Cmo quitar datos en Active Directory despus de una degradacin sin xito de un controlador de dominio

Este artculo se public anteriormente con el nmero E216498

Resumen
En este artculo se describe cmo quitar datos en Active Directory despus de una degradacin sin xito de un controlador de dominio. Advertencia Si utiliza el complemento ADSI Edit, la utilidad LDP o cualquier otro cliente de LDAP versin 3, y modifica los atributos de los objetos de Active Directory incorrectamente, puede provocar problemas graves. Debido a estos problemas, puede ser necesario reinstalar Microsoft Windows 2000 Server, Microsoft Windows Server 2003, Microsoft Exchange 2000 Server, Microsoft Exchange Server 2003 o Windows y Exchange (ambos). Microsoft no garantiza que los problemas derivados de la modificacin incorrecta de los atributos de los objetos de Active Directory puedan resolverse. Modifique estos atributos bajo su responsabilidad. El Asistente para instalacin de Active Directory (Dcpromo.exe) se usa para promover un servidor a controlador de dominio y para degradar un controlador de dominio a servidor miembro (o a servidor independiente de un grupo de trabajo si el controlador de dominio es el ltimo del dominio). Como parte del proceso de degradacin, el asistente quita de Active Directory los datos de configuracin del controlador de dominio. Estos datos toman la forma de un objeto de configuracin NTDS que existe como elemento secundario del objeto de servidor en Sitios y servicios de Active Directory. La informacin se encuentra en la ubicacin siguiente de Active Directory: CN=NTDS Settings,CN=<nombreDeServidor>,CN=Servers,CN=<nombreDeSitio>,CN=Sites,CN= Configuration,DC=<dominio>... Los atributos del objeto de configuracin NTDS incluyen datos que representan la forma en que se identifica el controlador de dominio en relacin a sus asociados de replicacin, los contextos de denominacin que se mantienen en el equipo, si el controlador de dominio es un servidor de catlogo global y la directiva de consultas predeterminada. El objeto de configuracin NTDS tambin es un contenedor que puede tener objetos secundarios que representen a los asociados de replicacin directos del controlador de dominio. Estos datos son necesarios para que el controlador de dominio opere en el entorno, pero se retiran tras la degradacin. En el caso de que el objeto de configuracin NTDS no se quite correctamente (por ejemplo, si no se quita de forma apropiada tras un intento de degradacin), el administrador puede usar la utilidad Ntdsutil.exe para quitarlo manualmente. Los pasos siguientes indican el procedimiento para quitar el objeto de configuracin NTDS en

Active Directory para un controlador de dominio en particular. En cada men de Ntdsutil, el administrador puede escribir help para obtener ms informacin acerca de las opciones disponibles. Precaucin Antes de quitar manualmente el objeto de configuracin NTDS para cualquier servidor, el administrador tambin debe asegurarse de que la replicacin ha tenido lugar desde la degradacin. El uso incorrecto de la utilidad Ntdsutil puede provocar la inhabilitacin parcial o completa de las funciones de Active Directory. Volver al principio

Procedimiento
Haga clic en Inicio, seleccione Programas, Accesorios y, a continuacin, haga clic en Smbolo del sistema. 2. En el smbolo del sistema, escriba ntdsutil y, a continuacin, presione ENTRAR. Escriba metadata cleanup y, a continuacin, presione ENTRAR. Segn las opciones 3. dadas, el administrador puede realizar la eliminacin; pero para que ello sea posible se deben especificar parmetros de configuracin adicionales. Escriba connections y presione ENTRAR. Este men se usa para conectar con el servidor especfico donde se producen los cambios. Si el usuario que ha iniciado sesin no tiene permisos administrativos, se pueden suministrar credenciales diferentes especificando las credenciales que hay que usar antes de realizar la 4. conexin. Para ello, escriba set creds nombre de dominionombreDeUsuariocontrasea y, a continuacin, presione ENTRAR. Para escribir una contrasea nula, escriba null en el parmetro correspondiente a la contrasea. Escriba connect to server nombre de servidor y, a continuacin, presione ENTRAR. Debe recibir la confirmacin de que la conexin se ha establecido correctamente. Si se produce un error, compruebe que el controlador de dominio que se usa en la conexin est disponible y que las credenciales que ha suministrado tienen permisos administrativos en el servidor. 5. Nota Si intenta conectar con el mismo servidor que desea eliminar, cuando intente eliminar el servidor al que se hace referencia en el paso 15, puede aparecer un mensaje de error similar al siguiente: Error 2094. No se puede eliminar el objeto DSA Escriba quit y, a continuacin, presione Entrar. Aparece el men Metadata 6. Cleanup. 7. Escriba select operation target y presione ENTRAR. Escriba list domains y presione ENTRAR. Se muestra una lista de dominios en el 8. bosque, cada uno con un nmero asociado. Escriba select domain nmero y, a continuacin, presione ENTRAR, donde nmero es el nmero asociado con el dominio del que es miembro el servidor que est 9. quitando. El dominio que seleccione se usa para determinar si el servidor que se est quitando es el ltimo controlador de dominio de ese dominio. 10. Escriba list sites y presione ENTRAR. Se muestra una lista de sitios, cada uno con 1.

un nmero asociado. Escriba select site nmero y, a continuacin, presione ENTRAR, donde nmero es 11. el nmero asociado con el sitio del que es miembro el servidor que est quitando. Debera recibir una confirmacin que enumere el sitio y el dominio que elija. Escriba list servers in site y presione ENTRAR. Se muestra una lista de los 12. servidores del sitio, cada uno con un nmero asociado. Escriba select server nmero, donde nmero es el nmero asociado con el servidor que desea quitar. Aparece una confirmacin donde se indica el servidor 13. seleccionado, su nombre de host de Servidor de nombres de dominio (DNS) y la ubicacin de la cuenta de equipo del servidor que desea quitar. 14. Escriba quit y presione ENTRAR. Aparece el men Metadata Cleanup. Escriba remove selected server y presione ENTRAR. Debe recibir la confirmacin de que la eliminacin se ha completado correctamente. Si aparece el mensaje de error siguiente: Error 8419 (0x20E3) No se encontr el objeto DSA el objeto de configuracin NTDS puede haberse quitado ya de Active Directory 15. porque lo haya quitado otro administrador o como consecuencia de la replicacin de la eliminacin con xito del objeto despus de ejecutar la utilidad DCPROMO. Nota Tambin puede ver este error cuando intenta enlazar con el controlador de dominio que se va a quitar. Ntdsutil tiene que enlazar con otro controlador de dominio distinto al que se va a quitar con la limpieza de metadatos. Escriba quit en cada men para salir de la utilidad Ntdsutil. Debe aparecer la 16. confirmacin de que la desconexin se ha completado correctamente. Quite el registro cname de la zona _msdcs.dominio raz del bosque en DNS. Suponiendo que el controlador de dominio (DC) se va a reinstalar y se va a volver a promover, se crea un nuevo objeto de configuracin NTDS con un nuevo GUID y un registro cname coincidente en DNS. Es mejor que los DC que existan no usen el registro cname antiguo. 17. Es aconsejable eliminar el nombre de host y otros registros DNS. Si se supera el tiempo de concesin que queda en la direccin de Protocolo de configuracin dinmica de host (DHCP, Dynamic Host Configuration Protocol) asignada al servidor sin conexin, otro cliente puede obtener la direccin IP del DC problemtico. Ahora que se ha eliminado el objeto de configuracin NTDS, puede eliminar la cuenta de equipo, el objeto miembro FRS, el registro cname (o Alias) del contenedor _msdcs, el registro A (o Host) en DNS, el objeto trustDomain para un dominio secundario eliminado y el controlador de dominio. La utilidad Adsiedit se incluye con la funcionalidad Herramientas de soporte de Windows tanto en Windows 2000 Server como en Windows Server 2003. Para instalar Herramientas de soporte de Windows, siga estos pasos: Windows 2000 Server: En el CD Windows 2000 Server, abra la carpeta Support\Tools, haga doble clic en Setup.exe y siga las instrucciones que aparecen en pantalla.

Windows Server 2003: En el CD Windows Server 2003, abra la carpeta Support\Tools, haga doble clic en Suptools.msi, haga clic en Instalar y siga despus los pasos del Asistente para configuracin de herramientas de soporte de Windows para completar la instalacin. Use ADSIEdit para eliminar la cuenta de equipo. Para ello, siga estos pasos: Haga clic en Inicio y en Ejecutar, en el cuadro Abrir escriba adsiedit.msc y, a a. continuacin, haga clic en Aceptar. b. Expanda el contenedor Domain NC. c. Expanda DC=Su nombre de dominio, DC=COM, PRI, LOCAL, NET. d. Expanda OU=Domain Controllers. Haga clic con el botn secundario del mouse (ratn) en CN=nombre de e. controlador de dominio y, despus, haga clic en Eliminar. 1. Si aparece el mensaje de error "No se puede eliminar el objeto DSA" cuando intenta eliminar el objeto, cambie el valor de UserAccountControl. Para cambiar el valor de UserAccountControl, haga clic con el botn secundario del mouse en el controlador de dominio en ADSIEdit y, despus, haga clic en Properties. En Select a property to view, seleccione UserAccountControl. Haga clic en Clear, cambie el valor por 4096 y, despus, haga clic en Set. Ya puede eliminar el objeto. Nota El objeto de suscriptor FRS se elimina cuando se elimina el objeto de equipo porque es un objeto secundario de la cuenta de equipo. Use ADSIEdit para eliminar el objeto de miembro FRS. Para ello, siga estos pasos: Haga clic en Inicio y en Ejecutar, en el cuadro Abrir escriba adsiedit.msc y, a a. continuacin, haga clic en Aceptar. b. Expanda el contenedor Domain NC. c. Expanda DC=su dominio, DC=COM, PRI, LOCAL, NET. 2. d. Expanda CN=System. e. Expanda CN=File Replication Service. f. Expanda CN=Domain System Volume (SYSVOL share). Haga clic con el botn secundario del mouse en el controlador de dominio que g. est quitando y, a continuacin, haga clic en Eliminar. En la consola DNS, use MMC de DNS para eliminar el registro A en DNS. El registro A tambin se conoce como registro Host. Para eliminar el registro A, haga clic con el botn secundario del mouse en l y, despus, haga clic en Eliminar. Elimine igualmente el registro cname (tambin conocido como Alias) en el contenedor _msdcs. Para ello, expanda el contenedor _msdcs, haga clic con el botn secundario del mouse en el registro cname y, despus, haga clic en Eliminar. 3. Importante Si ste era un servidor DNS, quite la referencia a este DC debajo de la ficha Servidores de nombres. Para ello, en la consola DNS haga clic en el nombre de dominio en Zonas de bsqueda inversa y, despus, quite este servidor de la ficha Servidores de nombres. Nota

Si tiene zonas de bsqueda inversas, quite tambin el servidor de esas zonas. Si el equipo eliminado era el ltimo controlador de dominio de un dominio secundario y ste tambin se elimin, use ADSIEdit para eliminar el objeto trustDomain del objeto secundario. Para ello, siga estos pasos: Haga clic en Inicio y en Ejecutar, en el cuadro Abrir escriba adsiedit.msc y, a a. continuacin, haga clic en Aceptar. 4. b. Expanda el contenedor Domain NC. c. Expanda DC=su dominio, DC=COM, PRI, LOCAL, NET. d. Expanda CN=System. Haga clic con el botn secundario del mouse en el objeto Dominio de confianza e. y, a continuacin, haga clic en Eliminar. Use Sitios y servicios de Active Directory para quitar el controlador de dominio. Para ello, siga estos pasos: a. Inicie Sitios y servicios de Active Directory. b. Expanda Sitios. 5. Expanda el sitio del servidor. El sitio predeterminado es Nombrec. predeterminado-primer-sitio. d. Expanda Servidor. Haga clic con el botn secundario del mouse en el controlador de dominio y, a e. continuacin, haga clic en Eliminar. Adems, tenga en cuenta los siguientes extremos: Si el controlador de dominio eliminado era un servidor de catlogo global, evale si los servidores de aplicaciones que sealan al servidor de catlogo global sin conexin deben sealar a un servidor de catlogo global en conexin. Si el DC eliminado era un servidor de catlogo global, evale si un catlogo global adicional debe ser promocionada al sitio de direccin, el dominio o la carga del catlogo global del bosque. Si el DC eliminado era un titular de funcin de Operacin de maestro nico flexible (FSMO), reubique esas funciones en un DC con conexin. Si el DC eliminado era un servidor DNS, actualice la configuracin de cliente DNS en todas las estaciones de trabajo miembro, servidores miembro y otros DC que podran haber usado este servidor DNS para la resolucin de nombres. Si esto se requiere, modifique el mbito DHCP para que refleje la eliminacin del servidor DNS. Si el DC eliminado era un servidor DNS, actualice la configuracin del Reenviador y la configuracin de Delegacin en cualquier otro servidor DNS que pudiera haber sealado al DC eliminado para la resolucin de nombres. Volver al principio

Ms informacin
Para obtener informacin adicional acerca de cmo degradar forzosamente un controlador de dominio de Windows Server 2003 o de Windows 2000, haga clic en el nmero de artculo siguiente para verlo en Microsoft Knowledge Base: 332199 (http://support.microsoft.com/kb/332199/) Uso del comando DCPROMO /FORCEREMOVAL para forzar la degradacin de los controladores de dominio de Active Directory