Restauración autoritativa de grupos puede producir información de pertenencia incoherente entre los controladores de dominio

Seleccione idioma Seleccione idioma
Id. de artículo: 280079 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

Síntomas

Después de realizar una restauración autoritativa de usuarios y grupos, la pertenencia de los grupos restaurados puede ser incoherente entre los controladores de dominio.

Si el grupo está vacío en el controlador de dominio restaurado, pero se rellena en un controlador de dominio réplica, a continuación, cuando se agrega un usuario al grupo en el controlador de dominio restaurado, los usuarios se quitan del grupo en los controladores de dominio de réplica.

El mismo comportamiento puede producirse con el atributo ManagedBy, que puede estar vacío después de una restauración autoritaria.

Para obtener información adicional acerca de estos tipos de problemas, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
840001Cómo restaurar cuentas de usuario eliminadas y sus pertenencias a grupos en Active Directory


Nota EL artículo 840001 reemplaza a este artículo.

Causa

Este problema puede producirse porque pertenencia se almacena como el atributo de miembro en el objeto de grupo. Cuando un principal de seguridad (usuario, grupo o equipo) se agrega a un grupo, un backlink se agrega el atributo de miembro en el objeto del principal. Durante una restauración autoritativa, si el objeto de grupo se restaura antes de que el objeto de usuario, a continuación, Active Directory quita el valor del atributo de miembro en el grupo porque un usuario no existe que tiene un backlink coincidente.

Tras la restauración autoritaria, la información de versión en el atributo de miembro de los grupos restaurados es coherente en cada controlador de dominio, aunque no sean los valores de ese atributo. Cuando se modifica la pertenencia al grupo, se incrementa el número de versión y el contenido de ese grupo se replica fuera a todos los controladores de dominio. Si se modifica el grupo en un controlador de dominio que tiene una suscripción de grupo válido, a continuación, el contenido completo del grupo se replica y no se pierdan datos. Sin embargo, si el grupo se ha modificado en el controlador de dominio restaurado, a continuación, sólo se replican los usuarios agregados y los usuarios se quitan desde el grupo de los controladores de dominio de réplica.

Nota Este problema puede producirse incluso si los usuarios se restauran autoritativamente y los grupos no están. Si se realiza una restauración del estado del sistema y sólo los usuarios están marcados como autorizados, se restaurará su pertenencia al grupo del controlador de dominio que la restauración se realizó en (porque los vínculos hacia adelante en el grupo podrían objetos se han restaurado en el estado del sistema restauración). Si la pertenencia a grupos no ha cambiado desde que se realizó la copia de seguridad de estado del sistema, no la duplicación de los grupos se realizará después de la restauración. El resultado incoherente de pertenencia entre controladores de dominio. Cambiar la pertenencia del grupo en un controlador de dominio se replicará el contenido actual de ese grupo en ese controlador de dominio en los demás controladores de dominio.

Solución

Advertencia : leer detenidamente la siguiente información antes de realizar el procedimiento descrito en esta sección. Información de usuario y de grupo pueden perderse manera irrecuperable si no sigue este procedimiento exactamente. Recuerde que debe realizar y comprobar un archivo de copia de seguridad de Active Directory en el controlador de dominio autorizado antes de continuar.

Para resolver este problema, todos los objetos principales de seguridad (usuarios, grupos y equipos) deben ser autoritativamente restaurados y replica fuera en todos los controladores de dominio, y todos los objetos de grupo deben se autoritativamente restaurados y fuera la replica en todos los controladores de dominio nuevo. Cuando utilice este procedimiento, todos los posibles integrantes del grupo (los usuarios, grupos y equipos) están en la base de datos antes de la segunda restauración y se mantienen los backlinks.

Cuando restaure autoritativamente cuentas de usuario y sus pertenencias a grupos, busque un controlador de dominio con información suficiente para estar marcada como autoritaria y, a continuación, desconecte dicho controlador de dominio de la red. Este servidor se convierte en el controlador de dominio autorizado.

Para resolver este problema:
  1. Realice una completa copia de seguridad del estado del equipo hacer copia de esta copia autorizada de Active Directory en caso de que se produce un error durante este procedimiento.
  2. Deshabilitar ambas dentro del sitio y entre sitios de generación de topología. Para obtener información adicional acerca de cómo deshabilitar dentro del sitio y topología entre sitios, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
    242780Cómo deshabilitar la información coherencia Comprobador From Automatically Creating Replication Topology
  3. Iniciar el complemento Servicios y sitios y, a continuación, elimine todos los objetos conexión bajo el objeto configuración NTDS para el controlador de dominio autorizado.

    Al completar este paso, se impide que el controlador de dominio replicar los cambios durante este procedimiento. Los asociados de replicación del controlador de dominio autorizado de todavía tienen objetos de conexión que señalan a ese servidor que permiten que extraer los datos autorizados del servidor.
  4. Reinicie el equipo en modo de restauración de Active Directory.
  5. De forma autoritaria cada cuenta necesarios individualmente. Por ejemplo, para restaurar la cuenta de usuario James Smith en Contabilidad de la unidad organizativa en nwtraders.msft, utilice la sintaxis siguiente:
    restauración autoritaria: restore subtree "cn = Juan Pérez, ou = Accounting, dc = nwtraders, dc = msft"
    Nota : como la herramienta Ntdsutil puede se secuencias de comandos, puede generar una lista de cuentas de usuario para restaurarse y, a continuación, que pase a la secuencia de comandos. Una secuencia de comandos de ejemplo se describe en la sección "Más información" de este artículo.

    También puede restaurar una OU toda aquí si principalmente contiene usuarios y grupos.
  6. Reinicie el equipo en modo normal.
  7. Permitir a replicar normalmente los usuarios restaurados.

    Para obligar a los socios replicar desde el controlador de dominio autorizado, utilizar la herramienta ReplMon, o los sitios y complemento Servicios.
  8. Cuando los usuarios se replican en todos los controladores de dominio, reinicie el equipo en modo de restauración Active de directorio.
  9. Restaurar autoritativamente cada cuenta de grupo que contiene los objetos restaurados anteriormente. Por ejemplo, para restaurar el administrador Web de grupo en la unidad organizativa de ITG en nwtraders.msft, utilice la sintaxis siguiente:
    restauración autoritaria: restore subtree "cn = Web administrador, ou = ITG, dc = nwtraders, dc = msft"
    Nota : como la herramienta Ntdsutil puede se secuencias de comandos, puede generar una lista de grupos de restaurarse y, a continuación, que pase a la secuencia de comandos. Una secuencia de comandos de ejemplo se describe en la sección "Más información" de este artículo.
  10. Reinicie el equipo en modo normal.
  11. Permitir los grupos restaurados para replicar normalmente.

    Para obligar a los socios replicar desde el controlador de dominio autorizado, utilizar la herramienta ReplMon, o los sitios y complemento Servicios.
  12. Deshacer los cambios en el objeto sitio realizados en el paso dos de este procedimiento.

Estado

Microsoft ha confirmado que se trata de un problema de los productos de Microsoft enumerados en la sección "La información de este artículo se refiere a:".

Más información

Una vez desconectado de la red el controlador de dominio autorizado, puede ejecutar la siguiente secuencia de comandos antes de inicia el equipo en modo de Directory restauración de directorio para obtener la lista de usuarios:
List.vbs
--------
Set strOU = GetObject("LDAP://localhost/ou=layer two,ou=layer one,ou=test,dc=i,dc=j,dc=com")
strOU.Filter = Array("user")

For Each Member in strOU 
  Wscript.Echo Chr(92) & Chr(34) & member.distinguishedname & Chr(92) & Chr(34)
Next
					
Nota : asegúrese de que cambia la ruta de unidad organizativa en la primera línea para que señale a la ruta que contiene los usuarios y grupos que se va a restaurar. Además, puede utilizar esta misma secuencia de comandos para crear una lista de usuarios o grupos.

Lista de grupos, cambie el filtro en la segunda línea para:
oU.Filter=Array("group")
					
Para ejecutar esta secuencia de comandos y obtener el resultado a un archivo de texto, escriba el comando siguiente en el símbolo (ejecutar este comando en la misma carpeta que la secuencia de comandos):
cscript //nologo list.vbs > users.txt
Una vez haya creado la lista de usuarios y la lista de grupos, puede utilizar Ntdsutil para restaurar autoritativamente cada entrada:
Authrest.cmd
------------
@echo off
ntdsutil "popups off" "authoritative restore" "restore subtree %1" quit quit
					
Para ejecutar esta secuencia de comandos para cada entrada en la lista de usuarios o grupos, utilice el comando para leer la entrada en la lista y pasarla al archivo por lotes descrito anteriormente. Escriba el comando siguiente en la línea de comandos (crear estos archivos en la misma carpeta como los archivos de dos texto que creó anteriormente):
for /f "tokens = *" %i in (users.txt) pendientes authrest %i
Este comando recorre cada línea del archivo de texto y restaura autoritativamente el usuario.

Propiedades

Id. de artículo: 280079 - Última revisión: lunes, 03 de diciembre de 2007 - Versión: 11.4
La información de este artículo se refiere a:
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Server
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
Palabras clave: 
kbmt kbprb KB280079 KbMtes
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.
Haga clic aquí para ver el artículo original (en inglés): 280079

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com