Una de las temas recurrentes en los foros de Technet está dado porque se ha quitado un Controlador de Dominio en forma incorrecta. Esto es, o porque no fue despromovido correctamente, o simplemente porque dejó de funcionar y no se contaban con los medios para recuperarlo desde una copia de seguridad.
Hay una detalle fundamental para poder hacer lo que explicamos en esta nota y es tener por lo menos un Controlador de Dominio con Windows Server 2008 o 2008-R2, aunque no importa el nivel funcional del Dominio o Bosque, puede ser Windows 2003
Si todos los Controladores de Dominio son Windows Server 2003/2003-R2 se deberá utilizar el procedimiento clásico descripto en:
How to remove data in Active Directory after an unsuccessful domain controller demotion: http://support.microsoft.com/kb/216498
Pero si tenemos por lo menos un Controlador de Dominio Windows Server 2008 o posterior el procedimiento es muy fácil, alcanzará con eliminar el mismo desde “Usuarios y Equipos de Active Directory” (Active Directory Users and Computers), y luego eliminar el servidor y los objetos “conexión” en “Sitios y Servicios de Active Directory” (Active Directory Sites and Services)
Veámos el procedimiento paso a paso. Parto de una configuración con tres Controladores de Dominio (porque la tengo hecha), pero de igual manera se puede hacer con dos.
DC1 y DC2 son Windows Server 2008-R2, pero DC3 es Windows Server 2003-R2. Podemos ver los mismos en
Simplemente con botón derecho sobre el Controlador de Dominio, que ya no está disponible, y que no va a volver a la red, elegimos borrarlo
Confirmamos la operación
Por las dudas, y para asegurarnos que realmente no volverá el sistema nos pide una segunda confirmación y nos obliga a marcar la opción de que estamos notificados que no va volver :)
Podemos observar que ya no figura más en Active Directory Users and Computers
Sólo nos falta eliminarlo en Active Directory Sites and Services, donde podemos observar que ya no tiene “NTDS Settings”, ni objetos “Conexión”
Como último paso, debemos entrar en “NTDS Settings” de los otros Controladores de Dominio, y borrar los objetos “Conexión” que quedaron huérfanos
El procedimiento descripto es mucho más sencillo que el que debíamos hacer en estos casos con Controladores de Dominio de sistemas operativos anteriores, siguiendo los pasos descriptos en el artículo antes mencionado.
Y además porque estos pasos muchas veces generaban confusión sobre que hay que conectarse a un Controlador de Dominio existente, para poder eliminar al que ya no está
Aclaro que luego del procedimiento he revisado y no se observa ningún error en el visor de sucesos con respecto a problemas de replicación.
WindowServer 
Comentarios
Buenos días y enhorabuena por tu blog.
Me ha surgido una duda realizando este tutorial para eliminar DC en deshuso.
Sigo los pasos tal cual pero una vez aceptada la segunda pantalla de verificación para eliminar el DC, si marco la casilla y acepto, me sale una tercera ventana de confirmación que me indica lo siguiente:
«El objeto XXX contiene otros objetos. ¿Está seguro que desea eliminar el objeto XXX y todos los objetos que contiene?»
Aparece algo mas de texto con advertencia y una casilla de verificación que pone:
«usar el control de servidor eliminar subarbol»
Tengo miedo de aceptar eeste cuadro y que me deje de funcionar algo ya que no estaba incluido en tu guía. ¿Es peligroso o puedo aceptar sin problemas?
Un saludo.
¿Qué versión de sistema operativo? ¿No estarás tratando de eliminar la OU Domain Controllers? cuidado… :)
Las capturas de pantalla corresponden a W2008-R2
Hola. El sistema operativo es un Windows Server 2008 R2. EL que se intenta eliminar era un w2000 server.
Te pongo el enlace a la imagen de los 2 equipos en AD. El que se quiere eliminar es SERVIDORCENTRAL, y es eliminándolo desde ahí cuando me salen los avisos que publicaste y el otro adicional.
http://www.subirimagenes.com/otros-cef1-7759278.html
Si necesitas algun dato mas no dudes en pedirmelo.
¿Será porque era un W2000? porque en las pruebas que he hecho nunca apareció.
Mi pregunta anterior estaba relacionada porque ese mensaje aparece cuando uno va a borrar un contenedor
De todas formas yo lo borraría con este procedimiento, en el peor de los casos sólo haría falta ejecutar el procedimiento clásico con NTDSUTIL
Hola de nuevo.
Han aparecido mas problemas :) He eliminado el servidor antiguo en AD pero al intentar eliminarlo en la siguiente fase, Sitios de AD, me salen los siguientes mensajes:
http://www.subirimagenes.com/imagen-11062012125106-7762994.html
y al aceptar el cuadro sale este otro:
http://www.subirimagenes.com/imagen-11062012125139-7763001.html
¿Por qué me puede estar bloqueando la eliminación manual?
Es raro, o por lo menos a mí no se me ha producido eso
Si no deja borrarlo habría que hacer el procedimiento ya conocido, que es más trabajoso
How to remove data in Active Directory after an unsuccessful domain controller demotion
http://support.microsoft.com/kb/216498
Cuidado si usas la versión en español, que a veces no suelen estar bien
¿A que te refieres? A que está mal traducida la página en epañol de Microsoft?
Algunos de los artículos de la base de conocimientos de Microsoft, están traducidos por personas, pero la mayoría lo están a través de una aplicación en forma automática.
En este último caso muchas veces he encontrado errores, ya que no se interpreta el texto, o se traducen por ejemplo claves de registro que no se localizan
Por eso es que siempre trato de usar y recomendar las versiones originales en inglés
Ok entendido. Ya he realizado los pasos que se comentan en el artículo y el DC antiguo ya está eliminado con éxito.
Muchas gracias por la ayuda!
Buenas tardes. Estaba revisando el blog y me parecio super util. Ahora bien, estoy con el caso similar, y me gustaria saber, si lograste eliminarlo con este procedimiento o con el tradicional. Ya que igualmente me estan saliendo las pantallas comentadas al comienzo.
Saludos
Hola gise, la primera posibilidad, como siempre, es tratar de usar el procedimiento más fácil, pero si este no permite entonces la única posibilidad es con el detallado en el enlace al artículo de la Base de Conocimientos
Si tu pregunta se refiere a lo preguntado por Marcoalexio, por su respuesta, ha usado el procedimiento del enlace
Habría que ver por qué no se lo ha permitido, porque las capturas de pantalla que he puesto son de una instalación real de laboratorio
Hola.
Estoy por hacer el mismo procedimiento. Pero tengo el problema es que también es un catálogo global este «Controlador de Dominio»
Es el mismo procedimiento?
Muchas Gracias
Hola César, es el mismo procedimiento sólo que agregaría el borrado del registro correspondiente en el DNS (Carpeta GC dentro de _msdcs. …)
Perdón que consulte tanto, pero veo varias entradas mas que llaman al mismo Controlador de Dominio en el DNS.
Esas entradas quedan? O las tengo que borrar a mano?
Mil Gracias
Deberías eliminar en el DNS todas las entradas que hagan referencia al Controlador de Dominio que ya no existe más.
De otra forma, cuando el resto de las máquinas pregunten al DNS éste puede devolverle esos registros
Excelente! muchas gracias lo voy a probar, antes realizaré un respaldo del system state del servidor.
Excelente! realicé la eliminación del DC que ya no existe y hasta el momento todo bien. Tuve que hacer esto porque quería aumentar el nivel de funcionalidad del dominio de Windows 2000 mixto a Windows 2003 y decía que estaba ocupado el Dominio, cuando utilicé el dcdiag daba unos errores y aparecía un DC que ya no existía, al eliminarlo pude realizar el aumento de funcionalidad. Muchas gracias muy buena la guía.
Me alegro te haya servidor :-)
Hice el procedimiento tal cual y no tuve ningun problema! se agradece el tutorial.
Me alegro te haya servidor Javier :)
Buenas tardes, quisiera saber como insertar nuevamente ese DC que eliminamos, en caso de que se eliminó por error.
Muchas Gracias.
Hola Martin, no dices ni versión de sistema operativo, ni cómo es que lo han «eliminado», así que supongo algunas cosas :=
Revisa este enlace:
Windows Server 2012 (R2): Crear un Dominio – Quitar un Controlador de Dominio que No Se Puede “Despromover” y Reemplazarlo | WindowServer:
QUe lastima pero algunas de las imágenes de la guia no se cargan bien.. :(
Hola Fernando, me haz puesto la duda, porque en algún momento hubo ese problema, pero está solucionado hace tiempo
Recién controlé desde otra máquina, para que no use información «cacheada» y se ven todas las capturas
¿Tienes enlace lento?, prueba con refrescar y mucha paciencia. Lo comento porque me comentaron otros cuál era el problema y cómo solucionarlo
Seguramente el error es porque no están guardadas en WordPress, están en un sitio diferente
Hola, tengo un problema, tengo instalado tres controladores de dominio, uno con server 2012 R2 y los otros dos con server 2016, el controlador de dominio principal es el de server 2012, luego de instalar los server 2016 que se replican entre si, cuando elimino el server 2012 despues no me quiere funcionar ningun active directory, me dice que el dominio especificado no existe
Si la replicación se ha completado con éxito, lo que falta es que los DCs que queden sean Catálogo Global y tengan instalado el servicio DNS. Todas las máquinas del Dominio tienen que tener configurado para usar como DNS a los nuevos DCs
Espero que no hayas eliminado al DC con W2012 antes que la replicación se efectuara correctamente porque en ese caso estarías en un problema grave
Estos comentarios son sobre la nota, no son para soporte, sólo oriento cuando puedo. Puedes dirigirte a un foro de soporte, por ejemplo el de Technet en https://social.technet.microsoft.com/Forums/es-ES/home
Hola,
Espero me puedas ayudar ya que no he podido encontrar mucha información en la web para responder mi duda.
Primero la introducción: En la empresa levantamos un nuevo dominio (porque el anterior tenia problemas irreparables) y queremos reutilizar uno de los servidores AD del antiguo AD (Windows Server 2008 R2), sin reinstalarlo porque alberga un par de aplicaciones web que quiero mantener.
Ya degrade el servidor y quite los Roles AD u DNS del servidor pero me asalta la siguiente duda ¿es necesario realizar una «limpieza» de archivos y registros antes de subirlo al nuevo dominio?
Desde ya gracias por el tiempo y la respuesta,
Claudio Pizarro
Hola Claudio, para que vuelva a ser Controlador de Dominio de otro Dominio no hay que hacer ninguna «limpieza». Lo que sí, hay que ver es el tema permisos, porque será otro Dominio diferente, y con usuarios diferentes aunque el Dominio se llame igual, lo comento por las aplicaciones que nombras están instaladas
Hola Guillermo,
Si bien al momento de eliminar el controlador de Dominio aparece el mensaje de que si estamos seguros de hacerlo y que el servidor como tal no volverá a estar en linea,que sucede si necesitamos colocar un servidor con el nombre del equipo del DC recien eliminado, pero ya no como DC, sino solo como miembro del Dominio. Existen registros o rastros de esa antigua configuración que podrían afectar a la red ?
Saludos
Hola Julio, si se ha completado bien el proceso de «limpieza» no debería haber ningún problema en tener otra máquina con el mismo nombre. Alcanza con hacer el proceso de «limpieza» tal como está en la nota
Revisa también esta nota: Windows Server 2012 R2: Cambiar o Reinstalar un Controlador de Dominio Que Se Ha Perdido | WindowServer:
Que al Guillermo.
Funcionó muy bien.
Gracias !!!
Hola buenas tardes
Espero que siga funcionando el sitio es muy buen tutotial solamente que mi duda es algo similar a las pasadas, la unica diferencia es que tengo mi servidor que antes era mi AD aún encendido y ya no tiene los roles de AD pero cuando yo le tiro un ping a mi dominio a veces me responde la ip de mi antiguo servidor y otras veces del nuevo AD a lo que entiendo es por problemas en el DNS Manager que aun se ve en la carpeta _msdcs ya que en el AD U&C ya no existe el servidor anterior y solo me aparece uno
Mi antiguo AD esta en 2008 y el nuevo AD esta en 2016
Saludos…
Hola Daniel, por lo que comentas es evidente que ha quedado registrado en la zona DNS el «viejo» Controlador de Dominio, por lo tanto debes buscar todas las registraciones correspondientes a él y borrarlas manualmente
Sólo con ver que hay una nueva nota cada Martes ya te muestra que el blog sigue funcionando :)
hola, una pregunta que sucede si tengo los dos directorios activos como GC uno con WS2012R2 y el otro WS2008R2, deseo deshabilitar el GC en el server 2008, se loguea normalmente en el server 2008 con usuario del directorio activo 2012?
Hola Geovanny, cuidado con la confusión, GC son los Controladores de Dominio, no el Dominio. Por lo que dices interpreteo ique lo que tienes son dos Controladores de Dominio en un único Dominio
Teniendo un único Dominio no tiene sentido que todos los Controladores de Dominio no sean GC, porque no se genera ningún tipo de sobrecarga, y al contrario quitas la tolerancia a fallas
Si no se puede contactar a un GC, los usuarios podrán iniciar sesión con «cached credentials», pero en cuanto tengan que solicitar un nuevo «Ticket Kerberos» no lo podrán hacer
Buenas tardes, antes que nada felicitaciones y gracias por tu blog, es de mucha utilidad.
Creo que tengo un error de concepto, si tengo un dominio y 2 DC, solo uno debe ser GC? o los dos? por que?. Creí que ambos deben ser GC, y en caso que uno se caiga, el otro esta «listo» para seguir.
Gracias!.
Hola Carlos, me alegro te sirva el blog.
En la siguiente nota hay una explicación, aunque sencilla y resumida de las funciones del GC
Como la funcionalidad del GC es requerida para los inicios de sesión es importante que tengan tolerancia a fallas, y por eso es recomendable que siempre exista más de uno en Bosque
Aunque hay situaciones específicas donde no es conveniente que todos los DCs sean GC, teniendo un único Dominio en el Bosque, lo recomendable es que todos sean GC, ya que no produce ningún tráfico adicional ni mayor consumo de recursos
Si un DC no fuera GC y necesitara de ese servicio tendría que consultar al que es GC
Buenas tardes Guillermo. Te felicito por este blog que recien acabo de descubrir y de cual es fácil percatarse que es lo mas conciso y claro en sus procedimientos. En particular te comento algo que me está sucediendo y no le encuentro solución. Tengo 2 controladores de dominio, por decirle DC1 y DC2, que están ambos sobre servidores HP Proliant ML350 con arreglos de disco. Ambas configuracions de hardware están en perfecto estado a merced de lo que informan los diagnosticos de HP. Hace unos 5 dias DC1 comenzó a mostrar demoras para mostrar el Administrador del Servidor lo cual aparentemente se solucionó al reiniciar el sistema. No demoré en darme cuenta que pasado unas horas volvió a mermar el redimiento del servidor. No teniendo mucho tiempo por estar dedicado a otras tareas prioritarias que no vienen al caso, opté por doblar la cantidad de memoria, la cual ahora es de 16 GB. Como era de esperar eso no resolvió el problema. Los complementos de consola empezaron a demorarse mucho y a mostrar errores, de que no están respondiendo a la velocidad adecuada. Luego de eso todo el entorno de windows se ha vuelto lento. Es importante que conozca que en ese servidor está instalado el Kaspersky Security Center, el cual llevamos trabajando mas de 2 años y que en septiembre fue actualizado a la ultima versión. De ahi en adelante he podido ver errores de todo tipo: de sincronización de AD, de resolucion de nombres tanto en DC1 que no resuelve el nombre de DC2, asi como en DC2 que no resuelve el nombre de DC1. El servidor DC2 en cambio no ha mostrado merma alguna en su rendimiento y gracias a el, los casi 300 usuarios de AD han estado trabajando sin probloemas, pero siempre y cuando desconecte el cable de red de DC1. Cuando DC1 esta conectado a la red, surge la demora en todas las computadoras y el acceso a internet se ve limitado. He querido desconectar DC1, promover DC2, reinstalar el Windows en DC1 y el DA, pero eso como ultima opción debido a que tengo el Kaspersky Security Center y su reinstalación es costosa. Le voy a agradecer cualquier recomendación que me ayude a resolver el problema.
Hola Sergio, estos comentarios son sobre la nota, no son para soporte, sólo oriento cuando puedo. Puedes dirigirte a un foro de soporte, por ejemplo el de Technet en https://social.technet.microsoft.com/Forums/es-ES/home
Pero como orientación, si todo comenzó al instalar el Kaspersky, ya ahí tienes dónde comenzar a ver el problema
Trackbacks
[…] Eliminar un Controlador de Dominio Que Ya No Existe (Fácil) […]
[…] Para esto se puede hacer el procedimiento descripto en: Eliminar un Controlador de Dominio Que Ya No Existe (Fácil): https://windowserver.wordpress.com/2012/06/02/eliminar-un-controlador-de-dominio-que-ya-no-existe-fci… […]
[…] Para eliminar podemos seguir los siguientes pasos Click Aquí […]