sábado, 15 de diciembre de 2007

Limpiando el Active Directory: Eliminando Objetos huérfanos

Buenas, hoy aprenderemos a como limpiar el Active Directory de objetos huérfanos. Un caso muy común es cuando un controlador de dominio deja de funcionar, o cuando intentamos removerlo pero no es posible. Entonces es en esos momentos donde podemos remover objetos de manera manual. Hago énfasis en que este procedimiento es válido para Controladores de dominio sobre Windows Server 2003 SP1 en adelante. Es posible realizar este procedimiento en Windows 2000/2003, pero recomiendo que revisen el siguiente artículo de Microsoft: http://support.microsoft.com/kb/216498/en-us.

Pasos:
  1. Primero debemos asegurarnos que los roles FSMO se encuentren alojados en Controladores de Dominio que trabajan en producción. Algo muy común es que los Controladores de dominio que poseen roles sufran de fallas de HW o SW. Por lo tanto debemos apoderarnos de los roles FSMO. Recuerden que es necesario que un dominio tenga 3 roles FSMO y un forest tenga 2 roles FSMO. Ej. Un único dominio tiene 05 roles FSMO, porque es un forest. Ej. el dominio padre peru.local tiene 5 roles FSMO pero dominio hijo lima.peru.local sólo 03 roles. Pueden ver el procedimiento de Seize o apoderamiento de roles FSMO: http://exchangepro.blogspot.com/2007/12/transferencia-y-apoderamiento-de-roles.html.

  2. Usando el utilitario netdom query fsmo podemos ver que Controlador de Dominio posee los roles FSMO.

  3. Accedemos a Inicio, ejecutar, cmd o línea de comando.

  4. Escribimos ntdsutil.

  5. ntdsutil: metadata cleanup

  6. metadata cleanup: connections

  7. server connections: connect to server xxxxxx (Donde xx es el Controlador de dominio a donde nos conectaremos para limpiar el AD).

  8. server connections: q

  9. metadata cleanup: select operation target

  10. select operation target: list domains (Lista los dominios).

  11. select operation target: select domain %, donde % es el número que identifica al dominio donde se encuentra el Controlador de dominio a remover.

  12. select operation target: list sites (Lista los sites).

  13. select operation target: select site %, donde % es el número que identifica el site donde se encuentra el Controlador de dominio a remover.

  14. select operation target: list servers in site (Lista los Controladores de dominios en el site seleccionado anteriormente).

  15. select operation target: select server %, donde % es el número que identifica al Controlador de dominio a remover

  16. select operation target: q

  17. metadata cleanup: remove selected server. Debemos aceptar el mensaje que nos informa que removeremos un DC.

  18. Ingresar al Active Directory Sites and Services y expandir servidores y eliminar el Controlador de dominio manualmente. Haciendo clic derecho al servidor y seleccionamos Delete.

  19. Ingresamos al adsiedit.msc (Debemos tener instalado el Support Tools), y removemos los siguientes registros:

  20. * OU=Domain Controllers,DC=exchangePro,DC=local
    * CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=exchangePro,DC=local
    * CN=Domain System Volume (SYSVOL share),CN=File Replication Service,CN=System,DC=exchangePro,DC=local

  21. Ingresamos a la consola de adminsitración DNS. Eliminamos todos los registros que asocian a ese servidor, tipo NS y A(Host). OJO: Debemos considerar que dentro de las zonas DNS se encuentren registrados otros servidores para resolver consultas DNS. De lo contrario existirán problemas con el Servicio de Resolución de nombres.

Si estamos removiendo el último controlador de un dominio o el último controlador de un dominio hijo, debemos realizar lo siguiente:

  1. Ingresamos al Adsiedit.msc y comprobamos que no exista ningún registro del Controlador de dominio removido manualmente.
  2. Expandir el contenedor: Domain NC, expandir DC=tuDominio,DC=local, expandir System, seleccionar Trust Domain clic derecho y Delete.
Finalmente les recomiendo que accedan a los siguiente artículos de Microsoft.
http://support.microsoft.com/kb/555846/en-us
http://support.microsoft.com/kb/216498/en-us
Saludos!!!

Vídeo:

No hay comentarios: