Los controladores de dominio no se degradan correctamente cuando se usa el Asistente para instalación de Active Directory para forzar la degradación

  • Artículo

En este artículo se proporciona una solución alternativa para un problema en el que los controladores de dominio no disminuyen de nivel cuando se usa el Asistente para instalación de Active Directory (Dcpromo.exe) para forzar la degradación.

Se aplica a: Windows 10 (todas las ediciones), Windows Server 2012 R2
Número de KB original: 332199

Síntomas

Es posible que los controladores de dominio de Microsoft Windows 2000 o Microsoft Windows Server 2003 no disminución de nivel correctamente mediante el Asistente para instalación de Active Directory (Dcpromo.exe).

Causa

Este comportamiento puede producirse si se produce un error en una dependencia o operación necesaria. Entre ellos se incluyen la conectividad de red, la resolución de nombres, la autenticación, la replicación del servicio de directorio de Active Directory o la ubicación de un objeto crítico en Active Directory.

Solución

Para resolver este comportamiento, determine lo que impide la degradación correcta del controlador de dominio de Windows 2000 o Windows Server 2003 y vuelva a intentar degradar el controlador de dominio mediante el Asistente para instalación de Active Directory.

Nota:

Para Windows Server 2008, el modo de restauración de servicios de directorio (DSRM) no cambia desde Windows Server 2003 con una excepción. En Windows Server 2008, puede ejecutar el dcpromo/forceremoval comando para quitar por la fuerza AD DS de un controlador de dominio que se inicia en DSRM, tal y como se puede hacer en el estado detenido de AD DS. Todavía debe iniciarse un controlador de dominio en DSRM para restaurar los datos de estado del sistema a partir de una copia de seguridad. Para obtener más información sobre cómo hacerlo, consulte Guía paso a paso de AD DS reiniciable.

Solución alternativa

Si no puede resolver el comportamiento, puede usar las siguientes soluciones alternativas para realizar una degradación forzada del controlador de dominio a fin de conservar la instalación del sistema operativo y de cualquier aplicación en él.

Advertencia

Antes de usar cualquiera de las siguientes soluciones alternativas, asegúrese de que se puede iniciar correctamente en el modo de restauración de servicios de directorio. De lo contrario, no podrá iniciar sesión después de degradar el equipo con fuerza. Si no recuerda la contraseña del modo de restauración de Servicios de directorio, puede restablecer la contraseña mediante la utilidad Setpwd.exe que se encuentra en la Winnt\System32 carpeta. En Windows Server 2003, la funcionalidad de la utilidad Setpwd.exe se ha integrado en el comando Set DSRM Password de la herramienta NTDSUTIL.

Controladores de dominio de Windows 2000

  1. Instale la revisión de Q332199 en un controlador de dominio de Windows 2000 que ejecute Service Pack 2 (SP2) o una versión posterior, o instale Windows 2000 Service Pack 4 (SP4). SP2 y versiones posteriores admiten la degradación forzada. A continuación, reinicie el equipo.

  2. Haga clic en Inicio, en Ejecutary, a continuación, escriba el comando: dcpromo /forceremoval.

  3. Haga clic en Aceptar.

  4. En la página Asistente para instalación de Active Directory , haga clic en Siguiente.

  5. Si el equipo que va a quitar es un servidor de catálogo global, haga clic en Aceptar en la ventana del mensaje.

    Nota:

    Promover catálogos globales adicionales en el bosque o en el sitio si el controlador de dominio que está degradando es un servidor de catálogo global, según sea necesario.

  6. En la página Quitar Active Directory , asegúrese de que la casilla Este servidor es el último controlador de dominio del dominio está desactivada y, a continuación, haga clic en Siguiente.

  7. En la página Credenciales de red , escriba el nombre, la contraseña y el nombre de dominio de una cuenta de usuario con credenciales de administrador de empresa en el bosque y, a continuación, haga clic en Siguiente.

  8. En Contraseña de administrador, escriba la contraseña y la contraseña confirmada que desea asignar a la cuenta de administrador de la base de datos SAM local y, a continuación, haga clic en Siguiente.

  9. En la página Resumen, haga clic en Siguiente.

  10. Realice una limpieza de metadatos para el controlador de dominio degradado en un controlador de dominio superviviente en el bosque.

Si ha quitado un dominio del bosque mediante el comando remove selected domain en Ntdsutil, compruebe que todos los controladores de dominio y los servidores de catálogo global del bosque han quitado todos los objetos y las referencias al dominio que acaba de quitar antes de promover un nuevo dominio en el mismo bosque con el mismo nombre de dominio. Herramientas como Replmon.exe o Repadmin.exe de herramientas de soporte técnico de Windows 2000 pueden ayudarle a determinar si se ha producido la replicación de un extremo a otro. Windows 2000 SP3 y los servidores de catálogo global anteriores son notablemente más lentos de quitar objetos y contextos de nomenclatura que Windows Server 2003.

Controladores de dominio de Windows Server 2003

  1. De forma predeterminada, los controladores de dominio de Windows Server 2003 admiten la degradación forzada. Haga clic en Inicio, en Ejecutary, a continuación, escriba el comando: dcpromo /forceremoval.

  2. Haga clic en Aceptar.

  3. En la página Asistente para instalación de Active Directory , haga clic en Siguiente.

  4. En la página Forzar la eliminación de Active Directory , haga clic en Siguiente.

  5. En Contraseña de administrador, escriba la contraseña y la contraseña confirmada que desea asignar a la cuenta de administrador de la base de datos SAM local y, a continuación, haga clic en Siguiente.

  6. En Resumen, haga clic en Siguiente.

  7. Realice una limpieza de metadatos para el controlador de dominio degradado en un controlador de dominio superviviente en el bosque.

Si ha quitado un dominio del bosque mediante el comando remove selected domain en Ntdsutil, compruebe que todos los controladores de dominio y los servidores de catálogo global del bosque han quitado todos los objetos y las referencias al dominio que acaba de quitar antes de promover un nuevo dominio en el mismo bosque con el mismo nombre de dominio. Windows 2000 Service Pack 3 (SP3) y los servidores de catálogo global anteriores son notablemente más lentos para quitar objetos y contextos de nomenclatura que Windows Server 2003.

Si las entradas de control de acceso a recursos (ACE) en el equipo del que quitó Active Directory se basaban en grupos locales de dominio, es posible que estos permisos deban volver a configurarse, ya que estos grupos no estarán disponibles para los servidores miembros o independientes. Si tiene previsto instalar Active Directory en el equipo para convertirlo en un controlador de dominio en el dominio original, ya no tiene que configurar listas de control de acceso (ACL). Si prefiere dejar el equipo como miembro o servidor independiente, los permisos basados en grupos locales de dominio deben traducirse o reemplazarse.

Mejoras de Windows Server 2003 Service Pack 1

Windows Server 2003 SP1 mejora el dcpromo /forceremoval proceso. Cuando dcpromo /forceremoval se ejecuta, se realiza una comprobación para determinar si el controlador de dominio hospeda un rol maestro de operaciones, es un servidor del sistema de nombres de dominio (DNS) o es un servidor de catálogo global. Para cada uno de estos roles, el administrador recibe una advertencia emergente que aconseja al administrador que tome las medidas adecuadas.

Si el controlador de dominio no puede iniciarse en modo normal

Importante

Esta sección, método o tarea contiene pasos que le indican cómo modificar el Registro. No obstante, pueden producirse problemas graves si modifica el registro de manera incorrecta. En consecuencia, asegúrese de seguir estos pasos cuidadosamente. Para mayor protección, cree una copia de seguridad del registro antes de modificarlo. Después, puede restaurar el registro si se produce un problema. Para obtener más información sobre cómo hacer una copia de seguridad del Registro y cómo restaurarlo, consulte Cómo realizar una copia de seguridad del Registro y restaurarlo en Windows.

Importante

Siga estos pasos solo como último recurso si el controlador de dominio no puede iniciarse en modo normal.

Para quitar Active Directory de un controlador de dominio, siga estos pasos:

  1. Reinicie el equipo y presione F8 para mostrar el menú Opciones avanzadas de Windows 2000 .

  2. Elija Modo de restauración de servicios de directorio, presione ENTRAR y presione ENTRAR de nuevo para continuar con el reinicio.

  3. Modifique la entrada ProductType en el Registro. Para ello, siga estos pasos:

    1. Haga clic en Inicio, haga clic en Ejecutar, escriba regedit y, a continuación, haga clic en Aceptar.

    2. Busque la subclave HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ProductOptionsdel Registro .

    3. En el panel derecho, haga doble clic en ProductType.

    4. Escriba ServerNT en el cuadro Datos de valor y, a continuación, haga clic en Aceptar.

      Nota:

      Si este valor no está establecido correctamente o está mal escrito, puede recibir el siguiente mensaje de error: Proceso del sistema : Infracción de licencia: El sistema ha detectado alteraciones con el tipo de producto registrado. Se trata de una infracción de su licencia de software. No se permite manipular el tipo de producto.

    5. Salga del editor del Registro.

  4. Reinicie el equipo.

  5. Inicie sesión con la cuenta de administrador y la contraseña que se usan para el modo de reparación del servicio de directorio.

    El equipo se comportará como un servidor miembro. Sin embargo, todavía hay algunos archivos restantes y entradas del Registro en el equipo que están asociados con el controlador de dominio.

  6. Inicie Editor del Registro y busque la entrada HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parametersdel Registro .

    Si hay una entrada para Src Root Domain Srv, haga clic con el botón derecho en el valor y, a continuación, haga clic en Eliminar. Este valor debe eliminarse para que el controlador de dominio se vea como el único controlador de dominio del dominio después de la promoción.

    Importante

    El paso anterior es crítico. Sin ella, la nueva promoción en el bosque temporal de AD no se completará y no podrá iniciar sesión en el controlador de dominio.

  7. Quite los archivos restantes y las entradas del Registro. Para ello, siga estos pasos:

    1. Inicie el Asistente para instalación de Active Directory.

    2. Instale Active Directory para que el equipo sea un controlador de dominio para un nuevo dominio temporal, como psstemp.deleteme.

      Nota:

      Asegúrese de que el equipo es un controlador de dominio en un bosque diferente.

    3. Después de instalar Active Directory, vuelva a iniciar el Asistente para instalación de Active Directory y, a continuación, quite Active Directory del controlador de dominio.

  8. Después de quitar Active Directory de un controlador de dominio, quite los metadatos que quedan en el dominio. Para obtener más información sobre cómo quitar estos metadatos, consulte Eliminación de datos en Active Directory después de una degradación del controlador de dominio incorrecta.

Estado

Microsoft ha probado y admite la degradación forzada de los controladores de dominio que ejecutan Windows 2000 o Windows Server 2003.

Más información

El Asistente para instalación de Active Directory crea controladores de dominio de Active Directory en equipos basados en Windows 2000 y Windows Server 2003. Las operaciones que realiza el Asistente para instalación de Active Directory incluyen la instalación de nuevos servicios, los cambios en los valores de inicio de los servicios existentes y la transición a Active Directory como dominio de seguridad y autenticación.

Con la degradación forzada, un administrador de dominio puede quitar a la fuerza Active Directory y revertir los cambios del sistema retenidos localmente sin tener que ponerse en contacto con otro controlador de dominio del bosque ni replicarlos localmente.

Dado que la degradación forzada provoca la pérdida de los cambios contenidos localmente, úselo solo como último recurso en dominios de producción o de prueba. Puede reducir a la fuerza los controladores de dominio cuando las dependencias de conectividad, resolución de nombres, autenticación o motor de replicación no se puedan resolver para que se pueda realizar una degradación correcta. Los escenarios válidos para las disminuciones forzadas incluyen lo siguiente:

  • Actualmente no hay ningún controlador de dominio disponible en el dominio primario al intentar degradar el último controlador de dominio en un dominio secundario inmediato.

  • El Asistente para instalación de Active Directory no se puede completar porque hay una resolución de nombres, autenticación, motor de replicación o dependencia de objetos de Active Directory que no se puede resolver después de realizar una solución de problemas detallada.

  • Un controlador de dominio no ha replicado los cambios entrantes de Active Directory en el número de días de duración de Tombstone (duración predeterminada de Tombstone es de 60 días) para uno o varios contextos de nomenclatura.

    Importante

    No recupere dichos controladores de dominio a menos que sean la única posibilidad de recuperación para un dominio determinado.

  • El tiempo no permite una solución de problemas más detallada porque debe poner inmediatamente en servicio el controlador de dominio. Las degradaciones forzadas pueden ser útiles en entornos de laboratorio y aula en los que se pueden quitar controladores de dominio de los dominios existentes, pero no es necesario degradar cada controlador de dominio en serie.

Si fuerza la degradación de un controlador de dominio, perderá los cambios únicos que residan en el Active Directory del controlador de dominio que esté degradando por la fuerza. Esto incluye la adición, eliminación o modificación de usuarios, equipos, grupos, relaciones de confianza y directiva de grupo o configuración de Active Directory que no se replicaron antes de ejecutar el dcpromo /forceremoval comando. Además, perderá los cambios en cualquiera de los atributos de estos objetos, como contraseñas para usuarios, equipos y relaciones de confianza y pertenencia a grupos.

Sin embargo, si fuerza la degradación de un controlador de dominio, devuelve el sistema operativo a un estado que es el mismo que la disminución correcta del último controlador de dominio de un dominio (valores de inicio de servicio, servicios instalados, uso de un SAM basado en el Registro para la base de datos de cuentas, el equipo es miembro de un grupo de trabajo). Los programas instalados en el controlador de dominio degradado permanecen instalados.

El registro de eventos del sistema identifica las instancias y controladores de dominio de Windows 2000 degradados por la fuerza de la operación por el dcpromo /forceremoval identificador de evento 29234. Por ejemplo: el registro de eventos del sistema identifica los controladores de dominio de Windows Server 2003 degradados por el identificador de evento 29239. Por ejemplo: después de usar el dcpromo /forceremoval comando, los metadatos del equipo degradado no se eliminan en los controladores de dominio que sobreviven. Para obtener más información, vea Limpiar Dominio de Active Directory metadatos del servidor del controlador.

A continuación se muestran los elementos que debe abordar, si procede, después de degradar por la fuerza un controlador de dominio:

  1. Quite la cuenta de equipo del dominio.
  2. Compruebe que se quitan los registros DNS, como A, CNAME y SRV, y quítelos si están presentes.
  3. Compruebe que se quitan los objetos miembro FRS (FRS y DFS) y quítelos si están presentes.
  4. Si el equipo degradado es miembro de cualquier grupo de seguridad, quítelo de esos grupos.
  5. Quite las referencias DFS al servidor degradado, como vínculos o réplicas raíz.
  6. Un controlador de dominio superviviente debe aprovechar los roles de maestro de operaciones, también conocidos como operaciones maestras únicas flexibles o FSMO, que anteriormente tenía el controlador de dominio degradado a la fuerza. Para obtener más información, consulte Transferencia o incautación de roles maestros de operación en Servicios de dominio de Active Directory.
  7. Si el controlador de dominio que está degradando es un servidor DNS o un servidor de catálogo global, debe crear un nuevo gc o servidor DNS para satisfacer el equilibrio de carga, la tolerancia a errores y la configuración del bosque.
  8. Cuando se usa el comando remove selected server en NTDSUTIL, el objeto NTDSDSA, se quita el objeto primario para las conexiones entrantes al controlador de dominio que ha degradado por la fuerza. El comando no quita los objetos de servidor primario que aparecen en el complemento Sitios y servicios. Use el complemento MMC Sitios y servicios de Active Directory para quitar el objeto de servidor si el controlador de dominio no se promoverá al bosque con el mismo nombre de equipo.