Manual removal of the deceased controller

Иногда слежу за веткой Technet Серверные ОС Windows  и с завидной периодичность пользователями задается один и тот же вопрос: «Я удалил контроллер домена из сети, как правильно удалить его останки..или остатки».

Решил накидать инструкцию по ручному удалению контроллера из службы каталогов Active Directory.

Зачем надо полностью удалять контроллер из службы каталогов и делать другие манипуляции?

В случае если контроллер был единственным глобальным каталогом или хозяином FSMO это приведет к проблемам работы Службы Каталогов Active Directory.

Исходные данные:

Один домен source.local

Один сайт SITE01

Контроллер dc01.source.local является глобальным каталогом

Контроллер dc03.source.local является глобальным каталогом, мастером ролей PDC и RID.

Сценарий

Сервер DC03.source.local вышел из строя, восстановить его не возможно.

Решение

Для начала необходимо проверить те пункты, без которых Служба Каталогов работать корректно не может.

Это прежде всего:

1. Являются ли оставшиеся контроллеры доменов серверами глобального каталога.

Оснастка Active Directory Sites and Services ->название_сайта->название_контроллера->NTDS Settings

2. Определить хозяина FSMO ролей

Для этого можно использовать утилиту netdom, что подойдет и для Windows 2000/2003

В моем случае вышедший контроллер был мастером PDC и RID.

Для того, чтобы все роли FSMO обслуживали Службу Каталогов Active Directory, оставшимся контроллерам необходимо получить недостающие роли, в моем сценарии это контроллер DC01.

Для передачи/получения ролей необходимо использовать утилиту ntdsutil и следующие команды:

ntdsutil

roles

connections

connect to server dc01

q

Seize PDC

Seize RID Master

q

quit

Для того чтобы, понять как пишутся другие роли, в меню fsmo maintenance можно набрать «?»

На рисунки ниже представлен весь процесс передачи ролей(вводимые команды подсвечены):

После того, как все роли были переданы на dc01, необходимо перезагрузить компьютер.

Процесс удаления

Сведения о конфигурации содержаться в объекте NTDS Settings, который является дочерним объектом для объекта-сервера в оснастке Active Directory Sites and Services.

Удаление NTDS Settings

ntdsutil

metadata cleanup

connection

connect to server dc01 # подключение к фунционирующему серверу

quit

select operation target

list sites # просмотр сайтов

select site 0 # подключение к сайту

list domains in site # просмотр доменов

select domain 0 # подключение к домену

list servers in site # просмотр контроллеров домена

select server 1 # подключение к серверу, который требуется удалить

quit

remove selected server # удаление сервера

После удаления сервера в оснастке Active Directory Sites and Services останется объект-сервер DC03 и соединители репликации в объектах NTDS Settings других серверов. Оставшиеся объекты удаляем вручную.

В ADUC проверяем, что учетная запись контроллера DC03 удалена.

В DNS так же остались записи от удаленного компьютера, поэтому их нужно будет удалить вручную.

Проверка и тестирование

В журнале событий осталось много ошибок и упоминаний о вышедшем из строя контроллере домена, очистите события и какое-то время проводите мониторинг журнала на предмет ошибок с упоминанием об этом контроллере.

Протестируйте репликацию:

repadmin /replsum

repadmin /showrepl

Проведите комплексный тест:

dcdiag /v

Убедитесь, что SPN для DC03 нет

setspn -l dc03

setspn -l dc03.source.local

Официальные источники:

Using Ntdsutil.exe to transfer or seize FSMO roles to a domain controller

Clean up server metadata

How to remove data in Active Directory after an unsuccessful domain controller demotion