de instalación de Windows Server 2003, abra la carpeta Soporte/Herramientas, haga doble clic en Support.msi, haga clic en Instalar y luego siga los pasos del Asistente de instalación de herramientas de soporte de Windows para completar la instalación. 1. Utilice ADSIEdit para eliminar la cuenta de la computadora. Para ello, siga estos pasos: a. Haga clic en Inicio, haga clic en Ejecutar, escriba adsiedit.msc en el cuadro Abrir y luego haga clic en Aceptar. b. Expanda el contenedor "Dominio NC". c. Expanda "DC=Su nombre de dominio, DC=COM, PRI, LOCAL, NET". d. Expanda "OU=Controladores de dominio". e. Haga clic derecho en "CN=nombre del controlador de dominio" y haga clic en "Eliminar". Si recibe el mensaje de error "El objeto DSA no se puede eliminar" al intentar eliminar un objeto DSA, cambie el valor de UserAccountControl. Para cambiar el valor de UserAccountControl, haga clic con el botón derecho en el controlador de dominio en ADSIEdit y luego haga clic en Propiedades. En Seleccione una propiedad para ver, haga clic en UserAccountControl. Haga clic en Borrar, cambie el valor a 4096 y luego haga clic en Establecer. Ahora puedes eliminar el objeto.
Nota: Cuando elimina el objeto de computadora, el objeto Suscriptor de FRS también se elimina porque es un objeto secundario de la cuenta de computadora. 2. Utilice ADSIEdit para eliminar el objeto miembro de FRS. Para ello, siga estos pasos: a. Haga clic en Inicio, haga clic en Ejecutar, escriba adsiedit.msc en el cuadro Abrir y luego haga clic en Aceptar. b. Expanda el contenedor "Dominio NC". c. Expanda "DC=Su dominio, DC=COM, PRI, LOCAL, NET". d. Expanda "CN=Sistema". e. Expanda "CN=Servicio de replicación de archivos". f. Expanda "CN=Volumen del sistema de dominio (compartido SYSVOL)". g. Haga clic derecho en el controlador de dominio que desea eliminar y luego haga clic en Eliminar. 3. En la consola DNS, use DNS MMC para eliminar el registro A en DNS. Los registros A también se denominan registros "host".
Para eliminar un registro A, haga clic derecho en el registro A y haga clic en Eliminar. Elimine también el registro cname (también conocido como "alias") en el contenedor "_msdcs". Para hacer esto, expanda el contenedor "_msdcs", haga clic derecho en el cname y luego haga clic en Eliminar.
Importante: Si se trata de un servidor DNS, elimine la referencia al DC en la pestaña Servidores de nombres. Para hacer esto, en la consola DNS, haga clic en el nombre de dominio en la zona de búsqueda directa y luego elimine el servidor de la pestaña Servidores de nombres.
Nota: Si hay áreas de búsqueda inversa, elimine el servidor de estas áreas también. 4. Si la computadora eliminada era el último controlador de dominio en el subdominio y el subdominio también se eliminó, use ADSIEdit para eliminar el objeto TrustDomain para el subdominio. Para ello, siga estos pasos: a. Haga clic en Inicio, haga clic en Ejecutar, escriba adsiedit.msc en el cuadro Abrir y luego haga clic en Aceptar. b. Expanda el contenedor "Dominio NC". c. Expanda "DC=Su dominio, DC=COM, PRI, LOCAL, NET". d. Expanda "CN=Sistema". e. Haga clic derecho en el objeto Dominio de confianza y haga clic en Eliminar. 5. Utilice Sitios y servicios de Active Directory para eliminar el controlador de dominio. Para ello, siga estos pasos: a. Inicie Sitios y servicios de Active Directory. b. Expanda "Sitio". c. Expandir el sitio del servidor. El sitio predeterminado es "Nombre-primer-sitio-predeterminado". d. Expanda "Servidor". e. Haga clic derecho en Controlador de dominio y haga clic en Eliminar. Además, considere lo siguiente: Si el controlador de dominio eliminado alguna vez fue un servidor de catálogo global, evalúe si los servidores de aplicaciones que apuntan al servidor de catálogo global fuera de línea deben apuntar a un servidor de catálogo global activo. Si el controlador de dominio eliminado alguna vez fue un servidor de catálogo global, evalúe si se deben promover catálogos globales adicionales para abordar la carga en el catálogo global de sitio, dominio o bosque. Si el controlador de dominio eliminado tenía funciones de operación maestra única flexible (FSMO), reasigne estas funciones a un controlador de dominio activo. Si el DC eliminado alguna vez fue un servidor DNS, actualice la configuración del cliente DNS en todas las estaciones de trabajo miembros, servidores miembros y otros DC que puedan haber usado este servidor DNS para la resolución de nombres. Si es necesario, modifique el alcance de DHCP para reflejar que se ha eliminado el servidor DNS. Si el DC eliminado alguna vez fue un servidor DNS, actualice la configuración del reenviador y la configuración de delegación en todos los demás servidores DNS que puedan apuntar al DC para la resolución de nombres.