none
Eliminar metadatos de DC de confianza win2008r2 RRS feed

  • Pregunta

  • Comento mi problema tengo un DC en un server con 2008R2, implemente otro DC en otro server con 2008R2. La idea era real izarlo para que si el Server 1 DC no esta disponible los usuarios pueden iniciar sesión en el Server 2 DC, no se configuro con exito.

    Elimine el DC de el Server 2 para empezar las configuraciones desde un principio utilizando el comando "dcpromo/forceremoval" por que me fue imposible quitarlo de la otra manera.

    El Problema es el siguiente en el Server 1 quedaron rastros de el DC de el Server 2. Me es imposible quitar los restos de el "dominios y confianzas de Active Directory" y me esta generando problemas al agregar usuarios al Dominio no cargando las configuraciones hechas por GPO.


    Necesito ayuda para eliminar de alguna manera estos restos, pero solo e visto soluciones para otras versiones por una aplicación por linea de comando.


    Gracias y saludos. 

    martes, 8 de mayo de 2012 18:50

Respuestas

  • Hola,

    Te paso un articulo para remover manualmente, toda info que haya quedado de tu DC dado de baja: http://technet.microsoft.com/en-us/library/cc816907(v=ws.10).aspx

    Salu2


    Leonardo Ponti
    MCTS: Microsoft Certified Technology Specialist
    MPN: Microsoft Partner Network
    MCC: Microsoft Community Contributor 2011
    MCSE: Microsoft Certified Systems Engineer (Windows Server 2003)
    MCSA: Microsoft Certified Systems Administrator (Windows Server 2003)
    MVA: Microsoft Virtual Academy
    MAP: Microsoft Active Professional (2010/2011)

    Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los riesgos.
    This posting is provided "AS IS" with no warranties, and confer no rights. You assume all risk for your use.

    martes, 8 de mayo de 2012 19:11
    Moderador
  • Hola,

    Anda a Usuarios y Computadoras (dsa.msc) y elimina el objeto "computer" del equipo que queres dar de baja, donde te va aparecer una advertencia de eliminar el objeto por completo (dcpromo offline) y lo seleccionas para que elimine toda referencia del equipo.

    Aguardo tus comentarios.-

    Salu2


    Leonardo Ponti
    MCTS: Microsoft Certified Technology Specialist
    MPN: Microsoft Partner Network
    MCC: Microsoft Community Contributor 2011
    MCSE: Microsoft Certified Systems Engineer (Windows Server 2003)
    MCSA: Microsoft Certified Systems Administrator (Windows Server 2003)
    MVA: Microsoft Virtual Academy
    MAP: Microsoft Active Professional (2010/2011)

    Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los riesgos.
    This posting is provided "AS IS" with no warranties, and confer no rights. You assume all risk for your use.

    miércoles, 9 de mayo de 2012 1:00
    Moderador
  • Hola,

    En el articulo que te pase en un post anterior, segui los pasos y referencias que se indican luego del item: Clean up server metadata using the command line

    Salu2


    Leonardo Ponti
    MCTS: Microsoft Certified Technology Specialist
    MPN: Microsoft Partner Network
    MCC: Microsoft Community Contributor 2011
    MCSE: Microsoft Certified Systems Engineer (Windows Server 2003)
    MCSA: Microsoft Certified Systems Administrator (Windows Server 2003)
    MVA: Microsoft Virtual Academy
    MAP: Microsoft Active Professional (2010/2011)

    Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los riesgos.
    This posting is provided "AS IS" with no warranties, and confer no rights. You assume all risk for your use.

    miércoles, 9 de mayo de 2012 16:00
    Moderador
  • Hola,

    El equipo que deseas dejar, es GC y tiene todos los roles FSMO?

    Chequea los siguientes links para evaluar otras tareas a realizar:

    http://blogs.dirteam.com/blogs/jorge/archive/2006/05/08/Lingering-objects.aspx
    http://technet.microsoft.com/en-us/library/how-global-catalog-servers-work(WS.10).aspx
    http://support.microsoft.com/kb/230306

    Salu2


    Leonardo Ponti
    MCTS: Microsoft Certified Technology Specialist
    MPN: Microsoft Partner Network
    MCC: Microsoft Community Contributor 2011
    MCSE: Microsoft Certified Systems Engineer (Windows Server 2003)
    MCSA: Microsoft Certified Systems Administrator (Windows Server 2003)
    MVA: Microsoft Virtual Academy
    MAP: Microsoft Active Professional (2010/2011)

    Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los riesgos.
    This posting is provided "AS IS" with no warranties, and confer no rights. You assume all risk for your use.

    miércoles, 9 de mayo de 2012 18:15
    Moderador
  • Hola,

    1) Borra de DNS, en o las zonas integradas AD, todas las referencias al Domain Controller dado de baja.

    2) Chequea en el Domain Controller funcional, que no haya configuracion de DNS en la placa de red al equipo dado de baja.

    3) Si en Site&Services seleccionas el DC a dar de baja y lo eliminas, da el error que subiste anteriormente o es al querer borrar el link?

    4) Antes de "eliminar" el DC en cuestion, hiciste algunos cambios significativos en AD? (cambio de nombre, IPs, etc)

    5) El Domain Controller actual, es DNS Server tambien?

    6) El Domain Controller actual, tiene mas de una IP?

    Salu2


    Leonardo Ponti
    MCTS: Microsoft Certified Technology Specialist
    MPN: Microsoft Partner Network
    MCC: Microsoft Community Contributor 2011
    MCSE: Microsoft Certified Systems Engineer (Windows Server 2003)
    MCSA: Microsoft Certified Systems Administrator (Windows Server 2003)
    MVA: Microsoft Virtual Academy
    MAP: Microsoft Active Professional (2010/2011)

    Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los riesgos.
    This posting is provided "AS IS" with no warranties, and confer no rights. You assume all risk for your use.

    miércoles, 9 de mayo de 2012 18:46
    Moderador
  • Hola,

    Toda referencia del DC a dar de baja, lo podes borrar tranquilo que no va a pasar nada, igualmente, para mayor resguardo, realiza un backup de SystemState antes de ponerte a depurar las zonas DNS y objetos en AD.

    Con respecto al borrado del equipo en Site&Services, realiza la prueba de borrar directamente el servidor y no NTDS Settings (de la forma que te comento, se tendria que borrar el servidor y tambien la opcion de NTDS..)

    Aguardo tu Feedback

    Salu2


    Leonardo Ponti
    MCTS: Microsoft Certified Technology Specialist
    MPN: Microsoft Partner Network
    MCC: Microsoft Community Contributor 2011
    MCSE: Microsoft Certified Systems Engineer (Windows Server 2003)
    MCSA: Microsoft Certified Systems Administrator (Windows Server 2003)
    MVA: Microsoft Virtual Academy
    MAP: Microsoft Active Professional (2010/2011)

    Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los riesgos.
    This posting is provided "AS IS" with no warranties, and confer no rights. You assume all risk for your use.

    martes, 15 de mayo de 2012 19:43
    Moderador
  • Hola,

    Es raro lo que te paso.. las referencias que borraste son las del equipo que no esta mas operativo no? otro punto es que haya quedado roles de AD en el equipo que hayas eliminado (ejemplo rol PDC) entonces perderias funcionalidades importantes que tendrias que recuperar en el equipo operativo haciendo un movimiento forzado de los mismos.-

    Es raro sino lo que comentas.. algun inconveniente de fondo habia en ese dominio porque no puedes perder funcionalidad del dominio borrando objetos de un DC dado de baja..

    Salu2


    Leonardo Ponti
    MCTS: Microsoft Certified Technology Specialist
    MPN: Microsoft Partner Network
    MCC: Microsoft Community Contributor 2011
    MCSE: Microsoft Certified Systems Engineer (Windows Server 2003)
    MCSA: Microsoft Certified Systems Administrator (Windows Server 2003)
    MVA: Microsoft Virtual Academy
    MAP: Microsoft Active Professional (2010/2011)

    Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los riesgos.
    This posting is provided "AS IS" with no warranties, and confer no rights. You assume all risk for your use.

    jueves, 17 de mayo de 2012 19:50
    Moderador

Todas las respuestas

  • Hola,

    Te paso un articulo para remover manualmente, toda info que haya quedado de tu DC dado de baja: http://technet.microsoft.com/en-us/library/cc816907(v=ws.10).aspx

    Salu2


    Leonardo Ponti
    MCTS: Microsoft Certified Technology Specialist
    MPN: Microsoft Partner Network
    MCC: Microsoft Community Contributor 2011
    MCSE: Microsoft Certified Systems Engineer (Windows Server 2003)
    MCSA: Microsoft Certified Systems Administrator (Windows Server 2003)
    MVA: Microsoft Virtual Academy
    MAP: Microsoft Active Professional (2010/2011)

    Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los riesgos.
    This posting is provided "AS IS" with no warranties, and confer no rights. You assume all risk for your use.

    martes, 8 de mayo de 2012 19:11
    Moderador
  • hola gracias por el link es lo que necesitaba pero te comento que no puedo eliminar la configuracion adjunto una imagen de captura de pantalla para compartir el error que me presenta.



    de esta forma fue la única que pude llegar a ver el servidor que borre DC con el comando "dcpromo/removeforce" de las otras formas que indica el link no llegue a verlo. Te comento URANO es el Server 1 el cual tiene el DC primario o original por asi decirlo. GEA es el SERVER 2 el cual trate de realizar las configuraciones para el log de los usuarios si el SERVER URANO no estaba disponible.

    Si alguien puede darme una mano estoy muy agradecido..

    Saludos.

    martes, 8 de mayo de 2012 21:26
  • Hola,

    Anda a Usuarios y Computadoras (dsa.msc) y elimina el objeto "computer" del equipo que queres dar de baja, donde te va aparecer una advertencia de eliminar el objeto por completo (dcpromo offline) y lo seleccionas para que elimine toda referencia del equipo.

    Aguardo tus comentarios.-

    Salu2


    Leonardo Ponti
    MCTS: Microsoft Certified Technology Specialist
    MPN: Microsoft Partner Network
    MCC: Microsoft Community Contributor 2011
    MCSE: Microsoft Certified Systems Engineer (Windows Server 2003)
    MCSA: Microsoft Certified Systems Administrator (Windows Server 2003)
    MVA: Microsoft Virtual Academy
    MAP: Microsoft Active Professional (2010/2011)

    Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los riesgos.
    This posting is provided "AS IS" with no warranties, and confer no rights. You assume all risk for your use.

    miércoles, 9 de mayo de 2012 1:00
    Moderador
  • Hola,
    Gracias por el dato de el post anterior pero el equipo "GEA" en Usuarios y equipos de AD no me aparece en la lista.

    Como puedo eliminar de otra manera los meta datos.

    Me esta realizando muchos problemas en el Dominio, no puedo dar de alta a los usuarios me da que no es posible conectar con el dominio y bueno tambien como mencionaba anteriormente algunas no me carga en todos los clientes las configuraciones realizadas por GPO.

    Saludos  y gracias Leonardo.

    miércoles, 9 de mayo de 2012 15:29
  • Hola,

    En el articulo que te pase en un post anterior, segui los pasos y referencias que se indican luego del item: Clean up server metadata using the command line

    Salu2


    Leonardo Ponti
    MCTS: Microsoft Certified Technology Specialist
    MPN: Microsoft Partner Network
    MCC: Microsoft Community Contributor 2011
    MCSE: Microsoft Certified Systems Engineer (Windows Server 2003)
    MCSA: Microsoft Certified Systems Administrator (Windows Server 2003)
    MVA: Microsoft Virtual Academy
    MAP: Microsoft Active Professional (2010/2011)

    Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los riesgos.
    This posting is provided "AS IS" with no warranties, and confer no rights. You assume all risk for your use.

    miércoles, 9 de mayo de 2012 16:00
    Moderador
  • utilizo la herramienta por linea de comando y me da este error.
    copy paste desde el terminal.

    Microsoft Windows [Versión 6.1.7601]
    Copyright (c) 2009 Microsoft Corporation. Reservados todos los derechos.

    C:\Users\Administrador>ntdsutil
    ntdsutil: metadata cleanup
    metadata cleanup: remove selected server gea on urano
    Enlazando a urano ...
    Conectado a urano usando credenciales de usuario conectado localmente.
    LDAP error 0x22(34 (Sintaxis DN no válida).
    El mensaje de rror extendido de Ldap es 0000208F: NameErr: DSID-031001F7, proble
    m 2006 (BAD_NAME), data 8350, best match of:
            'CN=Ntds Settings,gea'

    El error de Win32 que se ha devuelto es 0x208f(La sintaxis del nombre del objeto
     es incorrecta.)
    )
    No se puede determinar el dominio hospedado por el controlador de dominio de Act
    ive Directory (5). Use el menú de conexión para especificarlo.
    metadata cleanup:

    Ese es el error que me da trate de confirmar si estaba escribiendo el nombre de los servers correctamente según sus extensiones de dominio pero es lo mismo..

    Gracias, 
    Saludos..

    miércoles, 9 de mayo de 2012 18:05
  • Hola,

    El equipo que deseas dejar, es GC y tiene todos los roles FSMO?

    Chequea los siguientes links para evaluar otras tareas a realizar:

    http://blogs.dirteam.com/blogs/jorge/archive/2006/05/08/Lingering-objects.aspx
    http://technet.microsoft.com/en-us/library/how-global-catalog-servers-work(WS.10).aspx
    http://support.microsoft.com/kb/230306

    Salu2


    Leonardo Ponti
    MCTS: Microsoft Certified Technology Specialist
    MPN: Microsoft Partner Network
    MCC: Microsoft Community Contributor 2011
    MCSE: Microsoft Certified Systems Engineer (Windows Server 2003)
    MCSA: Microsoft Certified Systems Administrator (Windows Server 2003)
    MVA: Microsoft Virtual Academy
    MAP: Microsoft Active Professional (2010/2011)

    Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los riesgos.
    This posting is provided "AS IS" with no warranties, and confer no rights. You assume all risk for your use.

    miércoles, 9 de mayo de 2012 18:15
    Moderador
  • estuve mirando los links.
    El server 1 <URANO> que es el que quiero dejar es el único bosque y Catalogo global, único controlador de dominio de el Servidor.
    En sitios y servicios de AD entro en el servers, URANO, propiedades, por lo que veo en la solapa editor de atributos, la característica FSMORoleOwner dice que <<no establecido>>.

    • Editado Dbogado2 miércoles, 9 de mayo de 2012 18:58
    miércoles, 9 de mayo de 2012 18:39
  • Hola,

    1) Borra de DNS, en o las zonas integradas AD, todas las referencias al Domain Controller dado de baja.

    2) Chequea en el Domain Controller funcional, que no haya configuracion de DNS en la placa de red al equipo dado de baja.

    3) Si en Site&Services seleccionas el DC a dar de baja y lo eliminas, da el error que subiste anteriormente o es al querer borrar el link?

    4) Antes de "eliminar" el DC en cuestion, hiciste algunos cambios significativos en AD? (cambio de nombre, IPs, etc)

    5) El Domain Controller actual, es DNS Server tambien?

    6) El Domain Controller actual, tiene mas de una IP?

    Salu2


    Leonardo Ponti
    MCTS: Microsoft Certified Technology Specialist
    MPN: Microsoft Partner Network
    MCC: Microsoft Community Contributor 2011
    MCSE: Microsoft Certified Systems Engineer (Windows Server 2003)
    MCSA: Microsoft Certified Systems Administrator (Windows Server 2003)
    MVA: Microsoft Virtual Academy
    MAP: Microsoft Active Professional (2010/2011)

    Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los riesgos.
    This posting is provided "AS IS" with no warranties, and confer no rights. You assume all risk for your use.

    miércoles, 9 de mayo de 2012 18:46
    Moderador
  • Hola llego medio tarde con la info . Pro este link te ad otra forma de eliminar datos de equipos en la metadata .

    http://gallery.technet.microsoft.com/scriptcenter/d31f091f-2642-4ede-9f97-0e1cc4d577f3

    Saludos


    Saludos Jorge Argentina - MCC - 2011

    miércoles, 9 de mayo de 2012 18:49
  • Hola Leonardo
    Disculpas por no seguir el hilo, pero estos dias fueron muy complicados debido a una sobrecarga electrica y recien hoy me pude poner con el tema del server.

    Estoy siguiendo el consejo de borrar los rastros de GEA( el server 2) en el otro server. Estoy borrando desde "el administrador de  DNS" pero veo algo que me es confuso y antes de eliminarlo quería pedir el consejo si es que estoy en lo correcto.
    Como se ve en la captura(de la pantalla del server 1) tengo abiertas las propiedades de NTDS Settings de GEA que todavia me figuran en "sitios y servicios de Active Directory" y veo el Alias DNS "F8D10E2D-949D-40B0-B150-B18B9E231722._msdcs.uno.edu" a mi entender es un rastro que encuentro en el "Administrador de DNS" dentro de URANO>Zona de búsqueda directa>msdcs.uno.edu.
    Puedo borrar directamente esa carpeta a parte de los otros datos que están en los otras ubicaciones dentro de el administrador de DNS. También dentro de esa carpeta, msdcs.uno.edu, veo cosas que hablan de el server 1 (Urano). No quiero seguir causando mas problemas.
    Te respondo las otras preguntas:

    3) Si en Site&Services seleccionas el DC a dar de baja y lo eliminas, da el error que subiste anteriormente o es al querer borrar el link?
    Ese error me da cuando trato de eliminar "NTDS Settings" de el server 2 , GEA.
    4) Antes de "eliminar" el DC en cuestion, hiciste algunos cambios significativos en AD? (cambio de nombre, IPs, etc)
    y antes de eliminar el DC de el server 2 no realice gran cambio solo probe de si podia logear a los usuarios apagando el server 1 y nada mas. En el server 1 estoy dando de altas usuarios de dominio implementando alguna impresora y nada mas a parte tengo una maquina virtual con hyper -v donde corre el administrador de antivirus de todos los clientes.
    5) El Domain Controller actual, es DNS Server tambien?
    Si es DNS server.
    6) El Domain Controller actual, tiene mas de una IP?
    No tiene solo una ip y es fija.
    Perdón por la imagen tan grande pero no tengo herramientas para hacer mas pequeña la imagen sin perder calidad de lectura de la misma.

    viernes, 11 de mayo de 2012 22:42
  • gracias por la ayuda  jorge voy a esperar a ver que sucede de esta manera que me esta planteando leonardo y después si no queda otra avanzare con el script.
    viernes, 11 de mayo de 2012 22:44
  • Hola,

    Toda referencia del DC a dar de baja, lo podes borrar tranquilo que no va a pasar nada, igualmente, para mayor resguardo, realiza un backup de SystemState antes de ponerte a depurar las zonas DNS y objetos en AD.

    Con respecto al borrado del equipo en Site&Services, realiza la prueba de borrar directamente el servidor y no NTDS Settings (de la forma que te comento, se tendria que borrar el servidor y tambien la opcion de NTDS..)

    Aguardo tu Feedback

    Salu2


    Leonardo Ponti
    MCTS: Microsoft Certified Technology Specialist
    MPN: Microsoft Partner Network
    MCC: Microsoft Community Contributor 2011
    MCSE: Microsoft Certified Systems Engineer (Windows Server 2003)
    MCSA: Microsoft Certified Systems Administrator (Windows Server 2003)
    MVA: Microsoft Virtual Academy
    MAP: Microsoft Active Professional (2010/2011)

    Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los riesgos.
    This posting is provided "AS IS" with no warranties, and confer no rights. You assume all risk for your use.

    martes, 15 de mayo de 2012 19:43
    Moderador
  • Gracias leonardo por la ayuda pero después de borrar todo lo relacionado al server a dar de baja en el Administrador de DNS luego de reiniciar el equipo el servidor dejo de ser funcional y perdi todos los usuarios etc, etc.. Igualmente no es mucho problema por que recien lo estaba implementando y ya me puse desde cero con el mismo reinstalando el S.O y dando de alta los roles servicios y usuarios que tenia..
    Gracias igualmente saludos..
    jueves, 17 de mayo de 2012 19:45
  • Hola,

    Es raro lo que te paso.. las referencias que borraste son las del equipo que no esta mas operativo no? otro punto es que haya quedado roles de AD en el equipo que hayas eliminado (ejemplo rol PDC) entonces perderias funcionalidades importantes que tendrias que recuperar en el equipo operativo haciendo un movimiento forzado de los mismos.-

    Es raro sino lo que comentas.. algun inconveniente de fondo habia en ese dominio porque no puedes perder funcionalidad del dominio borrando objetos de un DC dado de baja..

    Salu2


    Leonardo Ponti
    MCTS: Microsoft Certified Technology Specialist
    MPN: Microsoft Partner Network
    MCC: Microsoft Community Contributor 2011
    MCSE: Microsoft Certified Systems Engineer (Windows Server 2003)
    MCSA: Microsoft Certified Systems Administrator (Windows Server 2003)
    MVA: Microsoft Virtual Academy
    MAP: Microsoft Active Professional (2010/2011)

    Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los riesgos.
    This posting is provided "AS IS" with no warranties, and confer no rights. You assume all risk for your use.

    jueves, 17 de mayo de 2012 19:50
    Moderador
  • Si nada mas borre solo lo relacionado al DC dado de baja nada mas. Pero bueno es para tener en cuenta para la próxima vez..
    Gracias otra vez saludos.
    jueves, 17 de mayo de 2012 20:32