Información sobre la persistente de objetos en un bosque de Active Directory de Windows Server

En este artículo se proporciona información acerca de los objetos persistentes en un bosque de Active Directory de Windows Server.

Versión original del producto:   Windows Server 2012 R2
Número KB original:   910205

Resumen

Este artículo contiene información sobre los objetos persistentes en un bosque de Active Directory. En concreto, en el artículo se describen los eventos que indican la presencia de objetos persistentes, las causas de los objetos persistentes y los métodos que se pueden usar para quitar objetos persistentes.

INTRODUCCIÓN

Los objetos persistentes pueden producirse si un controlador de dominio no se replica durante un intervalo de tiempo que es más largo que la duración de la lápida (TSL). A continuación, el controlador de dominio se vuelve a conectar a la topología de replicación. Los objetos que se eliminan del servicio de directorio de Active Directory cuando el controlador de dominio está sin conexión pueden permanecer en el controlador de dominio como objetos persistentes. Este artículo contiene información detallada sobre los eventos que indican la presencia de objetos persistentes, las causas de los objetos persistentes y los métodos que puede usar para quitar objetos persistentes.

Más información

Vigencia de la eliminación y replicación de eliminaciones

Cuando se elimina un objeto, Active Directory replica la eliminación como un objeto de lápida. Un objeto de lápida consta de un pequeño subconjunto de los atributos del objeto eliminado. Al replicar de entrada este objeto, otros controladores de dominio del dominio y del bosque reciben información sobre la eliminación. La lápida se conserva en Active Directory durante un período especificado. Este período especificado se denomina TSL. Al final del TSL, el objeto de la lápida se elimina permanentemente.

El valor predeterminado del TSL depende de la versión del sistema operativo que se ejecuta en el primer controlador de dominio instalado en un bosque. En la tabla siguiente se indican los valores predeterminados de TSL para diferentes sistemas operativos Windows.

Primer controlador de dominio en la raíz del bosque Vigencia de la lápida predeterminada
Windows 2000 60 días
Windows Server 2003 60 días
Windows Server 2003 con Service Pack 1 180 días

Nota

El valor de TSL existente no cambia cuando se actualiza un controlador de dominio a Windows Server 2003 con Service Pack 1 (SP1). El valor de TSL existente se mantiene hasta que se cambia manualmente.

Después de eliminar la lápida permanentemente, ya no se podrá replicar la eliminación del objeto. El TSL define durante cuánto tiempo los controladores de dominio del bosque conservan información sobre un objeto eliminado. El TSL también define el tiempo durante el cual todos los asociados de replicación directos y transitivos del controlador de dominio de origen deben recibir una eliminación única.

Cómo se producen los objetos persistentes

Cuando se desconecta un controlador de dominio durante un período mayor que el TSL, uno o varios objetos que se eliminan de Active Directory en todos los demás controladores de dominio pueden permanecer en el controlador de dominio desconectado. Estos objetos se denominan objetos persistentes. Dado que el controlador de dominio está desconectado durante el tiempo en que la lápida está activa, el controlador de dominio nunca recibe la replicación de la lápida.

Cuando este controlador de dominio se vuelve a conectar a la topología de replicación, actúa como un socio de replicación de origen que tiene un objeto que su asociado de destino no tiene.

Los problemas de replicación se producen cuando se actualiza el objeto en el controlador de dominio de origen. En este caso, cuando el socio de destino intenta replicar la actualización de entrada, el controlador de dominio de destino responde de dos maneras:

  • Si el controlador de dominio de destino tiene la coherencia de replicación estricta habilitada, el controlador reconoce que no puede actualizar el objeto. El controlador detiene localmente la replicación entrante de la partición de directorio desde el controlador de dominio de origen.

  • Si el controlador de dominio de destino tiene la coherencia de replicación estricta deshabilitada, el controlador solicita la réplica completa del objeto actualizado. En este caso, el objeto se vuelve a convertir en el directorio.

Causas de desconexiones largas

Las siguientes condiciones pueden causar desconexiones largas:

  • Un controlador de dominio se desconecta de la red y se coloca en el almacenamiento.

  • El envío de un controlador de dominio preconfigurado a su ubicación remota tarda más que un TSL.

  • Las conexiones de red de área extensa (WAN) no están disponibles durante largos períodos. Por ejemplo, es posible que un controlador de dominio aborde un trasbordo no pueda replicarse porque el navés está en el mar durante más tiempo que el TSL.

  • El evento notificado es un falso positivo porque un administrador acortó el TSL para forzar la recolección de elementos no utilizados de los objetos eliminados.

  • El evento notificado es un falso positivo porque el reloj del sistema en el origen o en el controlador de dominio de destino está incorrectamente avanzado o revierte. Los sesgos de reloj son los más comunes después de un reinicio del sistema. Los sesgos de reloj pueden producirse por los siguientes motivos:

    • Hay un problema con la batería del reloj del sistema o con la placa base.

    • El origen de hora de un equipo no está configurado correctamente. Incluye un servidor de origen de hora que se configura mediante el servicio de hora de Windows (W32Time), mediante un servidor de hora de terceros o mediante enrutadores de red.

    • Un administrador avanza o revierte el reloj del sistema para ampliar la vida útil de una copia de seguridad de estado del sistema o para acelerar la recolección de elementos no utilizados de los objetos eliminados. Asegúrate de que el reloj del sistema refleje la hora real. Además, asegúrese de que los registros de eventos no contengan eventos no válidos del futuro o del pasado.

Indicaciones de que un controlador de dominio tiene objetos persistentes

Un controlador de dominio obsoleto puede almacenar objetos persistentes sin ningún efecto perceptible cuando se cumplen las siguientes condiciones:

  • Un administrador, una aplicación o un servicio no actualiza el objeto persistente.
  • Un administrador, una aplicación o un servicio no intenta crear un objeto que tenga el mismo nombre en el dominio.
  • Un administrador, una aplicación o un servicio no intenta crear un objeto con el mismo nombre principal de usuario (UPN) en el bosque.

Incluso cuando no hay ningún efecto perceptible, la presencia de objetos persistentes puede causar problemas. Estos problemas son más probables que se produzcan si un objeto persistente es una entidad de seguridad.

Eventos que indican que los objetos persistentes pueden estar presentes en el bosque

Id. de evento Descripción general
1862 El controlador de dominio local no ha recibido recientemente información de replicación de varios controladores de dominio (entre sitios).
1863 El controlador de dominio local no ha recibido recientemente información de replicación de varios controladores de dominio (entre sitios).
1864 El controlador de dominio local no ha recibido recientemente información de replicación de varios controladores de dominio (resumen).
1311 El Analizador de coherencia del conocimiento (KCC) no pudo crear una topología de árbol de expansión.
2042 Ha pasado demasiado tiempo desde la última replicación de este servidor con el servidor de origen con nombre.

Eventos que indican que los objetos persistentes están presentes en el bosque

Id. de evento Descripción general
1084 No hay ningún objeto de este tipo en el servidor.
1388 Este sistema de destino recibió una actualización para un objeto que debería haber estado presente localmente, pero no lo estaba.
1311 Otro controlador de dominio replicó un objeto que no está presente en este controlador de dominio.

Nota

Los objetos persistentes no están presentes en controladores de dominio que registren el identificador de evento 1988. El controlador de dominio de origen contiene el objeto persistente.

Errores de repadmin que indican que los objetos persistentes están presentes en el bosque

Id. de evento Descripción general
8240 No hay ningún objeto de este tipo en el servidor.
8606 No se han dado atributos suficientes para crear un objeto.

Otras indicaciones de que los objetos persistentes están presentes en el bosque

  • Una cuenta de usuario o grupo que se eliminó permanece en la lista global de direcciones (GAL) en los servidores que ejecutan Microsoft Exchange Server. Por lo tanto, aunque el nombre de cuenta aparece en la GAL, se producen errores cuando los usuarios intentan enviar mensajes de correo electrónico.

  • Aparecen varias copias de un objeto en el selector de objetos o en la GAL para un objeto que debe ser único en el bosque. A veces se ven objetos duplicados que han cambiado de nombre. Estos objetos duplicados causan confusión en las búsquedas en directorios. Por ejemplo, si no se puede resolver el nombre distintivo relativo de dos objetos, la resolución de conflictos anexa CNF:GUID al nombre. En este ejemplo, representa un carácter reservado, CNF es una constante que indica una resolución de conflictos y GUID representa el valor del atributo * objectGUID.

  • Los mensajes de correo electrónico no se entregan a un usuario cuya cuenta de Active Directory parece estar actualizada. Después de volver a conectar un controlador de dominio obsoleto o un servidor de catálogo global, ambas instancias del objeto de usuario aparecen en el catálogo global. Dado que ambos objetos tienen la misma dirección de correo electrónico, los mensajes de correo electrónico no se pueden entregar.

  • Un grupo universal que ya no existe sigue apareciendo en el token de acceso de un usuario. Aunque el grupo ya no existe, si una cuenta de usuario aún tiene el grupo en su token de seguridad, es posible que el usuario tenga acceso a un recurso que pretende que no esté disponible para ese usuario.

  • No se puede crear un nuevo objeto o buzón de Exchange. Pero no ve el objeto en Active Directory. Un mensaje de error informa de que el objeto ya existe.

  • Las búsquedas que usan atributos de un objeto existente pueden encontrar incorrectamente varias copias de un objeto con el mismo nombre. Se ha eliminado un objeto del dominio. Pero ese objeto permanece en un servidor de catálogo global aislado.

Si se intenta actualizar un objeto persistente que reside en una partición de directorio grabable, los eventos se registran en el controlador de dominio de destino. Sin embargo, si la única versión de un objeto persistente está en una partición de directorio de solo lectura en un servidor de catálogo global, el objeto no se puede actualizar. Por lo tanto, este tipo de evento no se desencadena.

Eliminación de objetos persistentes del bosque

Bosques basados en Windows 2000

Para obtener más información acerca de cómo quitar objetos persistentes en un dominio basado en Windows 2000, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

Es posible que los objetos 314282 Persisting permanezcan después de volver a poner en línea un servidor de catálogo global no actualizado

Bosques basados en Windows Server 2003

Para obtener más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

892777 Herramientas de soporte técnico de Windows Server 2003 Service Pack 1

Evitar que los objetos persistentes se queman

Los siguientes son métodos que se pueden usar para evitar la persistente de objetos.

Método 1: Habilitar la entrada del Registro Coherencia de replicación estricta

Puede habilitar la entrada del Registro Coherencia de replicación estricta para que los objetos sospechosos se pongan en cuarentena. A continuación, las administración pueden quitar estos objetos antes de propagarse por todo el bosque.

Si un objeto persistente de escritura se encuentra en el entorno y se intenta actualizar el objeto, el valor de la entrada del Registro Coherencia de replicación estricta determina si la replicación continúa o se detiene. La entrada del Registro Coherencia de replicación estricta se encuentra en la siguiente subclave del Registro: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
El tipo de datos de esta entrada es REG_DWORD. Si establece el valor en 1, la entrada está habilitada. La replicación entrante de la partición de directorio especificada desde el origen se detiene en el destino. Si establece el valor en 0, la entrada se deshabilita. El destino solicita el objeto completo del controlador de dominio de origen. El objeto persistente se representa en el directorio como un nuevo objeto.

El valor predeterminado para la entrada del Registro Coherencia de replicación estricta viene determinado por las condiciones en las que se instaló el controlador de dominio en el bosque.

Nota

Elevar el nivel funcional del dominio o del bosque no cambia la configuración de coherencia de replicación en ningún controlador de dominio.

De forma predeterminada, el valor de la entrada del Registro Coherencia de replicación estricta en los controladores de dominio que están instalados en un bosque es 1 (habilitado) si se cumplen las siguientes condiciones:

  • La versión de Windows Server 2003 de Winnt32.exe se usa para actualizar un controlador de dominio principal (PDC) de Windows NT 4.0 a Windows Server 2003. Este equipo crea el dominio raíz del bosque de un nuevo bosque.
  • Active Directory está instalado en un servidor que ejecuta Windows Server 2003. Este equipo crea el dominio raíz del bosque de un nuevo bosque.

De forma predeterminada, el valor de la entrada del Registro Coherencia de replicación estricta en los controladores de dominio es 0 (deshabilitado) si se cumplen las siguientes condiciones:

  • Un controlador de dominio basado en Windows 2000 se actualiza a Windows Server 2003.
  • Active Directory se instala en un servidor miembro basado en Windows Server 2003 en un bosque basado en Windows 2000.

Si tiene un controlador de dominio que ejecuta Windows Server 2003 con SP1, no es necesario modificar el Registro para establecer el valor de la entrada del Registro Coherencia de replicación estricta. En su lugar, puede usar la herramienta Repadmin.exe para establecer este valor para un controlador de dominio en el bosque o para todos los controladores de dominio del bosque.

Para obtener más información acerca de cómo usar Repadmin.exe para establecer la coherencia de replicación estricta, visite el siguiente sitio web de Microsoft:
https://technet.microsoft.com/library/cc780362(WS.10).aspx

Método 2: Supervisar la replicación mediante un comando de línea de comandos

Para supervisar la replicación mediante el repadmin /showrepl comando, siga estos pasos:

  1. Haga clic en Inicio y en Ejecutar, escriba cmd y, por último, haga clic en Aceptar.

  2. Escriba repadmin /showrepl * /csv >showrepl.csv y, a continuación, presione ENTRAR.

  3. En Microsoft Excel, abra el Showrepl.csv archivo.

  4. Seleccione la columna A + RPC y la columna SMTP.

  5. En el menú Editar, haga clic en Eliminar.

  6. Seleccione la fila que se encuentra inmediatamente debajo de los encabezados de columna.

  7. En el menú de Windows, haga clic en Inmovilizar panel.

  8. Seleccione la hoja de cálculo completa.

  9. En el menú Datos, seleccione Filtro y, a continuación, haga clic en Filtro automático.

  10. En el encabezado de la columna Último éxito, haga clic en la flecha abajo y, a continuación, haga clic en Ordenar ascendente.

  11. En el encabezado de la columna src DC, haga clic en la flecha abajo y, a continuación, haga clic en Personalizado.

  12. En el cuadro de diálogo Filtro automático personalizado, haga clic en no contiene .

  13. En el cuadro a la derecha de no contiene, escriba del.

    Nota

    Este paso impide que los controladores de dominio eliminados aparezcan en los resultados.

  14. En el encabezado de la columna Último error, haga clic en la flecha abajo y, a continuación, haga clic en Personalizado.

  15. En el cuadro de diálogo Filtro automático personalizado, hacer clic no es igual a.

  16. En el cuadro situado a la derecha de no es igual a , escriba 0.

  17. Resuelva los errores de replicación que se muestran.

Método 3: Quitar controladores de dominio

Puede quitar controladores de dominio con errores del bosque antes de que expire el TSL.

Método 4: Aumentar el TSL

Windows 2000 Server

Aumente el TSL a 180 días mediante la herramienta Adsiedit. Para ello, siga estos pasos:

  1. En la herramienta Adsiedit, expanda Configuration DomainControllerName, expand CN=Configuration, DC=ForestRootDomain, expand CN=Services, expand CN=Windows NT, right-click CN=Directory Service y, a continuación, haz clic en Properties.
  2. Haga clic en la pestaña Atributo.
  3. En la lista Seleccionar las propiedades que desea ver, haga clic en Opcional.
  4. En la lista Seleccionar una propiedad para ver, haga clic en TombstoneLifetime.
  5. En el cuadro Editar atributo, escriba 180, haga clic en Establecer y, a continuación, haga clic en Aceptar. Windows Server 2003

Aumente el TSL a 180 días mediante la herramienta Adsiedit. Para ello, siga estos pasos:

  1. En la herramienta Adsiedit, expanda Configuration DomainControllerName, expand CN=Configuration, DC=ForestRootDomain, expand CN=Services, expand CN=Windows NT, right-click CN=Directory Service y, a continuación, haz clic en Properties.
  2. Haga clic en la pestaña Editor de atributos.
  3. En la lista de atributos, haga clic en TombstoneLifetime y, a continuación, haga clic en Editar.
  4. En el cuadro Valor, escriba 180 y, a continuación, haga clic en Aceptar.