Herramientas de diagnóstico para un Controlador de Dominio ( Capitulo V )

Ante la caída de un DC en un dominio dado y si no hay posibilidad ninguna de restaurarlo debido por ejemplo a que el servidor ha sufrido una averigua irrecuperable, o simplemente el contenido de los discos se ha degradado, seguiremos el siguiente procedimiento:

  • Haga clic en Inicio, seleccione Programas, Accesorios y, a continuación, haga clic en Símbolo del sistema.
  • En el símbolo del sistema, escriba ntdsutil y, a continuación, presione ENTRAR.
  • Escriba metadata cleanup y, a continuación, presione ENTRAR. Según las opciones dadas, el administrador puede realizar la eliminación; pero para que ello sea posible se deben especificar parámetros de configuración adicionales.
  • Escriba connections y presione ENTRAR. Este menú se usa para conectar el servidor específico donde se produzcan los cambios. Si el usuario que ha iniciado sesión no tiene permisos administrativos, se pueden suministrar credenciales diferentes especificando las credenciales que hay que usar antes de realizar la conexión. Para ello, escriba set creds nombre de dominionombre de usuariocontraseña y, a continuación, presione ENTRAR. Para escribir una contraseña nula, escriba null en el parámetro correspondiente a la contraseña.
  • Escriba connect to server nombre de servidor y, a continuación, presione ENTRAR. Debe recibir la confirmación de que la conexión se ha establecido correctamente. Si se produce un error, compruebe que el controlador de dominio que se usa en la conexión está disponible y que las credenciales que ha suministrado tienen permisos administrativos en el servidor. Nota
    Si intenta conectar el mismo servidor que desea eliminar, cuando intente eliminar el servidor al que se hace referencia en el paso 15, puede aparecer un mensaje de error similar al siguiente: 

Error 2094. No se puede eliminar el objeto DSA

  • Escriba quit y, a continuación, presione Entrar. Aparece el menú Metadata Cleanup.
  • Escriba select operation target y presione ENTRAR.
  • Escriba list domains y presione ENTRAR. Se muestra una lista de dominios en el bosque, cada uno con un número asociado.
  • Escriba select domain número y, a continuación, presione ENTRAR, donde número es el número asociado con el dominio del que es miembro el servidor que está quitando. El dominio que seleccione se usa para determinar si el servidor que se está quitando es el último controlador de dominio de ese dominio.
  • Escriba list sites y presione ENTRAR. Se muestra una lista de sitios, cada uno con un número asociado.
  • Escriba select site número y, a continuación, presione ENTRAR, donde número es el número asociado con el sitio del que es miembro el servidor que está quitando. Debería recibir una confirmación que enumere el sitio y el dominio que elija.
  • Escriba list servers in site y presione ENTRAR. Se muestra una lista de los servidores del sitio, cada uno con un número asociado.
  • Escriba select server número, donde número es el número asociado con el servidor que desea quitar. Aparece una confirmación donde se indica el servidor seleccionado, su nombre de host de Servidor de nombres de dominio (DNS) y la ubicación de la cuenta de equipo del servidor que desea quitar.
  • Escriba quit y presione ENTRAR. Aparece el menú Metadata Cleanup.
  • Escriba remove selected server y presione ENTRAR. Debe recibir la confirmación de que la eliminación se ha completado correctamente. Si aparece el mensaje de error siguiente:
Error 8419 (0x20E3)
No se encontró el objeto DSA.
el objeto de configuración NTDS puede haberse quitado ya de Active Directory porque lo haya quitado otro administrador o como consecuencia de la replicación de la eliminación con éxito del objeto después de ejecutar la utilidad DCPROMO.Nota
También puede ver este error cuando intenta enlazar con el controlador de dominio que se va a quitar. Ntdsutil tiene que enlazar con otro controlador de dominio distinto al que se va a quitar con la limpieza de metadatos.

 

  • Escriba quit en cada menú para salir de la utilidad Ntdsutil. Debe aparecer la confirmación de que la desconexión se ha completado correctamente.
  • Quite el registro cname de la zona _msdcs.dominio raíz del bosque en DNS. Suponiendo que el controlador de dominio (DC) se va a reinstalar y se va a volver a promover, se crea un nuevo objeto de configuración NTDS con un nuevo GUID y un registro cname coincidente en DNS. Es mejor que los DC que existan no usen el registro cname antiguo. Es aconsejable eliminar el nombre de host y otros registros DNS. Si se supera el tiempo de concesión que queda en la dirección de Protocolo de configuración dinámica de host (DHCP, Dynamic Host Configuration Protocol) asignada al servidor sin conexión, otro cliente puede obtener la dirección IP del DC problemático. 

Ahora que se ha eliminado el objeto de configuración NTDS, puede eliminar la cuenta de equipo, el objeto miembro FRS, el registro cname (o Alias) del contenedor _msdcs, el registro A (o Host) en DNS, el objeto trustDomain para un dominio secundario eliminado y el controlador de dominio.

  • Use ADSIEdit para eliminar la cuenta de equipo. Para ello, siga estos pasos:
    • Inicie ADSIEdit.
    • Expanda el contenedor Domain NC.
    • Expanda DC=su dominio, DC=COM, PRI, LOCAL, NET.
    • Expand OU=Domain Controllers.
    • Haga clic con el botón secundario del mouse (ratón) en CN=nombre de controlador de dominio y, después, haga clic en Eliminar.
Si aparece el error “No se puede eliminar el objeto DSA” cuando intenta eliminar el objeto, cambie el valor de UserAccountControl. Para cambiar el valor de UserAccountControl, haga clic con el botón secundario del mouse en el controlador de dominio en ADSIEdit y, después, haga clic en Properties. En Select a property to view, seleccione UserAccountControl. Haga clic en Clear, cambie el valor por 4096 y, después, haga clic en Set. Ya puede eliminar el objeto.Nota
El objeto de suscriptor FRS se elimina cuando se elimina el objeto de equipo porque es un objeto secundario de la cuenta de equipo.

 

  • Use ADSIEdit para eliminar el objeto de miembro FRS. Para ello, siga estos pasos:
    • Inicie ADSIEdit.
    • Expanda el contenedor Domain NC.
    • Expanda DC=su dominio, DC=COM, PRI, LOCAL, NET.
    • Expanda CN=System.
    • Expanda CN=File Replication Service.
    • Expanda CN=Domain System Volume (SYSVOL share).
    • Haga clic con el botón secundario del mouse en el controlador de dominio que está quitando y, a continuación, haga clic en Eliminar.
  • En la consola DNS, use MMC de DNS para eliminar el registro A en DNS. El registro A también se conoce como registro Host. Para eliminar el registro A, haga clic con el botón secundario del mouse en él y, después, haga clic en Eliminar. Elimine igualmente el registro cname (también conocido como Alias) en el contenedor _msdcs. Para ello, expanda el contenedor _msdcs, haga clic con el botón secundario del mouse en el registro cname y, después, haga clic en Eliminar.Importante Si éste era un servidor DNS, quite la referencia a este DC debajo de la ficha Servidores de nombres. Para ello, en la consola DNS haga clic en el nombre de dominio en Zonas de búsqueda inversa y, después, quite este servidor de la ficha Servidores de nombres.
    Nota
    Si tiene zonas de búsqueda inversas, quite también el servidor de esas zonas.

     

  • Si el equipo eliminado era el último controlador de dominio de un dominio secundario y éste también se eliminó, use ADSIEdit para eliminar el objeto trustDomain del objeto secundario. Para ello, siga estos pasos:
    • Inicie ADSIEdit.
    • Expanda el contenedor Domain NC.
    • Expanda DC=su dominio, DC=COM, PRI, LOCAL, NET.
    • Expanda CN=System.
    • Haga clic con el botón secundario del mouse en el objeto Dominio de confianza y, a continuación, haga clic en Eliminar.
  • Use Sitios y servicios de Active Directory para quitar el controlador de dominio. Para ello, siga estos pasos:
    • Inicie Sitios y servicios de Active Directory.
    • Expanda Sitios
    • Expanda el sitio del servidor. El sitio predeterminado es Nombre-predeterminado-primer-sitio.
    • Expanda Servidor.
    • Haga clic con el botón secundario del mouse en el controlador de dominio y, a continuación, haga clic en Eliminar.

Además, deberemos tener en cuenta lo siguiente:

            Si el DC eliminado era un GC, habría que evaluar si algún servidor de aplicaciones que apuntara al GC caído deba configurarse o “re-apuntar” a un GC que esté presente y funcionando.

            Si el DC eliminado era un GC, habría que evaluar añadir/promocionar un nuevo GC en el Site, dominio, o bosque.

            Si el DC eliminado era responsable de algún FSMO, transferir dicha función a otro DC.

            Si el DC eliminado era un servidor de DNS, actualizar la configuración de los clientes DNS en todas las estaciones de trabajo, servidores miembro, u otros DC’s que pudieran hacer uso del servidor caído para la resolución de nombres. Si se requiere, modificar el ámbito de DHCP para reflejar el borrado del servidor DNS caído.

            Si el DC eliminado era un servidor de DNS, actualizar la configuración de los  Reenviadotes y de las Delegaciones en cualquier otro servidor DNS que pudiera estar apuntando al DC eliminado para la resolución de nombres.

Etiquetas: , , ,

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s


A %d blogueros les gusta esto: