Iniciar sesi�n

Select the product you need help with

Restauraci�n autoritativa de grupos puede producir informaci�n de pertenencia incoherente entre los controladores de dominio

Id. de art�culo: 280079 - Ver los productos a los que se aplica este art�culo

Advertencia: Art�culo de Traducci�n Autom�tica, vea la exenci�n de responsabilidad.

Haga clic aqu� para ver en paralelo el art�culo de traducci�n autom�tica y el art�culo original en ingl�s.

Expandir todo | Contraer todo

S�ntomas

Despu�s de realizar una restauraci�n autoritativa de usuarios y grupos, la pertenencia de los grupos restaurados puede ser incoherente entre los controladores de dominio.

Si el grupo est� vac�o en el controlador de dominio restaurado, pero se rellena en un controlador de dominio r�plica, a continuaci�n, cuando se agrega un usuario al grupo en el controlador de dominio restaurado, los usuarios se quitan del grupo en los controladores de dominio de r�plica.

El mismo comportamiento puede producirse con el atributo ManagedBy, que puede estar vac�o despu�s de una restauraci�n autoritaria.

Para obtener informaci�n adicional acerca de estos tipos de problemas, haga clic en el n�mero de art�culo siguiente para verlo en Microsoft Knowledge Base:

840001

(http://support.microsoft.com/kb/840001/ )

C�mo restaurar cuentas de usuario eliminadas y sus pertenencias a grupos en Active Directory

Nota EL art�culo 840001 reemplaza a este art�culo.

Volver al principio | Enviar comentarios

Causa

Este problema puede producirse porque pertenencia se almacena como el atributo de miembro en el objeto de grupo. Cuando un principal de seguridad (usuario, grupo o equipo) se agrega a un grupo, un backlink se agrega el atributo de miembro en el objeto del principal. Durante una restauraci�n autoritativa, si el objeto de grupo se restaura antes de que el objeto de usuario, a continuaci�n, Active Directory quita el valor del atributo de miembro en el grupo porque un usuario no existe que tiene un backlink coincidente.

Tras la restauraci�n autoritaria, la informaci�n de versi�n en el atributo de miembro de los grupos restaurados es coherente en cada controlador de dominio, aunque no sean los valores de ese atributo. Cuando se modifica la pertenencia al grupo, se incrementa el n�mero de versi�n y el contenido de ese grupo se replica fuera a todos los controladores de dominio. Si se modifica el grupo en un controlador de dominio que tiene una suscripci�n de grupo v�lido, a continuaci�n, el contenido completo del grupo se replica y no se pierdan datos. Sin embargo, si el grupo se ha modificado en el controlador de dominio restaurado, a continuaci�n, s�lo se replican los usuarios agregados y los usuarios se quitan desde el grupo de los controladores de dominio de r�plica.

Nota Este problema puede producirse incluso si los usuarios se restauran autoritativamente y los grupos no est�n. Si se realiza una restauraci�n del estado del sistema y s�lo los usuarios est�n marcados como autorizados, se restaurar� su pertenencia al grupo del controlador de dominio que la restauraci�n se realiz� en (porque los v�nculos hacia adelante en el grupo podr�an objetos se han restaurado en el estado del sistema restauraci�n). Si la pertenencia a grupos no ha cambiado desde que se realiz� la copia de seguridad de estado del sistema, no la duplicaci�n de los grupos se realizar� despu�s de la restauraci�n. El resultado incoherente de pertenencia entre controladores de dominio. Cambiar la pertenencia del grupo en un controlador de dominio se replicar� el contenido actual de ese grupo en ese controlador de dominio en los dem�s controladores de dominio.

Volver al principio | Enviar comentarios

Soluci�n

Advertencia : leer detenidamente la siguiente informaci�n antes de realizar el procedimiento descrito en esta secci�n. Informaci�n de usuario y de grupo pueden perderse manera irrecuperable si no sigue este procedimiento exactamente. Recuerde que debe realizar y comprobar un archivo de copia de seguridad de Active Directory en el controlador de dominio autorizado antes de continuar.

Para resolver este problema, todos los objetos principales de seguridad (usuarios, grupos y equipos) deben ser autoritativamente restaurados y replica fuera en todos los controladores de dominio, y todos los objetos de grupo deben se autoritativamente restaurados y fuera la replica en todos los controladores de dominio nuevo. Cuando utilice este procedimiento, todos los posibles integrantes del grupo (los usuarios, grupos y equipos) est�n en la base de datos antes de la segunda restauraci�n y se mantienen los backlinks.

Cuando restaure autoritativamente cuentas de usuario y sus pertenencias a grupos, busque un controlador de dominio con informaci�n suficiente para estar marcada como autoritaria y, a continuaci�n, desconecte dicho controlador de dominio de la red. Este servidor se convierte en el controlador de dominio autorizado.

Para resolver este problema:

Realice una completa copia de seguridad del estado del equipo hacer copia de esta copia autorizada de Active Directory en caso de que se produce un error durante este procedimiento.
Deshabilitar ambas dentro del sitio y entre sitios de generaci�n de topolog�a. Para obtener informaci�n adicional acerca de c�mo deshabilitar dentro del sitio y topolog�a entre sitios, haga clic en el n�mero de art�culo siguiente para verlo en Microsoft Knowledge Base:
242780
(http://support.microsoft.com/kb/242780/EN-US/ )
C�mo deshabilitar la informaci�n coherencia Comprobador From Automatically Creating Replication Topology
Iniciar el complemento Servicios y sitios y, a continuaci�n, elimine todos los objetos conexi�n bajo el objeto configuraci�n NTDS para el controlador de dominio autorizado.

Al completar este paso, se impide que el controlador de dominio replicar los cambios durante este procedimiento. Los asociados de replicaci�n del controlador de dominio autorizado de todav�a tienen objetos de conexi�n que se�alan a ese servidor que permiten que extraer los datos autorizados del servidor.
Reinicie el equipo en modo de restauraci�n de Active Directory.
De forma autoritaria cada cuenta necesarios individualmente. Por ejemplo, para restaurar la cuenta de usuario James Smith en Contabilidad de la unidad organizativa en nwtraders.msft, utilice la sintaxis siguiente:
restauraci�n autoritaria: restore subtree "cn = Juan P�rez, ou = Accounting, dc = nwtraders, dc = msft"
Nota : como la herramienta Ntdsutil puede se secuencias de comandos, puede generar una lista de cuentas de usuario para restaurarse y, a continuaci�n, que pase a la secuencia de comandos. Una secuencia de comandos de ejemplo se describe en la secci�n "M�s informaci�n" de este art�culo.

Tambi�n puede restaurar una OU toda aqu� si principalmente contiene usuarios y grupos.
Reinicie el equipo en modo normal.
Permitir a replicar normalmente los usuarios restaurados.

Para obligar a los socios replicar desde el controlador de dominio autorizado, utilizar la herramienta ReplMon, o los sitios y complemento Servicios.
Cuando los usuarios se replican en todos los controladores de dominio, reinicie el equipo en modo de restauraci�n Active de directorio.
Restaurar autoritativamente cada cuenta de grupo que contiene los objetos restaurados anteriormente. Por ejemplo, para restaurar el administrador Web de grupo en la unidad organizativa de ITG en nwtraders.msft, utilice la sintaxis siguiente:
restauraci�n autoritaria: restore subtree "cn = Web administrador, ou = ITG, dc = nwtraders, dc = msft"
Nota : como la herramienta Ntdsutil puede se secuencias de comandos, puede generar una lista de grupos de restaurarse y, a continuaci�n, que pase a la secuencia de comandos. Una secuencia de comandos de ejemplo se describe en la secci�n "M�s informaci�n" de este art�culo.
Reinicie el equipo en modo normal.
Permitir los grupos restaurados para replicar normalmente.

Para obligar a los socios replicar desde el controlador de dominio autorizado, utilizar la herramienta ReplMon, o los sitios y complemento Servicios.
Deshacer los cambios en el objeto sitio realizados en el paso dos de este procedimiento.

Volver al principio | Enviar comentarios

Estado

Microsoft ha confirmado que se trata de un problema de los productos de Microsoft enumerados en la secci�n "La informaci�n de este art�culo se refiere a:".

Volver al principio | Enviar comentarios

M�s informaci�n

Una vez desconectado de la red el controlador de dominio autorizado, puede ejecutar la siguiente secuencia de comandos antes de inicia el equipo en modo de Directory restauraci�n de directorio para obtener la lista de usuarios:

List.vbs
--------
Set strOU = GetObject("LDAP://localhost/ou=layer two,ou=layer one,ou=test,dc=i,dc=j,dc=com")
strOU.Filter = Array("user")

For Each Member in strOU 
  Wscript.Echo Chr(92) & Chr(34) & member.distinguishedname & Chr(92) & Chr(34)
Next

Nota : aseg�rese de que cambia la ruta de unidad organizativa en la primera l�nea para que se�ale a la ruta que contiene los usuarios y grupos que se va a restaurar. Adem�s, puede utilizar esta misma secuencia de comandos para crear una lista de usuarios o grupos.

Lista de grupos, cambie el filtro en la segunda l�nea para:

oU.Filter=Array("group")

Para ejecutar esta secuencia de comandos y obtener el resultado a un archivo de texto, escriba el comando siguiente en el s�mbolo (ejecutar este comando en la misma carpeta que la secuencia de comandos):

cscript //nologo list.vbs > users.txt

Una vez haya creado la lista de usuarios y la lista de grupos, puede utilizar Ntdsutil para restaurar autoritativamente cada entrada:

Authrest.cmd
------------
@echo off
ntdsutil "popups off" "authoritative restore" "restore subtree %1" quit quit

Para ejecutar esta secuencia de comandos para cada entrada en la lista de usuarios o grupos, utilice el comando para leer la entrada en la lista y pasarla al archivo por lotes descrito anteriormente. Escriba el comando siguiente en la l�nea de comandos (crear estos archivos en la misma carpeta como los archivos de dos texto que cre� anteriormente):

for /f "tokens = *" %i in (users.txt) pendientes authrest %i

Este comando recorre cada l�nea del archivo de texto y restaura autoritativamente el usuario.

Volver al principio | Enviar comentarios

Propiedades

Id. de art�culo: 280079 - �ltima revisi�n: lunes, 03 de diciembre de 2007 - Versi�n: 11.4

La informaci�n de este art�culo se refiere a:

Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
Microsoft Windows Server 2003, Standard Edition (32-bit x86)
Microsoft Windows 2000 Advanced Server
Microsoft Windows 2000 Server
Microsoft Windows Small Business Server 2003 Premium Edition
Microsoft Windows Small Business Server 2003 Standard Edition

kbmt kbprb KB280079 KbMtes

Traducci�n autom�tica

IMPORTANTE: Este art�culo ha sido traducido por un software de traducci�n autom�tica de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece art�culos traducidos por un traductor humano y art�culos traducidos autom�ticamente para que tenga acceso en su propio idioma a todos los art�culos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los art�culos traducidos autom�ticamente pueden contener errores en el vocabulario, la sintaxis o la gram�tica, como los que un extranjero podr�a cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisi�n, error o da�o ocasionado por una mala traducci�n del contenido o como consecuencia de su utilizaci�n por nuestros clientes. Microsoft suele actualizar el software de traducci�n frecuentemente.

Haga clic aqu� para ver el art�culo original (en ingl�s): 280079

(http://support.microsoft.com/kb/280079/en-us/ )

Volver al principio | Enviar comentarios