Manual removal of the deceased controller
Иногда слежу за веткой Technet Серверные ОС Windows и с завидной периодичность пользователями задается один и тот же вопрос: «Я удалил контроллер домена из сети, как правильно удалить его останки..или остатки».
Решил накидать инструкцию по ручному удалению контроллера из службы каталогов Active Directory.
Зачем надо полностью удалять контроллер из службы каталогов и делать другие манипуляции?
В случае если контроллер был единственным глобальным каталогом или хозяином FSMO это приведет к проблемам работы Службы Каталогов Active Directory.
Исходные данные:
Один домен source.local
Один сайт SITE01
Контроллер dc01.source.local является глобальным каталогом
Контроллер dc03.source.local является глобальным каталогом, мастером ролей PDC и RID.
Сценарий
Сервер DC03.source.local вышел из строя, восстановить его не возможно.
Решение
Для начала необходимо проверить те пункты, без которых Служба Каталогов работать корректно не может.
Это прежде всего:
1. Являются ли оставшиеся контроллеры доменов серверами глобального каталога.
Оснастка Active Directory Sites and Services ->название_сайта->название_контроллера->NTDS Settings
2. Определить хозяина FSMO ролей
Для этого можно использовать утилиту netdom, что подойдет и для Windows 2000/2003
В моем случае вышедший контроллер был мастером PDC и RID.
Для того, чтобы все роли FSMO обслуживали Службу Каталогов Active Directory, оставшимся контроллерам необходимо получить недостающие роли, в моем сценарии это контроллер DC01.
Для передачи/получения ролей необходимо использовать утилиту ntdsutil и следующие команды:
ntdsutil
roles
connections
connect to server dc01
q
Seize PDC
Seize RID Master
q
quit
Для того чтобы, понять как пишутся другие роли, в меню fsmo maintenance можно набрать «?»
На рисунки ниже представлен весь процесс передачи ролей(вводимые команды подсвечены):
После того, как все роли были переданы на dc01, необходимо перезагрузить компьютер.
Процесс удаления
Сведения о конфигурации содержаться в объекте NTDS Settings, который является дочерним объектом для объекта-сервера в оснастке Active Directory Sites and Services.
Удаление NTDS Settings
ntdsutil
metadata cleanup
connection
connect to server dc01 # подключение к фунционирующему серверу
quit
select operation target
list sites # просмотр сайтов
select site 0 # подключение к сайту
list domains in site # просмотр доменов
select domain 0 # подключение к домену
list servers in site # просмотр контроллеров домена
select server 1 # подключение к серверу, который требуется удалить
quit
remove selected server # удаление сервера
После удаления сервера в оснастке Active Directory Sites and Services останется объект-сервер DC03 и соединители репликации в объектах NTDS Settings других серверов. Оставшиеся объекты удаляем вручную.
В ADUC проверяем, что учетная запись контроллера DC03 удалена.
В DNS так же остались записи от удаленного компьютера, поэтому их нужно будет удалить вручную.
Проверка и тестирование
В журнале событий осталось много ошибок и упоминаний о вышедшем из строя контроллере домена, очистите события и какое-то время проводите мониторинг журнала на предмет ошибок с упоминанием об этом контроллере.
Протестируйте репликацию:
repadmin /replsum
repadmin /showrepl
Проведите комплексный тест:
dcdiag /v
Убедитесь, что SPN для DC03 нет
setspn -l dc03
setspn -l dc03.source.local
Официальные источники:
Using Ntdsutil.exe to transfer or seize FSMO roles to a domain controller
How to remove data in Active Directory after an unsuccessful domain controller demotion
Архивы
Рубрики
- ActiveDirectory (12)
- CA (4)
- Exchange (20)
- Hyper-V (1)
- IP PBX (1)
- Lync (16)
- Office 365 (1)
- PKI (4)
- Skype For Business (3)
- TMG (2)
- Uncategorized (5)
- Windows (1)