Información sobre los objetos persistentes en un bosque Windows Server Active Directory
En este artículo se proporciona información sobre los objetos persistentes en un bosque Windows Server Active Directory.
Se aplica a: Windows Server 2012 R2
Número de KB original: 910205
Resumen
Este artículo contiene información sobre los objetos persistentes en un bosque de Active Directory. En concreto, en el artículo se describen los eventos que indican la presencia de objetos persistentes, las causas de los objetos persistentes y los métodos que se pueden usar para quitar objetos persistentes.
INTRODUCCIÓN
Los objetos persistentes pueden producirse si un controlador de dominio no se replica durante un intervalo de tiempo que es mayor que la duración de la lápida (TSL). A continuación, el controlador de dominio se vuelve a conectar a la topología de replicación. Los objetos que se eliminan del servicio de directorio de Active Directory cuando el controlador de dominio está sin conexión pueden permanecer en el controlador de dominio como objetos persistentes. Este artículo contiene información detallada sobre los eventos que indican la presencia de objetos persistentes, las causas de los objetos persistentes y los métodos que puede usar para quitar objetos persistentes.
Más información
Duración y replicación de eliminaciones de Tombstone
Cuando se elimina un objeto, Active Directory replica la eliminación como un objeto de lápiz. Un objeto tombstone consta de un pequeño subconjunto de los atributos del objeto eliminado. Al replicar de entrada este objeto, otros controladores de dominio del dominio y del bosque reciben información sobre la eliminación. El lápiz se conserva en Active Directory durante un período especificado. Este período especificado se denomina TSL. Al final de la TSL, el objeto de lápida se elimina permanentemente.
El valor predeterminado de la TSL depende de la versión del sistema operativo que se ejecuta en el primer controlador de dominio instalado en un bosque. En la tabla siguiente se indican los valores TSL predeterminados para diferentes sistemas operativos Windows.
| Primer controlador de dominio en la raíz del bosque | Duración predeterminada del lápiz |
|---|---|
| Windows 2000 | 60 días |
| Windows Server 2003 | 60 días |
| Windows Server 2003 con Service Pack 1 | 180 días |
Nota:
El valor de TSL existente no cambia cuando se actualiza un controlador de dominio a Windows Server 2003 con Service Pack 1 (SP1). El valor de TSL existente se mantiene hasta que se cambia manualmente.
Una vez que el lápiz se elimina permanentemente, la eliminación de objetos ya no se puede replicar. El TSL define cuánto tiempo los controladores de dominio del bosque conservan información sobre un objeto eliminado. El TSL también define el tiempo durante el cual todos los asociados de replicación directos y transitivos del controlador de dominio de origen deben recibir una eliminación única.
Cómo se producen los objetos persistentes
Cuando un controlador de dominio se desconecta durante un período que es más largo que el TSL, uno o más objetos que se eliminan de Active Directory en todos los demás controladores de dominio pueden permanecer en el controlador de dominio desconectado. Estos objetos se denominan objetos persistentes. Dado que el controlador de dominio está sin conexión durante el tiempo en que la lápida está activa, el controlador de dominio nunca recibe la replicación del lápiz.
Cuando este controlador de dominio se vuelve a conectar a la topología de replicación, actúa como asociado de replicación de origen que tiene un objeto que su asociado de destino no tiene.
Los problemas de replicación se producen cuando se actualiza el objeto del controlador de dominio de origen. En este caso, cuando el asociado de destino intenta replicar la actualización de entrada, el controlador de dominio de destino responde de una de estas dos maneras:
Si el controlador de dominio de destino tiene habilitada la coherencia de replicación estricta, el controlador reconoce que no puede actualizar el objeto. El controlador detiene localmente la replicación entrante de la partición de directorio desde el controlador de dominio de origen.
Si el controlador de dominio de destino tiene deshabilitada la coherencia de replicación estricta, el controlador solicita la réplica completa del objeto actualizado. En este caso, el objeto se vuelve a introducir en el directorio.
Causas de desconexiones largas
Las condiciones siguientes pueden provocar desconexiones largas:
Un controlador de dominio se desconecta de la red y se coloca en el almacenamiento.
El envío de un controlador de dominio preconfigurado a su ubicación remota tarda más que un TSL.
Las conexiones de red de área extensa (WAN) no están disponibles durante largos períodos. Por ejemplo, un controlador de dominio a bordo de un crucero puede no poder replicarse porque el barco está en el mar durante más tiempo que el TSL.
El evento notificado es un falso positivo porque un administrador acordó el TSL para forzar la recolección de elementos no utilizados de objetos eliminados.
El evento notificado es un falso positivo porque el reloj del sistema en el origen o en el controlador de dominio de destino está avanzado o revertido incorrectamente. Las asimetrías del reloj son más comunes después de reiniciar el sistema. Los sesgos del reloj pueden producirse por los siguientes motivos:
Hay un problema con la batería del reloj del sistema o con la placa base.
El origen de hora de un equipo está configurado incorrectamente. Incluye un servidor de origen de hora configurado mediante el servicio de hora de Windows (W32Time), mediante un servidor de hora de terceros o mediante enrutadores de red.
Un administrador avanza o revierte el reloj del sistema para ampliar la vida útil de una copia de seguridad de estado del sistema o para acelerar la recolección de elementos no utilizados de objetos eliminados. Asegúrese de que el reloj del sistema refleja la hora real. Además, asegúrese de que los registros de eventos no contengan eventos no válidos del futuro o del pasado.
Indicaciones de que un controlador de dominio tiene objetos persistentes
Un controlador de dominio obsoleto puede almacenar objetos persistentes sin ningún efecto perceptible cuando se cumplen las condiciones siguientes:
- Un administrador, una aplicación o un servicio no actualiza el objeto persistente.
- Un administrador, una aplicación o un servicio no intenta crear un objeto que tenga el mismo nombre en el dominio.
- Un administrador, una aplicación o un servicio no intenta crear un objeto mediante el mismo nombre principal de usuario (UPN) en el bosque.
Incluso cuando no hay ningún efecto perceptible, la presencia de objetos persistentes puede causar problemas. Es más probable que estos problemas se produzcan si un objeto persistente es una entidad de seguridad.
Eventos que indican que los objetos persistentes pueden estar presentes en el bosque
| Id. de evento | Descripción general |
|---|---|
| 1862 | El controlador de dominio local no ha recibido recientemente información de replicación de varios controladores de dominio (entre sitios). |
| 1863 | El controlador de dominio local no ha recibido recientemente información de replicación de varios controladores de dominio (entre sitios). |
| 1864 | El controlador de dominio local no ha recibido recientemente información de replicación de varios controladores de dominio (resumen). |
| 1311 | Knowledge Consistency Checker (KCC) no pudo crear una topología de árbol de expansión. |
| 2042 | Ha pasado demasiado tiempo desde que este servidor se replicó por última vez con el servidor de origen con nombre. |
Eventos que indican que los objetos persistentes están presentes en el bosque
| Id. de evento | Descripción general |
|---|---|
| 1084 | No hay ningún objeto de este tipo en el servidor. |
| 1388 | Este sistema de destino recibió una actualización para un objeto que debería haber estado presente localmente, pero no lo estaba. |
| 1311 | Otro controlador de dominio replicó un objeto que no está presente en este controlador de dominio. |
Nota:
Los objetos persistentes no están presentes en los controladores de dominio que registran el identificador de evento 1988. El controlador de dominio de origen contiene el objeto persistente.
Errores de repadmin que indican que los objetos persistentes están presentes en el bosque
| Id. de evento | Descripción general |
|---|---|
| 8240 | No hay ningún objeto de este tipo en el servidor. |
| 8606 | Se proporcionaron atributos insuficientes para crear un objeto. |
Otras indicaciones de que los objetos persistentes están presentes en el bosque
Una cuenta de usuario o grupo que se eliminó permanece en la lista global de direcciones (GAL) en los servidores que ejecutan Microsoft Exchange Server. Por lo tanto, aunque el nombre de la cuenta aparece en la GAL, se producen errores cuando los usuarios intentan enviar mensajes de correo electrónico.
Aparecen varias copias de un objeto en el selector de objetos o en la GAL para un objeto que debe ser único en el bosque. A veces se ven objetos duplicados que han cambiado los nombres. Estos objetos duplicados provocan confusión en las búsquedas de directorios. Por ejemplo, si no se puede resolver el nombre distintivo relativo de dos objetos, la resolución de conflictos anexa CNF:GUID al nombre. En este ejemplo,
*representa un carácter reservado, CNF es una constante que indica una resolución de conflictos y GUID representa el valor del atributo objectGUID.Los mensajes de correo electrónico no se entregan a un usuario cuya cuenta de Active Directory parece estar actualizada. Una vez que se vuelve a conectar un controlador de dominio obsoleto o un servidor de catálogo global, ambas instancias del objeto de usuario aparecen en el catálogo global. Dado que ambos objetos tienen la misma dirección de correo electrónico, no se pueden entregar mensajes de correo electrónico.
Un grupo universal que ya no existe sigue apareciendo en el token de acceso de un usuario. Aunque el grupo ya no existe, si una cuenta de usuario sigue teniendo el grupo en su token de seguridad, es posible que el usuario tenga acceso a un recurso que tenía previsto no estar disponible para ese usuario.
No se puede crear un nuevo objeto o buzón de Exchange. Pero no ve el objeto en Active Directory. Un mensaje de error informa de que el objeto ya existe.
Las búsquedas que usan atributos de un objeto existente pueden encontrar incorrectamente varias copias de un objeto con el mismo nombre. Se ha eliminado un objeto del dominio. Pero ese objeto permanece en un servidor de catálogo global aislado.
Si se intenta actualizar un objeto persistente que reside en una partición de directorio grabable, los eventos se registran en el controlador de dominio de destino. Sin embargo, si la única versión de un objeto persistente está en una partición de directorio de solo lectura en un servidor de catálogo global, el objeto no se puede actualizar. Por lo tanto, este tipo de evento no se desencadena.
Eliminación de objetos persistentes del bosque
Bosques basados en Windows 2000
Para obtener más información sobre cómo quitar objetos persistentes en un dominio basado en Windows 2000, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
314282 objetos Lingering pueden permanecer después de volver a poner en línea un servidor de catálogo global obsoleto
Bosques basados en Windows Server 2003
Para obtener más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
892777 Herramientas de soporte técnico de Windows Server 2003 Service Pack 1
Prevención de objetos persistentes
A continuación se muestran los métodos que puede usar para evitar objetos persistentes.
Método 1: Habilitar la entrada del Registro de coherencia de replicación estricta
Puede habilitar la entrada del Registro de coherencia de replicación estricta para que los objetos sospechosos estén en cuarentena. A continuación, las administraciones pueden quitar estos objetos antes de propagarse por todo el bosque.
Si un objeto de persistencia grabable se encuentra en el entorno y se intenta actualizar el objeto, el valor de la entrada del Registro de coherencia de replicación estricta determina si la replicación continúa o se detiene. La entrada del Registro de coherencia de replicación estricta se encuentra en la siguiente subclave del Registro: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
El tipo de datos de esta entrada es REG_DWORD. Si establece el valor en 1, la entrada está habilitada. La replicación entrante de la partición de directorio especificada desde el origen se detiene en el destino. Si establece el valor en 0, la entrada está deshabilitada. El destino solicita el objeto completo del controlador de dominio de origen. El objeto persistente se vuelve a crear en el directorio como un nuevo objeto.
El valor predeterminado de la entrada del Registro de coherencia de replicación estricta viene determinado por las condiciones en las que se instaló el controlador de dominio en el bosque.
Nota:
Aumentar el nivel funcional del dominio o del bosque no cambia la configuración de coherencia de replicación en ningún controlador de dominio.
De forma predeterminada, el valor de la entrada del Registro de coherencia de replicación estricta en los controladores de dominio instalados en un bosque es 1 (habilitado) si se cumplen las condiciones siguientes:
- La versión de Windows Server 2003 de Winnt32.exe se usa para actualizar un controlador de dominio principal (PDC) de Windows NT 4.0 a Windows Server 2003. Este equipo crea el dominio raíz del bosque de un nuevo bosque.
- Active Directory está instalado en un servidor que ejecuta Windows Server 2003. Este equipo crea el dominio raíz del bosque de un nuevo bosque.
De forma predeterminada, el valor de la entrada del Registro de coherencia de replicación estricta en los controladores de dominio es 0 (deshabilitado) si se cumplen las condiciones siguientes:
- Un controlador de dominio basado en Windows 2000 se actualiza a Windows Server 2003.
- Active Directory se instala en un servidor miembro basado en Windows Server 2003 en un bosque basado en Windows 2000.
Si tiene un controlador de dominio que ejecuta Windows Server 2003 con SP1, no es necesario modificar el Registro para establecer el valor de la entrada del Registro de coherencia de replicación estricta. En su lugar, puede usar la herramienta Repadmin.exe para establecer este valor para un controlador de dominio en el bosque o para todos los controladores de dominio del bosque.
Para obtener más información sobre cómo usar Repadmin.exe para establecer la coherencia estricta de replicación, visite el siguiente sitio web de Microsoft:
https://technet.microsoft.com/library/cc780362(WS.10).aspx
Método 2: Supervisión de la replicación mediante un comando de línea de comandos
Para supervisar la replicación mediante el repadmin /showrepl comando , siga estos pasos:
Haga clic en Inicio y en Ejecutar, escriba cmd y, por último, haga clic en Aceptar.
Escriba
repadmin /showrepl * /csv >showrepl.csvy presione ENTRAR.En Microsoft Excel, abra el archivo Showrepl.csv.
Seleccione la columna A + RPC y la columna SMTP .
En el menú Editar , haga clic en Eliminar.
Seleccione la fila que se encuentra inmediatamente debajo de los encabezados de columna.
En el menú Windows , haga clic en Inmovilizar panel.
Seleccione la hoja de cálculo completa.
En el menú Datos , seleccione Filtro y, a continuación, haga clic en Filtro automático.
En el encabezado de la columna Último éxito , haga clic en la flecha abajo y, a continuación, haga clic en Ordenar ascendente.
En el encabezado de la columna src DC , haga clic en la flecha abajo y, a continuación, haga clic en Personalizado.
En el cuadro de diálogo Autofiltro personalizado , haga clic en no contiene.
En el cuadro situado a la derecha de no contiene, escriba del.
Nota:
Este paso impide que los controladores de dominio eliminados aparezcan en los resultados.
En el encabezado de la columna Último error , haga clic en la flecha abajo y, a continuación, haga clic en Personalizado.
En el cuadro de diálogo Autofiltro personalizado , haga clic en no es igual.
En el cuadro situado a la derecha de no es igual, escriba 0.
Resuelva los errores de replicación que se muestran.
Método 3: Quitar controladores de dominio
Puede quitar los controladores de dominio con errores del bosque antes de que expire la TSL.
Método 4: Aumentar el TSL
Windows 2000 Server
Aumente el TSL a 180 días mediante la herramienta Adsiedit. Para ello, siga estos pasos:
- En la herramienta Adsiedit, expanda ConfigurationDomainControllerName, CN=Configuration, DC=ForestRootDomain, CN=Services, CN=Windows NT, CN=Directory Service y, a continuación, haga clic en Propiedades.
- Haga clic en la pestaña Atributo .
- En la lista Seleccionar qué propiedades ver , haga clic en Opcional.
- En la lista Seleccionar una propiedad para ver , haga clic en TombstoneLifetime.
- En el cuadro Editar atributo , escriba 180, haga clic en Establecery, a continuación, haga clic en Aceptar. Windows Server 2003
Aumente el TSL a 180 días mediante la herramienta Adsiedit. Para ello, siga estos pasos:
- En la herramienta Adsiedit, expanda ConfigurationDomainControllerName, CN=Configuration, DC=ForestRootDomain, CN=Services, CN=Windows NT, CN=Directory Service y, a continuación, haga clic en Propiedades.
- Haga clic en la pestaña Attribute Editor (Atributo Editor).
- En la lista Atributo , haga clic en TombstoneLifetime y, a continuación, haga clic en Editar.
- En el cuadro Valor , escriba 180 y, a continuación, haga clic en Aceptar.
Recolección de datos
Si necesita ayuda del soporte técnico de Microsoft, le recomendamos que recopile la información siguiendo los pasos mencionados en Recopilación de información mediante TSS para problemas de replicación de Active Directory.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de