Descripción de la herramienta liquidador de objetos persistentes
En este artículo se describe la herramienta Liquidador de objetos persistentes (LoL) para buscar y quitar objetos persistentes.
Número de KB original: 3141939
Introducción
El liquidador de objetos persistentes (LOL) es una herramienta para automatizar la detección y eliminación de objetos persistentes. La herramienta usa el método DRSReplicaVerifyObjects, que aprovecha el repadmin /removelingeringobjects comando y la herramienta repldiag en combinación con el primitivo rootDSE removeLingeringObject que usa LDP.EXE.
Ventajas y disponibilidad
- Combina la detección y eliminación de objetos persistentes en una interfaz.
- La herramienta está disponible en el Centro de descarga de Microsoft.
Características clave
- Quita todos los objetos persistentes en todos los controladores de dominio (CONTROLADORES de dominio) sin preguntar.
- Realiza una comparación (n * (n-1)) en cada controlador de dominio del bosque.
- Realiza la detección de topología, que permite elegir y elegir controladores de dominio que se van a usar para la comparación de objetos persistentes (origen y destino).
- Exporta una lista de objetos persistentes como un archivo CSV, de modo que se pueda editar sin conexión y, a continuación, se importe de nuevo a la herramienta para quitar los objetos si es necesario (útil para las operaciones avanzadas de eliminación).
- Guarda el contenido del objeto en un archivo de registro en caso de que un nuevo objeto se deba hidratar del objeto persistente.
Requisitos de herramientas
Descargue y ejecute El liquidador de objetos persistentes en un equipo de controlador de dominio o miembro del bosque del que desea quitar objetos persistentes.
Microsoft .NET Framework 4.5.2 debe estar instalado en el equipo que ejecuta la herramienta.
Permisos: la cuenta de usuario que ejecuta la herramienta debe tener credenciales de administrador de dominio para cada dominio del bosque en el que reside el equipo en ejecución. Los miembros del grupo Administradores de empresa tienen credenciales de administrador de dominio en todos los dominios de un bosque de forma predeterminada. Las credenciales de administrador de dominio son suficientes en un solo dominio o en un único bosque de dominio.
Debe habilitar la regla de firewall de Administración remota de registros de eventos (RPC) en cualquier controlador de dominio que necesite examinar. De lo contrario, la herramienta devuelve un error "Excepción: el servidor RPC no está disponible".
No se admite la liquidación de objetos persistentes en entornos de Active Directory Lightweight Directory Services (AD LDS/ADAM).
Tutorial
Detección de objetos persistentes
Ejecute la herramienta como administrador de dominio (o como administrador de enterprise si desea examinar todo el bosque). Para hacerlo, siga estos pasos.
Nota:
Recibirá el error 8453 si la herramienta no se ejecuta como con privilegios elevados.
En la sección Detección de topologías, seleccione Detectar topología de AD.
Detectar topología de AD rellena las listas contexto de nomenclatura, DC de referencia y DC de destino consultando el controlador de dominio local. La detección exhaustiva realiza una búsqueda más exhaustiva de todos los controladores de dominio y aprovecha las llamadas de DC Locator y DSBind. Tenga en cuenta que es probable que se produzca un error en la detección exhaustiva si uno o varios controladores de dominio no son accesibles.
A continuación se muestran los campos de la pestaña Objetos persistentes:
Contexto de nomenclatura
Contiene cada contexto de nomenclatura de Active Directory en el bosque.
Dc de referencia
Este es el controlador de dominio que comparará con el controlador de dominio de destino. El controlador de dominio de referencia hospeda una copia grabable de la partición.
Nota:
Todos los controladores de dominio del bosque se muestran incluso si no son adecuados como controladores de dominio de referencia (ChildDC2 es un RODC y no es un controlador de dominio de referencia válido, ya que no hospeda una copia grabable de un controlador de dominio).
Controlador de dominio de destino
Controlador de dominio de destino del que se van a quitar los objetos persistentes.
Seleccione Detectar objetos persistentes para usar los controladores de dominio seleccionados para la comparación, o seleccione Examinar todo el bosque y Dirigirse a todos los controladores de dominio para examinar todo el entorno.
La herramienta realiza una comparación con todos los controladores de dominio de todas las particiones de forma emparejada cuando todos los campos quedan en blanco. En un entorno grande, esta comparación tardará mucho tiempo (posiblemente incluso días) como el número de destinos de operación (n * (n-1)) de controladores de dominio en el bosque para todas las particiones mantenidas localmente. Para las operaciones de destino más cortas, seleccione un contexto de nomenclatura, un controlador de dominio de referencia y un controlador de dominio de destino. El controlador de dominio de referencia debe contener una copia grabable del contexto de nomenclatura seleccionado. Tenga en cuenta que hacer clic en Detener no detiene realmente la API del lado servidor, simplemente detiene el trabajo en la herramienta del lado cliente.
Durante el examen, se deshabilitan varios botones y el cuadro de estado contiene mensajes de diagnóstico y operativos de la herramienta Liquidador de objetos persistentes. Durante esta fase de ejecución, la herramienta se ejecuta en modo de aviso y lee los datos del registro de eventos que se notifican en cada controlador de dominio de destino.
Una vez completado el examen, se vuelven a habilitar los botones, las actualizaciones de la barra de estado y se muestra el recuento total de objetos persistentes. El cuadro de estado muestra toda la información, las advertencias y los errores que se produjeron durante el examen.
Si ve el error 1396 o el error 8440 en el panel de estado, está usando una versión preliminar beta temprana de la herramienta y debe actualizar a la versión más reciente.
- El error 1396 se registra si la herramienta usa incorrectamente un RODC como controlador de dominio de referencia.
- El error 8440 se registra cuando el controlador de dominio de referencia de destino no hospeda una copia grabable de la partición.
Notas sobre el método de detección del liquidador de objetos persistentes:
- Aprovecha el método DRSReplicaVerifyObjects en modo de aviso.
- Se ejecuta para todos los controladores de dominio y todas las particiones.
- Recopila el identificador de evento de objeto persistente 1946 y muestra objetos en el panel de contenido principal.
- La lista se puede exportar a CSV para el análisis sin conexión (o la modificación de la importación).
- Admite la importación y eliminación de objetos de la importación de CSV (aproveche los objetos que no se pueden detectar mediante DRSReplicaVerifyObjects).
- Admite la eliminación de objetos mediante DRSReplicaVerifyObjects y la modificación de objetos removeLingering de LDAP rootDSE.
La herramienta aprovecha el método DRSReplicaVerifyObjects (en modo de aviso) que usa el
repadmin /removelingeringobjects /Advisory_Modecomando . Además de los eventos normales relacionados con el modo de aviso registrados en cada controlador de dominio, muestra cada uno de los objetos persistentes dentro del panel de contenido principal.
Los resultados del examen se registran en el panel Resultados. Muchos más detalles de todas las operaciones se registran en el archivo Date-TimeStamp> persistente<.log.txt en el mismo directorio que el ejecutable de la herramienta.
El botón Exportar permite exportar una lista de todos los objetos persistentes enumerados en el panel principal en un archivo CSV. Vea el archivo en Excel, modifique si es necesario y use el botón Importar más adelante para ver los objetos sin tener que realizar un examen nuevo. La característica Importar también es útil si detecta objetos abandonados (no detectables con DRSReplicaVerifyObjects) que debe quitar.
Nota sobre los objetos persistentes transitorios:
La recolección de elementos no utilizados es un proceso independiente que se ejecuta en cada controlador de dominio cada 12 horas de forma predeterminada. Uno de sus trabajos consiste en quitar objetos que se han eliminado y que han existido como una piedra de tumba para mayor que el número de días de duración de la lápida. Hay un período gradual de 12 horas en el que existe un objeto apto para la recolección de elementos no utilizados en algunos controladores de dominio, pero ya lo ha quitado el proceso de recolección de elementos no utilizados en otros controladores de dominio. Estos objetos también se notificarán como objetos persistentes por la herramienta; sin embargo, no se requiere ninguna acción, ya que se quitarán automáticamente la próxima vez que el proceso del recolector de elementos no utilizados se ejecute en el controlador de dominio.
Hay dos métodos admitidos para quitar los objetos persistentes detectados. El método "removeLingeringObject" hace referencia a la operación de modificación rootDSE, que se puede usar para quitar objetos persistentes individuales. El método "DsReplicaVerifyObjects" seleccionará todos los objetos persistentes a la vez.
Para quitar objetos individuales, seleccione un solo objeto o varios objetos mediante la tecla Ctrl o Mayús . Presione Ctrl para seleccionar varios objetos o Mayús para seleccionar un intervalo de objetos y, a continuación, seleccione Quitar objetos persistentes seleccionados.
La barra de estado se actualiza con los objetos persistentes y el estado de la operación de eliminación:
La herramienta volca una lista de atributos para cada objeto antes de la eliminación y registra esto junto con los resultados de la eliminación del objeto en el archivo de registro de removedLingeringObjects.log.txt . Este archivo de registro está en la misma ubicación que el ejecutable de la herramienta: C:\tools\LingeringObjects\removedLingeringObjects<DATE-TIMEStamp>.log.txt.
Contenido de ejemplo del archivo de registro:
the obj DN: <GUID=<GUID>>; <SID=<SID>>;CN=<CN_Name>,OU=<OU_Name>,DC=root,DC=contoso,DC=com objectClass:top, person, organizationalPerson, user; sn:Schenk; whenCreated:20121126224220.0Z; name:<CN_Name>; objectSid:<SID>;primaryGroupID:513; sAMAccountType:805306368; uSNChanged:32958; objectCategory:<GUID=<GUID>>;CN=Person,CN=Schema,CN=Configuration,DC=root,DC=contoso,DC=com; whenChanged:20121126224322.0Z; cn:<CN_Name>; uSNCreated:32958; l:Boulder; distinguishedName:<GUID=<GUID>>; <SID=<SID>>;CN=<CN_Name>,OU=<OU_Name>,DC=root,DC=contoso,DC=com; displayName:<CN_Name>; st:Colorado; dSCorePropagationData:16010101000000.0Z; userPrincipalName:<User_Name>@root.contoso.com; givenName:<User_Name>; instanceType:0; sAMAccountName:<Account_Name>; userAccountControl:650; objectGUID:<GUID>; value is :<GUID=<GUID>>:<GUID=<GUID>> Lingering Obj CN=<CN_Name>,OU=<OU_Name>,DC=root,DC=contoso,DC=com is removed from the directory, mod response result code = Success --------------------------------------------- RemoveLingeringObject returned SuccessUna vez identificados todos los objetos, se pueden quitar masivamente seleccionando todos los objetos y, a continuación, Quitar o exportarlos a un archivo CSV. El archivo CSV se puede importar más tarde para realizar la eliminación masiva. Tenga en cuenta que hay un botón Quitar todo que aprovecha el
repadmin /removelingeringobjectmétodo de eliminación persistente de objetos.
Soporte técnico: aunque esta herramienta se ha probado exhaustivamente en muchos entornos, se le proporciona tal cual. No se proporcionará soporte técnico oficial de Microsoft.
Acceda al laboratorio virtual technet de objetos persistentes de Active Directory si desea practicar el uso de esta herramienta en un entorno de laboratorio que contenga objetos persistentes.
Flujo de trabajo
Más información
| Método de eliminación | Funcionalidades de objetos/particiones y eliminación | Detalles |
|---|---|---|
| Liquidador de objeto persistente | Eliminación por objeto y por partición Aprovecha: - RemoveLingeringObjects modificación de LDAP rootDSE - Método DRSReplicaVerifyObjects |
- Basado en GUI - Muestra rápidamente todos los objetos persistentes del bosque al que se une el equipo en ejecución. - Detección integrada a través del método DRSReplicaVerifyObjects - Método automatizado para quitar objetos persistentes de todas las particiones - Quita objetos persistentes de todos los controladores de dominio (incluidos RODC), pero no vínculos persistentes. - Controladores de dominio de Windows Server 2008 y versiones posteriores (no funcionarán con controladores de dominio de Windows Server 2003) |
| Repldiag /removelingeringobjects | Eliminación por partición Aprovecha: - Método DRSReplicaVerifyObjects |
- Solo línea de comandos - Método automatizado para quitar objetos persistentes de todas las particiones - Detección integrada mediante DRSReplicaVerifyObjects - Muestra objetos detectados en eventos en controladores de dominio - No quita vínculos persistentes. No quita objetos persistentes de RODC (todavía). |
| Primitivo rootDSE de LDAP RemoveLingeringObjects (que se ejecuta normalmente mediante LDP.EXE o un script de importación LDIFDE) | Eliminación por objeto | - Requiere un método de detección independiente. : quita un único objeto por ejecución a menos que se cree un script. |
| Repadmin /removelingeringobjects | Eliminación por partición Aprovecha: - Método DRSReplicaVerifyObjects |
- Solo línea de comandos - Detección integrada mediante DRSReplicaVerifyObjects - Muestra objetos detectados en eventos en controladores de dominio - Requiere muchas ejecuciones si se requiere una limpieza completa (n * (n-1)) en pares. La herramienta repldiag y la herramienta liquidador de objetos persistentes automatizan esta tarea. |