Los controladores de dominio no se degradan correctamente cuando se usa el Asistente para la instalación de Active Directory para forzar la degradación

En este artículo se proporciona una solución alternativa para un problema por el que los controladores de dominio no se degradan al usar el Asistente para instalación de Active Directory (Dcpromo.exe) para forzar la degradación.

Número de KB original: 332199

Síntomas

Es posible que los controladores de dominio de Microsoft Windows 2000 o Microsoft Windows Server 2003 no se demoten correctamente mediante el Asistente para instalación de Active Directory (Dcpromo.exe).

Causa

Este comportamiento puede producirse si se produce un error en una dependencia o una operación necesarias. Estos incluyen la conectividad de red, la resolución de nombres, la autenticación, la replicación del servicio de directorio de Active Directory o la ubicación de un objeto crítico en Active Directory.

Solución

Para resolver este comportamiento, determine lo que impide la degradación correcta de Windows 2000 o el controlador de dominio de Windows Server 2003 y, a continuación, intente degradar el controlador de dominio mediante el Asistente para la instalación de Active Directory de nuevo.

Nota:

Para Windows Server 2008, el modo de restauración de servicios de directorio (DSRM) no cambia de Windows Server 2003 con una excepción. En Windows Server 2008, puede ejecutar el dcpromo/forceremoval comando para quitar forzosamente AD DS de un controlador de dominio que se inicia en DSRM, igual que puede en el estado detenido de AD DS. Un controlador de dominio todavía debe iniciarse en DSRM para restaurar los datos de estado del sistema desde una copia de seguridad. Para obtener más información sobre cómo hacerlo, vea Guía paso a paso de AD DS reiniciable.

Solución alternativa

Si no puede resolver el comportamiento, puede usar las siguientes soluciones alternativas para realizar una degradación forzada del controlador de dominio para conservar la instalación del sistema operativo y de cualquier aplicación en él.

Advertencia

Antes de usar cualquiera de las siguientes soluciones alternativas, asegúrese de que puede iniciarse correctamente en el modo de restauración de servicios de directorio. De lo contrario, no podrá iniciar sesión después de degradar el equipo de forma forzada. Si no recuerda la contraseña del modo de restauración de servicios de directorio, puede restablecer la contraseña mediante la utilidad Setpwd.exe que se encuentra en la Winnt\System32 carpeta. En Windows Server 2003, la funcionalidad de la utilidad Setpwd.exe se ha integrado en el comando Establecer contraseña DSRM de la herramienta NTDSUTIL.

Controladores de dominio de Windows 2000

1. Instale la revisión de Q332199 en un controlador de dominio de Windows 2000 que ejecuta Service Pack 2 (SP2) o una versión posterior, o bien instale Windows 2000 Service Pack 4 (SP4). SP2 y versiones posteriores admiten la degradación forzada. A continuación, reinicie el equipo.

2. Haga clic en Inicio, haga clic en Ejecutary, a continuación, escriba el comando : dcpromo /forceremoval.

3. Haga clic en Aceptar.

4. En la página Asistente para la instalación de Active Directory, haga clic en Siguiente.

5. Si el equipo que va a quitar es un servidor de catálogo global, haga clic en Aceptar en la ventana del mensaje.

   Nota:

   Promueva catálogos globales adicionales en el bosque o en el sitio si el controlador de dominio que está degradando es un servidor de catálogo global, según sea necesario.

6. En la página Quitar Active Directory , asegúrese de que este servidor es el último controlador de dominio en la casilla de verificación dominio está desactivada y, a continuación, haga clic en Siguiente.

7. En la página Credenciales de red, escriba el nombre, la contraseña y el nombre de dominio de una cuenta de usuario con credenciales de administrador de empresa en el bosque y, a continuación, haga clic en Siguiente.

8. En Contraseña de administrador, escriba la contraseña y la contraseña confirmada que desea asignar a la cuenta de administrador de la base de datos SAM local y, a continuación, haga clic en Siguiente.

9. En la página Resumen , haga clic en Siguiente.

10. Realice una limpieza de metadatos para el controlador de dominio degradado en un controlador de dominio superviviente en el bosque.

Si quitó un dominio del bosque mediante el comando quitar dominio seleccionado en Ntdsutil, compruebe que todos los controladores de dominio y los servidores de catálogo global del bosque han quitado todos los objetos y las referencias al dominio que acaba de quitar antes de promover un nuevo dominio en el mismo bosque con el mismo nombre de dominio. Herramientas como Replmon.exe o Repadmin.exe de las herramientas de soporte técnico de Windows 2000 pueden ayudarle a determinar si se ha producido la replicación de un extremo a otro. Windows 2000 SP3 y los servidores de catálogo globales anteriores son notablemente más lentos para quitar objetos y contextos de nomenclatura que Windows Server 2003.

Controladores de dominio de Windows Server 2003

1. De forma predeterminada, los controladores de dominio de Windows Server 2003 admiten la degradación forzada. Haga clic en Inicio, haga clic en Ejecutary, a continuación, escriba el comando : dcpromo /forceremoval.

2. Haga clic en Aceptar.

3. En la página Asistente para la instalación de Active Directory, haga clic en Siguiente.

4. En la página Forzar la eliminación de Active Directory , haga clic en Siguiente.

5. En Contraseña de administrador, escriba la contraseña y la contraseña confirmada que desea asignar a la cuenta de administrador de la base de datos SAM local y, a continuación, haga clic en Siguiente.

6. En Resumen, haga clic en Siguiente.

7. Realice una limpieza de metadatos para el controlador de dominio degradado en un controlador de dominio superviviente en el bosque.

Si quitó un dominio del bosque mediante el comando quitar dominio seleccionado en Ntdsutil, compruebe que todos los controladores de dominio y los servidores de catálogo global del bosque han quitado todos los objetos y las referencias al dominio que acaba de quitar antes de promover un nuevo dominio en el mismo bosque con el mismo nombre de dominio. Windows 2000 Service Pack 3 (SP3) y los servidores de catálogo globales anteriores son notablemente más lentos para quitar objetos y contextos de nomenclatura que Windows Server 2003.

Si las entradas de control de acceso a recursos (ACE) en el equipo del que quitó Active Directory se basaron en grupos locales de dominio, es posible que estos permisos deban volver a configurarse, ya que estos grupos no estarán disponibles para los servidores miembros o independientes. Si tiene previsto instalar Active Directory en el equipo para que sea un controlador de dominio en el dominio original, ya no tiene que configurar listas de control de acceso (ACL). Si prefiere dejar el equipo como miembro o servidor independiente, los permisos basados en grupos locales de dominio deben traducirse o reemplazarse.

Mejoras de Windows Server 2003 Service Pack 1

Windows Server 2003 SP1 mejora el dcpromo /forceremoval proceso. Cuando dcpromo /forceremoval se ejecuta, se realiza una comprobación para determinar si el controlador de dominio hospeda un rol maestro de operaciones, es un servidor de sistema de nombres de dominio (DNS) o es un servidor de catálogo global. Para cada uno de estos roles, el administrador recibe una advertencia emergente que aconseja al administrador que realice las acciones adecuadas.

Si el controlador de dominio no se puede iniciar en modo normal

Importante

Esta sección, método o tarea contiene pasos que le indican cómo modificar el Registro. No obstante, pueden producirse problemas graves si modifica el registro de manera incorrecta. Por lo tanto, asegúrese de que sigue estos pasos con atención. Para la protección añadida, realice una copia de seguridad del Registro antes de modificarlo. A continuación, puede restaurar el Registro si se produce un problema. Para obtener más información sobre cómo realizar copias de seguridad y restaurar el registro, vea Cómo hacer copia de seguridad y restaurar el registro en Windows.

Importante

Siga estos pasos solo como último recurso si el controlador de dominio no puede iniciarse en modo normal.

Para quitar Active Directory de un controlador de dominio, siga estos pasos:

1. Reinicie el equipo y presione F8 para mostrar el menú Opciones avanzadas de Windows 2000.

2. Elija Modo de restauración de servicios de directorio, presione ENTRAR y presione ENTRAR de nuevo para continuar con el reinicio.

3. Modifique la entrada ProductType en el Registro. Para ello, siga estos pasos:

   1. Haga clic en Inicio, en Ejecutar, escriba regedit& y, después, haga clic en Aceptar.

   2. Busque la subclave HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ProductOptionsdel Registro .

   3. En el panel derecho, haga doble clic en ProductType.

   4. Escriba ServerNT en el cuadro Datos de valor y, a continuación, haga clic en Aceptar.

      Nota:

      Si este valor no se ha ajustado correctamente o está mal escrito, puede recibir el siguiente mensaje de error: Proceso del sistema - Infracción de licencia: el sistema ha detectado alteraciones con el tipo de producto registrado. Se trata de una infracción de su licencia de software. No se permite la manipulación con el tipo de producto.

   5. Salga del Editor del Registro.

4. Reinicie el equipo.

5. Inicie sesión con la cuenta de administrador y la contraseña que se usa para el modo de reparación del servicio de directorio.

   El equipo se comportará como servidor miembro. Sin embargo, todavía hay algunos archivos restantes y entradas del Registro en el equipo que están asociados al controlador de dominio.

6. Inicie el Editor del Registro y busque la entrada HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parametersdel Registro .

   Si hay una entrada para Src Root Domain Srv, haga clic con el botón derecho en el valor y, a continuación, haga clic en Eliminar. Este valor debe eliminarse para que el controlador de dominio se vea como el único controlador de dominio del dominio después de la promoción.

   Importante

   El paso anterior es crítico. Sin ella, la re-promoción en el bosque temporal de AD no se completará y no podrá iniciar sesión en el controlador de dominio.

7. Quite los archivos restantes y las entradas del Registro. Para ello, siga estos pasos:

   1. Inicie el Asistente para la instalación de Active Directory.

   2. Instale Active Directory para que el equipo sea un controlador de dominio para un dominio temporal nuevo, como psstemp.deleteme.

      Nota:

      Asegúrese de que el equipo es un controlador de dominio en otro bosque.

   3. Después de instalar Active Directory, vuelva a iniciar el Asistente para la instalación de Active Directory y, a continuación, quite Active Directory del controlador de dominio.

8. Después de quitar Active Directory de un controlador de dominio, quite los metadatos que quedan en el dominio. Para obtener más información sobre cómo quitar estos metadatos, vea Cómo quitar datos en Active Directory después de una degradación incorrecta del controlador de dominio.

Estado

Microsoft ha probado y admite la degradación forzada de controladores de dominio que ejecutan Windows 2000 o Windows Server 2003.

Más información

El Asistente para la instalación de Active Directory crea controladores de dominio de Active Directory en equipos basados en Windows 2000 y windows Server 2003. Las operaciones realizadas por el Asistente para instalación de Active Directory incluyen la instalación de nuevos servicios, los cambios en los valores de inicio de los servicios existentes y la transición a Active Directory como dominio de seguridad y autenticación.

Con la degradación forzada, un administrador de dominio puede quitar de forma forzada Active Directory y revertir los cambios del sistema mantenidos localmente sin tener que ponerse en contacto ni replicar los cambios mantenidos localmente en otro controlador de dominio del bosque.

Dado que la degradación forzada provoca la pérdida de cualquier cambio mantenido localmente, úsela solo como último recurso en dominios de prueba o de producción. Puede degradar forzosamente los controladores de dominio cuando no se pueden resolver la conectividad, la resolución de nombres, la autenticación o las dependencias del motor de replicación para que se pueda realizar una degradación correcta. Entre los escenarios válidos para las degradaciones forzadas se incluyen los siguientes:

• Actualmente no hay ningún controlador de dominio disponible en el dominio primario al intentar degradar el último controlador de dominio en un dominio secundario inmediato.

• El Asistente para la instalación de Active Directory no se puede completar porque hay una resolución de nombres, autenticación, motor de replicación o dependencia de objetos de Active Directory que no se puede resolver después de realizar una solución de problemas detallada.

• Un controlador de dominio no ha replicado los cambios entrantes de Active Directory en la duración de Tombstone (la duración predeterminada de Tombstone es de 60 días) el número de días durante uno o más contextos de nomenclatura.

  Importante

  No recupere estos controladores de dominio a menos que sean la única posibilidad de recuperación para un dominio determinado.

• El tiempo no permite la solución de problemas más detallada porque debe incorporar inmediatamente al servicio el controlador de dominio. Las degradaciones forzadas pueden ser útiles en entornos de laboratorio y aula en los que puede quitar controladores de dominio de dominios existentes, pero no tiene que degradar cada controlador de dominio en serie.

Si fuerza la degradación de un controlador de dominio, perderá los cambios únicos que residen en Active Directory del controlador de dominio que está degradando forzadamente. Esto incluye la adición, eliminación o modificación de usuarios, equipos, grupos, relaciones de confianza y directiva de grupo o configuración de Active Directory que no se replicaron antes de ejecutar el dcpromo /forceremoval comando. Además, perderá los cambios en cualquiera de los atributos de estos objetos, como contraseñas para usuarios, equipos y relaciones de confianza y pertenencia a grupos.

Sin embargo, si fuerza la degradación de un controlador de dominio, devuelve el sistema operativo a un estado que es el mismo que el nivel correcto del último controlador de dominio de un dominio (valores de inicio de servicio, servicios instalados, uso de sam basado en el registro para la base de datos de cuenta, el equipo es miembro de un grupo de trabajo). Los programas instalados en el controlador de dominio degradado permanecen instalados.

El registro de eventos del sistema identifica los controladores de dominio de Windows 2000 y las instancias de la dcpromo /forceremoval operación por identificador de evento 29234. Por ejemplo: el registro de eventos del sistema identifica controladores de dominio de Windows Server 2003 degradados por identificador de evento 29239. Por ejemplo: Después de usar el dcpromo /forceremoval comando , los metadatos del equipo degradado no se eliminan en controladores de dominio supervivientes. Para obtener más información, consulte Limpieza de metadatos del servidor de Dominio de Active Directory Controller.

A continuación se muestran los elementos que debe abordar, si procede, después de degradar forzadamente un controlador de dominio:

1. Quite la cuenta de equipo del dominio.
2. Compruebe que los registros DNS, como los registros A, CNAME y SRV, se quitan y los quitan si están presentes.
3. Compruebe que se quitan los objetos miembro de FRS (FRS y DFS) y quítelos si están presentes.
4. Si el equipo degradado es miembro de cualquier grupo de seguridad, quítelo de esos grupos.
5. Quite las referencias DFS al servidor degradado, como vínculos o réplicas raíz.
6. Un controlador de dominio superviviente debe aprovechar todos los roles maestros de operaciones, también conocidos como operaciones maestras únicas flexibles o FSMO, que anteriormente tenían el controlador de dominio forzado degradado. Para obtener más información, vea Transferir o aprovechar los roles maestros de operaciones en Servicios de dominio de Active Directory.
7. Si el controlador de dominio que está degradando es un servidor DNS o un servidor de catálogo global, debe crear un nuevo servidor GC o DNS para satisfacer el equilibrio de carga, la tolerancia a errores y las opciones de configuración en el bosque.
8. Cuando se usa el comando quitar servidor seleccionado en NTDSUTIL, se quita el objeto NTDSDSA, el objeto primario para las conexiones entrantes al controlador de dominio que ha degradado forzadamente. El comando no quita los objetos de servidor primarios que aparecen en el complemento Sitios y servicios. Use el complemento MMC sitios y servicios de Active Directory para quitar el objeto de servidor si el controlador de dominio no se promoverá al bosque con el mismo nombre de equipo.