Exclusão de objetos críticos no Active Directory no Windows 2000 e Windows Server 2003

Support for Windows Server 2003 ended on July 14, 2015

Microsoft ended support for Windows Server 2003 on July 14, 2015. This change has affected your software updates and security options. Learn what this means for you and how to stay protected.

IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.

Clique aqui para ver a versão em Inglês deste artigo: 298450
Este artigo foi arquivado. É oferecido "como está" e não será mais atualizado.
Sumário
Este artigo descreve os problemas que podem ocorrer se você excluir objetos críticos no Active Directory, o impacto de tal exclusão e o que a Microsoft está fazendo para resolver esses problemas. Esse problema afeta todos os clientes que usam Windows 2000 e Windows Server 2003 e Active Directory. Serviços de suporte a produto Microsoft (PSS) recebeu muitas chamadas de clientes que acidentalmente ou intencionalmente excluiu objetos críticos no Active Directory.
Mais Informações
No Microsoft Windows NT versão 4.0, um procedimento de solução de problemas comuns é excluir determinados objetos no Gerenciador de servidores para tentar sincronizar um controlador de domínio de backup (BDC) com o controlador de domínio primário (PDC). No entanto, esse procedimento tem efeitos prejudicial no Windows 2000 e Windows Server 2003.

Essa descrição se concentra em dois objetos específicos, a conta de computador, que é usado principalmente para autenticação entre dois controladores de domínio e o objeto Configurações NTDS, que é usado para localizar outros controladores de domínio e para determinar a topologia de replicação do Active Directory empresarial. Esses são objetos que mais comumente causar problemas quando eles são excluídos, mas outros objetos críticos são suscetíveis apenas como. Esses objetos incluem DHCP (Dynamic Host Configuration Protocol) confiáveis de objetos de autorização, objetos de inscrição do FRS (serviço) de duplicação de arquivos, objetos de domínio, alguma coisa na unidade organizacional do sistema e assim por diante.

A menos que o controlador de domínio esteja permanentemente off-line, não são excluídas manualmente conta de computador do controlador de domínio (no Active Directory Users and Computers) ou o objeto Configurações NTDS (em serviços e sites do Active Directory) que está associado com o controlador de domínio. Para ver um procedimento que pode ser usado para remover o objeto Configurações NTDS usando o utilitário Ntdsutil se o computador estiver permanentemente off-line, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
216498Como remover dados no Active Directory após um rebaixamento de controlador domínio sem êxito
Depois de remover o objeto Configurações NTDS, você pode excluir com segurança a conta da máquina.

Impactos

Se você excluir objetos críticos, controladores de domínio podem ser órfãos da topologia de replicação do empresa. Devido a isso, alterações feitas no Active Directory são órfãos com o controlador de domínio, que faz com que o cliente falhas de logon.

Observe este detalhes técnicos: geralmente, se um administrador tentar excluir o objeto Configurações NTDS no controlador de domínio ao qual o objeto Configurações NTDS se aplica, o computador local rejeitará a solicitação e o administrador recebe uma mensagem. No entanto, outros controladores de domínio permitem esta operação. Se o servidor ao qual o objeto Configurações NTDS se aplica é "alive" na rede quando replica essa alteração para o servidor, o servidor não permite o objeto a ser excluído. Geralmente, o processo deve reverter propriamente dito e o objeto deve ser re-animated. No entanto, outros controladores de domínio podem nunca mais pegar essa alteração, o que faz com que o KCC para deixar o computador fora da topologia, e conseqüentemente a órfãos o computador. Para a conta de máquina, as falhas provavelmente vêm em forma de falhas de autenticação entre controladores de domínio e entre controladores de domínio e clientes. Autenticação mútua, Domain Name System (DNS), e dados específicos de domínio são mantidos em contas de computador do controlador de domínio. Esses dados são necessários para operações como a replicação do Active Directory.

Curto prazo

Se você excluir o objeto Configurações NTDS, você pode usar o procedimento no seguinte artigo da Base de dados de Conhecimento para criar manualmente um link de replicação entre dois controladores de domínio para reintroduzir um controlador de domínio volta a topologia:
232538Duplicação sem êxito sem parceiro listado
O procedimento o artigo Knowledge Base anterior manualmente estabelece um vínculo de duplicação entre o controlador de domínio órfãos e outro controlador de domínio, que dispara a replicação para que os objetos críticos podem ser replicados para pelo menos um outro computador; esse procedimento depende de replicação do Active Directory para propagar esse objeto para outros controladores de domínio. Depois que passa por vez, o KCC em todos os outros controladores de domínio deve determinar que um novo objeto de servidor está presente e ajustar a topologia de replicação de forma apropriada.

Se uma conta de computador para um controlador de domínio for excluída no Active Directory Users and Computers, você não poderá facilmente recuperar a conta da máquina. Específico de autenticação de dados é gravada para este objeto não pode ser recuperado sem restaurar do backup. O seguinte artigo do Knowledge Base descreve como recuperar de uma conta de computador excluído:
257288Como recuperar uma conta de computador do controlador de domínio excluídos no Windows 2000
No entanto, na maioria dos casos recuperar de uma conta de computador excluído que é necessário rebaixar e re-promote o servidor para garantir que todos os dados é corretamente gravado de volta a conta.

Se um backup estiver disponível, talvez seja preferível para executar uma restauração autoritativa de somente o objeto que você precisa. Obter mais informações sobre como executar uma restauração com autoridade estão disponíveis no Windows 2000 Resource Kit, Distributed Systems Guide , capítulo 9, página 451.

Longo prazo

As ferramentas administrativas (Active Directory usuários e computadores e sites do Active Directory e serviços) estão sendo modificadas para que um administrador será solicitado se o administrador tenta excluir objetos de conta de máquina que representam os controladores de domínio, ou se as configurações de NTDS objeto, que representa o servidor como um controlador de domínio para todos os outros controladores de domínio, é excluído. Em ambos os casos, a interface do usuário será o direcionar o administrador para o procedimento adequado se o servidor não está off-line ou rebaixar o computador se o servidor está on-line e o administrador deseja remover o servidor da rede.

No entanto, observe que essa modificação não restringe a outras ferramentas administrativas, como o ADSI Edit e LDP e essa modificação não restringe você programaticamente remova esses objetos.
Problema OU solucionar problemas de FRS NTFRS anúncio tshoot

Propriedades

ID do Artigo: 298450 - Última Revisão: 12/06/2015 02:39:06 - Revisão: 5.4

Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Professional Edition, Microsoft Windows 2000 Datacenter Server, Microsoft Windows Small Business Server 2003 Premium Edition, Microsoft Windows Small Business Server 2003 Standard Edition

  • kbnosurvey kbarchive kbmt kbactivedirectoryrepl kbenv kbinfo kbperformance KB298450 KbMtpt
Comentários