Home
About
Archives
Contactenos
Ayuda | Help

08 2013

Windows Server: Como limpiar la metadata de nuestro Directory Services {ScreenCast}

www.radians.com.ar © 2013Limpieza de metadatos es un procedimiento necesario después de un retiro forzado de los Servicios de dominio de Active Directory (AD DS). La limpieza de metadatos elimina datos de AD DS que identifica un controlador de dominio para el sistema de replicación. La limpieza de metadatos también elimina Servicio de replicación de archivos (FRS) y el Sistema de archivos distribuido (DFS) Las conexiones de replicación y los intentos de transferir o asumir cualquier maestro de operaciones (también conocido como flexible single master operations o FSMO) que el controlador de dominio eliminado posee.

En definitiva, el Asistente para instalación de Active Directory (Dcpromo.exe) se usa para promover un servidor a controlador de dominio y para degradar un controlador de dominio a servidor miembro (o a un servidor independiente de un grupo de trabajo si el controlador de dominio es el último del dominio). Como parte del proceso de degradación, el asistente quita de Active Directory los datos de configuración del controlador de dominio. Estos datos toman la forma de un objeto de configuración NTDS que existe como elemento secundario del objeto de servidor en Sitios y servicios de Active Directory.

La información se encuentra en la ubicación siguiente de Active Directory:
CN=NTDS Settings, CN=<nombreDeServidor>, CN=Servers, CN=<nombreDeSitio>, CN=Sites, CN=Configuration, DC=<dominio>…

Los atributos del objeto de configuración NTDS incluyen datos que representan la forma en que se identifica el controlador de dominio con respecto a sus asociados de replicación, los contextos de nomenclatura que se mantienen en el equipo, si el controlador de dominio es un servidor de catálogo global y la directiva de consultas predeterminada. El objeto de configuración NTDS también es un contenedor que puede tener objetos secundarios que representen a los asociados de replicación directos del controlador de dominio. Estos datos son necesarios para que el controlador de dominio opere en el entorno, pero se retiran tras la degradación.

Si el objeto de configuración NTDS no se quita correctamente (por ejemplo, si no se quita de forma apropiada tras un intento de degradación), el administrador puede quitar manualmente los metadatos de un objeto de servidor. Tanto en Windows Server 2008 como en Windows Server 2008 R2, el administrador puede quitar los metadatos de un objeto de servidor quitando dicho objeto en el complemento Usuarios y equipos de Active Directory.

En Windows Server 2003 y Windows 2000 Server, el administrador puede usar la utilidad Ntdsutil.exe para quitar manualmente el objeto de configuración NTDS. Los pasos siguientes indican el procedimiento para quitar el objeto de configuración NTDS en Active Directory para un controlador de dominio determinado. En todos los menús de Ntdsutil, el administrador puede escribir help para obtener más información acerca de las opciones disponibles.

Cabe recordar que Windows Server 2003 Service Pack 1 (SP1), y los Service Pack posteriores poseen una versión mejorada de Ntdsutil.exe. Esta versión, en comparación con la del Windows Server 2003 se ha mejorado para completar el proceso de limpieza de metadatos. Esta herramienta hace lo siguiente cuando se ejecuta la limpieza de metadatos:

  • Quita el asunto de NTDSA o de configuración NTDS.
  • Quita los objetos de conexión AD entrante que los controladores de dominio de destino existentes utilizan para replicar desde el controlador de dominio de origen que se va a eliminar.
  • Quita la cuenta de equipo.
  • Quita el objeto miembro FRS.
  • Quita los objetos suscriptores FRS.
  • Intenta asumir las funciones de maestro de operaciones único flexible (también conocido como FSMO, flexible single master operations) que tiene el controlador de dominio que se va a quitar.

Debemos tener una PRECAUCION MUY IMPORTANTE, antes de quitar manualmente el objeto de configuración NTDS para cualquier servidor, debemos asegurarnos de que la replicación se ha realizado sin problemas desde la degradación. Y, obviamnete, que si usamos de forma incorrecta el Ntdsutil podemos provocar la inhabilitación parcial o completa de las funciones de nuestra arquitectura de Active Directory.

En nuestro video de hoy, he tratado de reproducir un ambiente con un problema en la metadata como para mostrarles el procedimiento del proceso, por lo que genere este ScreenCast:

Espero que les sea de interés. Saludos, Roberto Di Lello.

En 2014 debido a nuevas disposiciones de la ley Argentina debo afrontar distintos gastos para mantener el blog en funcionamiento. Si te parecio util la informacion del blog hace click en el boton "DONATE" o Ayudar al Blog - DONAR Si te ha gustado este post, por favor considera Dejar un Comentario o Suscribirse a este sitio por medio de RSS para tener los futuros artículos desarrollados en su lector de feeds.

7 Comentarios to “Windows Server: Como limpiar la metadata de nuestro Directory Services {ScreenCast}”

  1. Roberto, como estás?
    Ante todo quería darte muchas gracias por el servicio que nos das, leo atentamente todas las publicación que subís las cuales son muy útiles.
    Te hago una consulta corta y no te quiero quitar demasiado tiempo. Tengo un dominio Windows 2008 R2 la cual tiene aplicadas alguna políticas de por GPO para mantener lo más seguro posible el ambiente. Las mismas están probadas y hace ya un tiempo que están en producción. En tema surgió cuando agregamos Windows 8 al dominio, la cual no me permite cambiar el nombre y el password del usuario Administrador local, la misma genera un error de ID 4098 cuya descripción dice que .
    Desde ya agradecería tu ayuda y quedo a tu disposición en lo que te pueda ayudar.
    Muchas gracias.

    Carlos Ruiz

  2. Carlos Ruiz,disculpa mi demora en contestar pero estuve con algunos temas de salud, y estoy medio complicado con los tiempos y voy respondiendo de a poco a medida que puedo.

    Respecto a tu pregunta, te pido que me envies el mensaje de error que no estaba, igualmente te paso una nota que creo que podria ayudarte:
    Event ID 4098 — Group Policy Preferences (Group Policy Printers ) http://social.technet.microsoft.com/wiki/contents/articles/12743.event-id-4098-group-policy-preferences-group-policy-printers.aspx

    Aprovecho la oportunidad para agradecerte por participar del blog y ayudar a que siga creciendo! Te pido que difundas la direccion del sitio y mi twitter @RaDiansBlog, asi sumamos mas gente. Te cuento que hay mucho material en el. Te invito a que veas los labs, videos, tutoriales, notas. Si querés buscar un tema o necesitas ayuda, tenés la solapa AYUDA donde explico un poco como hacerlo, sino también tenés el buscador de google.

    Saludos y gracias!

  3. Buen día Roberto, he estado leyendo algunos de tus artículos en RaDians.com.ar, y tengo una consulta… el asunto es que tenemos un servidor Windows 2008, pero a pesar de estar dentro de la red, cumple una función independiente… se usa para cuestiones de seguridad física, y es utilizado por el personal de seguridad, oficiales de seguridad física para ser exactos.

    Aproximadamente cada diez minutos la pantalla se bloquea y pide Ctrl+Alt+Del para desbloquearse… cómo hago para eliminar eso?… para los oficiales de seguridad es un poco incómodo estar en eso, máxime que están en un constante monitoreo de cámaras y controles de acceso, etc.

    Tomando en cuenta que no lo cubren las políticas del Dominio, cómo internamente en el server se desactivan esas funciones?

    Saludos.-

  4. Giovanni Vargas Villegas, disculpa mi demora en contestar pero estuve con algunos temas de salud, y estoy medio complicado con los tiempos y voy respondiendo de a poco a medida que puedo.

    Que lindo que es Puerto Rico, he estado ahi, incluso en evertec con una implementacion de CRM, y es muy bello.

    Respecto a tu pregunta, conociendo un poco del ambiente, seguramente tenes una politica de seguridad que bloquea el equipo cada 10 min. Lo que deberias hacer es hablar con la gente de seguridad informatica para que hagan la exclusion de tu equipo en dicha politica, o bien generen una politica puntual que no bloquee ese equipo. Internamente no podras bloquearlo ya que la politica de dominio esta por arriba y lo vuelve a aplicar.

    Aprovecho la oportunidad para agradecerte por participar del blog y ayudar a que siga creciendo! Te pido que difundas la direccion del sitio y mi twitter @RaDiansBlog, asi sumamos mas gente. Te cuento que hay mucho material en el. Te invito a que veas los labs, videos, tutoriales, notas. Si querés buscar un tema o necesitas ayuda, tenés la solapa AYUDA donde explico un poco como hacerlo, sino también tenés el buscador de google.

    Saludos y gracias!

  5. Week of August 19: Let MVPs help you prepare for the Windows Server 2012 launch in October

    Hi, all, It’s summer and many people are taking some time off (myself included) but some of

  6. Hola,
    me agrado mucho tu blog, tengo una problema que no puedo resolver desde la semana anterior.
    Tengo 2 servidores virtuales con dominios diferentes, inatale un servvidor, con su dominio , programs y etc.
    Clone mi maquina virtual o para que este sea mi 2do servidor , en mi segundo servidor elimine el AD y instale un nuevo AD, todo parece estar bien , pero cuando ejecuto el comando cmd, referencia al ADMINISTRADOR.DOMINIOANTERIOR,. Como puedo solucionarlo? Muchas gracias de antemano por tu ayuda.

  7. JK, disculpa mi demora en contestar pero estuve muy complicado con varios temas de trabajo, con el cambio de empresa he estado muy tapado de trabajo, pero voy respondiendo de a poco a medida que puedo y voy a responder todas las consultas.

    Mira la verdad que no es recomendable clonar un servidor. En ningun momento fue una buena solucion, ya que sabemos que al hacerlo se clonan los SIDs entonces eso es un gran problema si los dos equipos estan en la misma red. Hay un monton de problemas asociados a la duplicacion de SIDs. Y ni pensar si es un Domain Controller, que tienen un monton de informacion critica de una empresa. Te recomiendo reinstalar la VM, realmente lleva muy poco tiempo y te va a solucionar muchisimos problemas actuales y futuros.

    Aprovecho la oportunidad para agradecerte por participar del blog y ayudar a que siga creciendo! Te pido que difundas la direccion del sitio y mi twitter @RaDiansBlog, asi sumamos mas gente. Te invito a que veas los labs, videos, tutoriales, notas. Si querés buscar un tema o necesitas ayuda, tenés la solapa AYUDA donde explico un poco como hacerlo, sino también tenés el buscador de google.

    En 2014 debido a nuevas disposiciones de la ley Argentina debo afrontar distintos gastos para mantener el blog en funcionamiento. Si te parecio util la informacion del blog hace click en el boton “DONATE”

    Seguimos en contacto! Saludos y gracias!

« »