Información acerca de los objetos persistentes en un bosque de Active Directory de Windows Server

Seleccione idioma Seleccione idioma
Id. de artículo: 910205 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

En esta página

Resumen

Este artículo contiene información acerca de los objetos persistentes en un en un bosque basado en Microsoft Windows 2000 o en un bosque basado en Windows Server 2003. Específicamente, el artículo describe los eventos que indican la presencia de los objetos persistentes, las causas de los objetos persistentes y los métodos que puede utilizar para quitar objetos persistentes.

INTRODUCCIÓN

Los objetos persistentes pueden producirse si no se replica un controlador de dominio para un intervalo de tiempo que es más largo que el período de vida de objetos de desecho (TSL). El controlador de dominio, a continuación, vuelve a conectar a la topología de replicación. Objetos eliminados desde el servicio de directorio de Active Directory cuando el controlador de dominio está sin conexión pueden permanecer en el controlador de dominio como los objetos persistentes. Este artículo contiene información detallada sobre los eventos que indican la presencia de los objetos persistentes, las causas de los objetos persistentes y los métodos que puede utilizar para quitar objetos persistentes.

Más información

Duración de extinción y replicación de eliminaciones

Cuando se elimina un objeto, Active Directory replica la eliminación como un objeto de desecho. Un objeto de desecho consta de un pequeño subconjunto de los atributos del objeto eliminado. De forma entrante-replicar este objeto, otros controladores de dominio en el dominio y en el bosque reciban información sobre la eliminación. El objeto de desecho se conserva en Active Directory para un período especificado. Este período especificado se denomina el TSL. Al final de la TSL se eliminará permanentemente el objeto de desecho.

El valor predeterminado de la TSL depende de la versión del sistema operativo que se ejecuta en el primer controlador de dominio que está instalado en un bosque. La tabla siguiente indica los valores TSL predeterminados para diferentes sistemas operativos de Windows.
Contraer esta tablaAmpliar esta tabla
Primer controlador de dominio raíz del bosqueRegistros desechados predeterminada
Windows 200060 días
Windows Server 200360 días
Windows Server 2003 con Service Pack 1180 días
Nota El valor TSL existente no cambia cuando se actualiza un controlador de dominio a Windows Server 2003 con Service Pack 1 (SP1). El valor TSL existente se mantiene hasta que cambie manualmente.

Después se elimina permanentemente el objeto de desecho, ya no se puede replicar la eliminación del objeto. El TSL define cuánto controladores de dominio del bosque conservan información acerca de un objeto eliminado. El TSL también define el tiempo durante el cual todos los asociados de replicación directo y transitivo del controlador de dominio de origen deben recibir una eliminación única.

Cómo los objetos persistentes producen

Cuando un controlador de dominio está desconectado durante un período más larga que la TSL, uno o más objetos que se eliminan de Active Directory en todos los demás controladores de dominio pueden permanecer en el controlador de dominio desconectado. Dichos objetos se denominan objetos persistentes. Porque el controlador de dominio está sin conexión durante el tiempo que el objeto de desecho está activo, el controlador de dominio nunca recibe replicación del objeto de desecho.

Cuando se vuelve a conectar este controlador de dominio a la topología de replicación, actúa como asociado de replicación de origen que tiene un objeto que no tiene su asociado de destino.

Problemas de replicación se producen cuando se actualiza el objeto en el controlador de dominio de origen. En este caso, cuando el socio de destino intenta replicar entrante la actualización, el controlador de dominio de destino responde de dos maneras:
  • Si el controlador de dominio de destino tiene habilitadas Strict coherencia de replicación, el controlador reconoce que no puede actualizar el objeto. El controlador localmente detiene la replicación entrante de la partición de directorio desde el controlador de dominio de origen.
  • Si el controlador de dominio de destino tiene coherencia de replicación Strict deshabilitado, el controlador de solicitudes de la réplica completa del objeto actualizada. En este caso, el objeto es Reintroducido en el directorio.

Causas de las desconexiones largas

Las condiciones siguientes pueden provocar desconexiones largas:
  • Un controlador de dominio está desconectado de la red y se coloca en almacenamiento.
  • El envío de un controlador de dominio ensayado previamente a su ubicación remota tarda más que un TSL.
  • Conexiones de red de área extensa (WAN) no están disponibles durante largos períodos. Por ejemplo, un controlador de dominio integrado un barco de crucero no podrá replicar porque es la de envío en el mar durante más de la TSL.
  • El evento notificado es un falso positivo porque un administrador acortará el TSL para forzar la recolección de objetos eliminados.
  • El evento notificado es un falso positivo porque el reloj del sistema en el origen o en el controlador de dominio de destino se avanzada incorrectamente o se deshace. Reloj skews son más comunes siguiendo un reinicio del sistema. Reloj skews pueden producirse por las razones siguientes:
    • Hay un problema con la batería de reloj de sistema o con la placa base.
    • El origen de hora de un equipo está configurado incorrectamente. Esto incluye un servidor de origen de tiempo que se configura mediante servicio de hora de Windows (W32Time), utilizando un servidor de hora de terceros, o mediante enrutadores de red.
    • Un administrador avanza o deshace el reloj del sistema para ampliar la vida útil de una copia de seguridad del estado del sistema o para acelerar la recolección de objetos eliminados. Asegúrese de que el reloj del sistema refleja el tiempo real. Además, asegúrese de que los registros de sucesos no contienen los eventos no válidos desde el futuro o desde el pasado.

Indicaciones de que un controlador de dominio tiene objetos persistentes

Un controlador de dominio desfasado puede almacenar los objetos persistentes sin ningún efecto apreciable cuando se cumplen las condiciones siguientes:
  • Un administrador, una aplicación o un servicio no actualiza el objeto persistente.
  • Un administrador, una aplicación o un servicio no intenta crear un objeto que tiene el mismo nombre en el dominio.
  • Un administrador, una aplicación o un servicio no intenta crear un objeto utilizando el mismo nombre principal de usuario (UPN) en el bosque.
Incluso cuando no hay ningún efecto apreciable, la presencia de los objetos persistentes puede causar problemas. Estos problemas suelen producirse si un objeto persistente es una entidad de seguridad.

Eventos que indican que los objetos persistentes pueden presentan en el bosque

Contraer esta tablaAmpliar esta tabla
ID. de sucesoDescripción general
1862El controlador de dominio local no recibió recientemente información de replicación de varios controladores de dominio (entre sitios).
1863El controlador de dominio local no recibió recientemente información de replicación de varios controladores de dominio (entre sitios).
1864El controlador de dominio local no recibió recientemente información de replicación de varios controladores de dominio (resumen).
1311El Comprobador de coherencia de réplica (KCC) no pudo generar una topología de árbol de expansión.
2042Desde este servidor replicado por última vez con el servidor de origen con nombre ha sido demasiado largo.
Para obtener más información acerca de sucesos ID 2042 y para obtener información acerca de cómo solucionar problemas de replicación de Active Directory, visite el siguiente sitio Web:
http://technet2.microsoft.com/WindowsServer/en/Library/4f504103-1a16-41e1-853a-c68b77bf3f7e1033.mspx

Eventos que indican que los objetos persistentes están presentes en el bosque

Contraer esta tablaAmpliar esta tabla
ID. de sucesoDescripción general
1084No existe el objeto en el servidor.
1388Este sistema de destino recibió una actualización para un objeto que debería haber sido presente localmente pero no era.
1311Otro controlador de dominio replica un objeto no está presente en este controlador de dominio.
Nota Los objetos persistentes no están presentes en los controladores de dominio que el registro de sucesos ID 1988. El controlador de dominio de origen contiene el objeto persistente.

Repadmin errores que indican que los objetos persistentes están presentes en el bosque

Contraer esta tablaAmpliar esta tabla
ID. de sucesoDescripción general
8240No existe el objeto en el servidor.
8606Se proporcionaron atributos insuficientes para crear un objeto.

Otras indicaciones de que los objetos persistentes están presentes en el bosque

  • Una cuenta de usuario o grupo que se ha eliminado permanece en la lista global de direcciones (GAL) en servidores que ejecutan Microsoft Exchange Server. Por tanto, aunque el nombre de cuenta aparece en la GAL, se producen errores cuando los usuarios intentan enviar mensajes de correo electrónico.
  • Varias copias de un objeto aparecen en el selector de objetos o en la GAL para un objeto que debe ser único en el bosque. A veces vea objetos duplicados que han cambiado los nombres. Estos objetos duplicados confusión en las búsquedas de directorio. Por ejemplo, si el nombre completo relativo de dos objetos no se puede resolver, resolución de conflictos anexa *CNF:GUID al nombre. En este ejemplo, * representa un carácter reservado, CNF es una constante que indica una resolución de conflictos y GUID representa el valor del atributo objectGUID.
  • No se entregan mensajes de correo electrónico a un usuario cuya cuenta de Active Directory parece ser actual. Después se vuelve a conectar un servidor de catálogo global o controlador de dominio desfasado, aparecen ambas instancias del objeto de usuario en el catálogo global. Puesto que ambos objetos tienen la misma dirección de correo electrónico, no se puede entregar mensajes de correo electrónico.
  • Un grupo universal que ya no existe sigue apareciendo en el token de acceso del usuario. Aunque el grupo ya no existe, si una cuenta de usuario tiene aún el grupo en su token de seguridad, el usuario puede tener acceso a un recurso que se pretendía que no esté disponible para ese usuario.
  • No se puede crear un nuevo objeto o el buzón de Exchange. Pero no ve el objeto en Active Directory. Un mensaje de error informa de que el objeto ya existe.
  • Las búsquedas que utilizan los atributos de un objeto existente posible incorrectamente varias copias de un objeto del mismo nombre. Se ha eliminado un objeto desde el dominio. Pero ese objeto permanece en un servidor de catálogo global aislado.
Si se realiza un intento para actualizar un objeto persistente que reside en una partición de directorio grabable, se registran los sucesos en el controlador de dominio de destino. Sin embargo, si es la única versión de un objeto persistente en una partición de directorio de sólo lectura en un servidor de catálogo global, no se puede actualizar el objeto. Por tanto, no se desencadena este tipo de evento.

Quitar objetos persistentes del bosque

Bosques basado en Windows 2000

Para obtener más información acerca de cómo quitar objetos persistentes en un dominio basado en Windows 2000, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
314282Los objetos persistentes pueden permanecer después de poner de nuevo en conexión un servidor de catálogo global desfasado

Windows Server 2003-based bosques

Para obtener información acerca de cómo quitar objetos persistentes de bosques basados en Windows Server 2003, visite el siguiente sitio Web:
http://technet2.microsoft.com/WindowsServer/en/Library/77dbd146-f265-4d64-bdac-605ecbf1035f1033.mspx
Para obtener más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
892777Herramientas de soporte técnico del Service Pack 1 de Windows Server 2003

Evitar los objetos persistentes

Los siguientes son métodos que puede utilizar para evitar que los objetos persistentes.

Método 1: Habilitar la entrada del registro de coherencia de replicación Strict

Puede habilitar la entrada del registro de coherencia de replicación Strict para que se ponen en cuarentena objetos sospechosos. A continuación, las operaciones de administración pueden quitar estos objetos antes de que se extienden en todo el bosque.

Si se encuentra un objeto persistente puede escribir en su entorno y se realiza un intento para actualizar el objeto, el valor en la entrada del registro de coherencia de replicación Strict determina si la replicación continúa o se detuvo. La entrada del registro de coherencia de replicación Strict se encuentra en la siguiente subclave del registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
El tipo de datos para esta entrada es un REG_DWORD. Si establece el valor en 1, la entrada está habilitada. Replicación de entrada de la partición de directorio especificada desde el origen está detenida en el destino. Si establece el valor en 0, se deshabilita la entrada. El destino solicita el objeto completo del controlador de dominio de origen. El objeto persistente se reactivará en el directorio como un nuevo objeto.

El valor predeterminado para la entrada del registro de coherencia de replicación Strict está determinado por las condiciones en la que se instaló el controlador de dominio del bosque.

Nota Elevar el nivel funcional del dominio o del bosque, no cambia la configuración de la coherencia de replicación en cualquier controlador de dominio.

De forma predeterminada, el valor de la entrada del registro de coherencia de replicación Strict en controladores de dominio que están instalados en un bosque es 1 (habilitado) si se cumplen las condiciones siguientes:
  • Se utiliza la versión de Windows Server 2003 de Winnt32.exe para actualizar un controlador de dominio principal (PDC) de Windows NT 4.0 a Windows Server 2003. Este equipo crea el dominio raíz del bosque de un bosque nuevo.
  • Active Directory está instalado en un servidor que ejecuta Windows Server 2003. Este equipo crea el dominio raíz del bosque de un bosque nuevo.
De forma predeterminada, el valor de la entrada del registro de coherencia de replicación Strict en controladores de dominio es 0 (deshabilitado) si se cumplen las condiciones siguientes:
  • Un controlador de dominio basado en Windows 2000 se actualiza a Windows Server 2003.
  • Active Directory está instalado en un servidor miembro basado en Windows Server 2003 en un bosque basado en Windows 2000.
Si tiene un controlador de dominio que ejecuta Windows Server 2003 con SP1, no es necesario modificar el registro para establecer el valor de la entrada del registro de coherencia de replicación Strict. En su lugar, puede utilizar la herramienta Repadmin.exe para establecer este valor para un controlador de dominio del bosque o para todos los controladores de dominio del bosque.

Para obtener más información acerca de cómo utilizar repadmin.exe para establecer la coherencia de replicación Strict, visite el siguiente sitio Web:
http://technet.microsoft.com/en-us/library/cc780362(WS.10).aspx

Método 2: Monitor de duplicación mediante el uso de una línea de comandos

Para supervisar la replicación mediante el comando repadmin /showrepl, siga estos pasos:
  1. Haga clic en Inicio, haga clic en Ejecutar, escriba cmd y, a continuación, haga clic en Aceptar.
  2. Escriba repadmin /showrepl * /csv > showrepl.csv, y, a continuación, presione ENTRAR.
  3. En Microsoft Excel, abra el archivo Showrepl.csv.
  4. Seleccione la columna A + RPC y la columna de SMTP.
  5. En el menú Edición, haga clic en Eliminar.
  6. Seleccione la fila situada inmediatamente debajo de los encabezados de columna.
  7. En el menú ventana, haga clic en Inmovilizar panel.
  8. Seleccione la hoja de cálculo completa.
  9. En el menú datos, elija filtro y, a continuación, haga clic en Autofiltro.
  10. En el encabezado de la columna Última correcto, haga clic en la flecha abajo y, a continuación, haga clic en Orden ascendente.
  11. En el encabezado de la columna src DC, haga clic en la flecha abajo y, a continuación, haga clic en Personalizar.
  12. En el cuadro de diálogo Autofiltro personalizado, haga clic en no contiene.
  13. En el cuadro a la derecha del no contiene, escriba del.

    Nota Este paso impide que aparezca en los resultados de los controladores de dominio eliminado.
  14. En el encabezado de la columna Último error, haga clic en la flecha abajo y, a continuación, haga clic en Personalizar.
  15. En el cuadro de diálogo Autofiltro personalizado, haga clic en no es igual a.
  16. En el cuadro a la derecha del no es igual a, escriba 0.
  17. Resolver los errores de replicación que se muestran.

Método 3: Quitar los controladores de dominio

Puede quitar errores en controladores de dominio del bosque antes de que caduque el TSL.

Método 4: Aumentar la TSL

Windows 2000 Server

Aumentar la TSL para 180 días mediante la herramienta ADSIEdit. Para ello, siga estos pasos:
  1. En la herramienta ADSIEdit, expanda configuración DomainControllerName, CN = Configuration, DC = ForestRootDomain, expanda CN = Servicios, expanda CN = Windows NT, haga clic con el botón secundario del mouse en CN = Directory Service y a continuación, haga clic en Propiedades.
  2. Haga clic en la ficha atributo.
  3. En la lista Seleccionar propiedades para ver, haga clic en opcional.
  4. En la lista Seleccione una propiedad para ver, haga clic en períodoObjetosDeDesecho.
  5. En el cuadro Modificar atributo, escriba 180, haga clic en establecer y, a continuación, haga clic en Aceptar.
Windows Server 2003

Aumentar la TSL para 180 días mediante la herramienta ADSIEdit. Para ello, siga estos pasos:
  1. En la herramienta ADSIEdit, expanda configuración DomainControllerName, CN = Configuration, DC = ForestRootDomain, expanda CN = Servicios, expanda CN = Windows NT, haga clic con el botón secundario del mouse en CN = Directory Service y a continuación, haga clic en Propiedades.
  2. Haga clic en la ficha Editor de atributos.
  3. En la lista atributo, haga clic en períodoObjetosDeDesecho y, a continuación, haga clic en Modificar.
  4. En el cuadro valor, escriba 180 y, a continuación, haga clic en Aceptar.

Propiedades

Id. de artículo: 910205 - Última revisión: lunes, 16 de abril de 2007 - Versión: 1.7
La información de este artículo se refiere a:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Microsoft Windows Server 2003 Service Pack 2
Palabras clave: 
kbmt kbhowto kbinfo kbexpertiseadvanced kbwinservds kbactivedirectory KB910205 KbMtes
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.
Haga clic aquí para ver el artículo original (en inglés): 910205

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com