¿Sabías que los metadatos ocultos en tus archivos de Active Directory pueden poner en peligro la seguridad de tu red y exponerte a riesgos de privacidad? La limpieza de metadatos es una tarea esencial para mantener tu sistema operando correctamente. En este artículo, descubrirás todo lo que necesitas saber sobre cómo limpiar tus metadatos en Active Directory 2000/2003 y cómo mantener la seguridad de tu red protegida. ¡No te lo pierdas!
Este artículo describe cómo eliminar datos en Active Directory debido a una degradación fallida del controlador de dominio (DC) a través de DCPROMO o simplemente porque tiene un controlador de dominio que falló y no puede reiniciarlo para degradarlo correctamente a un servidor miembro.
Si intentó degradar el controlador de dominio utilizando DCPROMO, como parte del proceso de degradación, los datos de configuración se eliminan para el controlador de dominio de Active Directory. Estos datos están en forma de un NTDS Settings
objetar que existe como hijo del servidor objeto en Sitios y servicios de Active Directory.
La información se encuentra en la siguiente ubicación en Active Directory:
CN=NTDS Settings,CN=SERVERNAME,CN=Servers,CN=SITENAME,CN=Sites,CN=Configuration,DC=DOMAIN
- elimina el
NTDSA
oNTDS Setting
sujeto. - Elimina los objetos de conexión de AD entrantes que los DC de destino existentes usan para replicar desde el DC de origen que se está eliminando.
- Elimina la cuenta de la computadora.
- Elimina
FRS member
objeto. - Elimina
FRS subscriber
objetos. - Intenta asumir funciones de maestro de operaciones únicas flexibles (también conocidas como operaciones maestras únicas flexibles o FSMO) que tiene el controlador de dominio que se está eliminando.
Para comenzar el proceso de limpieza, haga clic en Comenzarapunta a Programasapunta a Accesoriosy luego haga clic en Símbolo del sistema. Ejecutar como un Administrador de empresa.
- En el símbolo del sistema, escriba
ntdsutil
y luego presione INGRESAR. - Tipo
metadata cleanup
y luego presione INGRESAR. - Tipo
connections
y presiona INGRESAR. - Tipo
connect to server servername
y luego presione INGRESAR. - Tipo
quit
y luego presione INGRESAR. - Tipo
select operation target
y presiona INGRESAR. - Tipo
list domains
y presiona INGRESAR. - Tipo
select domain number
y presiona INGRESAR. - Tipo
list sites
y presiona INGRESAR. - Tipo
select site number
y presiona INGRESAR. - Tipo
list servers in site
y presiona INGRESAR. - Tipo
select server number
. - Tipo
quit
y presiona INGRESAR. - Tipo
remove selected server
y presiona INGRESAR. - Tipo
quit
y luego presione INGRESAR en cada menú, salga de la utilidad Ntdsutil.
Tu deberías recibir confirmación que la eliminación se completó con éxito. Si recibe el mensaje de error“No se pudo encontrar el objeto DSA”, el objeto Configuración NTDS ya puede ser eliminado de Active Directory como resultado de que otro administrador eliminó el objeto de configuración NTDS o la replicación de la eliminación exitosa del objeto después de ejecutar la utilidad DCPROMO.
Puedes también ver este error cuando intente enlazar con el controlador de dominio que se eliminará. Ntdsutil tiene que vincularse a un controlador de dominio que no sea el que se eliminará con la limpieza de metadatos.
Pasos adicionales para pre-Windows 2003 SP1, pero debe verificarse en todas las versiones. Usar ADSIEditar para eliminar la cuenta de la computadora. Para hacer esto, siga estos pasos:
- Hacer clic Comenzarhaga clic Corrertipo
adsiedit.msc
en el cuadro Abrir y, a continuación, haga clic en DE ACUERDO. - Ampliar la Dominio NC envase.
- Expandir
DC=domain name, DC=ext
. - Expandir
OU=Domain Controllers
. - Botón derecho del ratón
CN=domain controller
nombre y luego haga clic en Borrar.
Pasos adicionales para pre-Windows 2003 SP1, pero debe verificarse en todas las versiones. Usar ADSIEditar para eliminar el objeto miembro de FRS.
- Hacer clic Comenzarhaga clic Corrertipo
adsiedit.msc
en el cuadro Abrir y, a continuación, haga clic en DE ACUERDO. - Ampliar la Dominio NC envase.
- Expandir
DC=domain name, DC=ext
. - Expandir
CN=System
. - Expandir
CN=File Replication Service
. - Expandir
CN=Domain System Volume (SYSVOL share)
. - Haga clic derecho en el controlador de dominio está eliminando y luego haga clic en Borrar.
limpieza adicional pasos para realizar… Windows 200x
- Eliminar el cnombre registro en el
_msdcs.root
dominio de la zona forestal en DNS. - Como práctica recomendada, debe eliminar el nombre de host y otros registros DNS asociados.
- Borrar el cnombre registro en el
_msdcs
envase. - Si se trata de un servidor DNS, elimine el referencia a este DC en la pestaña Servidores de nombres.
- Si tiene zonas de búsqueda inversa, también eliminar el servidor de estas zonas.
Si el computadora eliminada es el último controlador de dominio en un dominio secundario, y el dominio secundario también se eliminó, use ADSIEdit para eliminar el trustDomain
objeto para el niño. Para hacer esto, siga estos pasos:
- Hacer clic Comenzarhaga clic Corrertipo
adsiedit.msc
y luego haga clic en DE ACUERDO. - Ampliar la Dominio NC envase.
- Expandir
DC=domain name, DC=ext
. - Expandir
CN=System
. - Haga clic derecho en el Dominio de confianza objeto y, a continuación, haga clic en Borrar.
- Usar Sitios y servicios de Active Directory para eliminar el controlador de dominio.
- Comenzar Sitios y servicios de Active Directory.
- Expandir Sitios.
- Ampliar la sitio del servidor.
- Expandir Servidor.
- Haga clic derecho en el controlador de dominioy luego haga clic en Borrar.