Разное

Контроллер домена удалить – Как удалить контроллер домена (недоступный) Windows Server 2012

Как удалить контроллер домена (недоступный) Windows Server 2012

Добрый день уважаемые читатели и гости блога pyatilistnik.org, в прошлый раз когда мы с вами разговаривали на тему Active Directory, то мы с вами производили установку контроллера домена, сегодня ситуация обратная, у меня в моей инфраструктуре вышел из строя (физически) DC и восстановить его не представляется возможным, чтобы у меня AD работало без ошибок, мне необходимо удалить данные о неисправном контроллере домена и все зачистить, чем мы с вами и займемся.

Схема сети с неработающим контроллером в AD

У меня есть инфраструктура Active Directory, есть домен msk.pyatilistnik.org и три контроллера: dc6, dc7, dc10. Последний как раз вышел из строя и находится вообще в другом сайте и его необходимо удалить, давайте я покажу как это правильно делать, так как просто нет возможности воспользоваться стандартной утилитой dcpromo,

dc10 будет удален, но перед этим, нам нужно удостовериться, что все FSMO роли у нас будут доступны на работающих контроллерах домена. Узнать держателя FSMO ролей можно командой:

Как видите в моем случае первые две роли схемы и именования доменов, находятся на корневом контроллере домена в другом домене, а вот нужные мне три роли, располагаются на неисправном DC, до которого я не могу достучаться, в таком случае нам необходимо будет захватить с него все роли и передать их работающим контроллерам домена, после чего удалить о нем всю информацию в Active Directory.

Ранее я вам рассказывал как производится захват ролей FSMO, там было два метода графический через оснастку ADUC и с помощью утилиты ntdsutil. В оснастке ADUC вы увидите вот такую картину, что хозяин операций не доступен. Как производится принудительный захват ролей, читайте по ссылке слева.

Теперь, когда все роли захвачены или переданы, то можно производить удаление всех старых данных.

Если у вас уровень леса и домена Windows Server 2008 R2 и выше, то самый простой способ это удалить, объект компьютера из контейнера Domain Controllers, все старые метаданные будут удалены автоматически и вам не придется делать описанные ниже манипуляции. Но я хочу вам показать ручной способ, чтобы вы более глубоко понимали, что именно происходит и откуда удаляются данные о недоступном контроллере домена

Удаляем контроллер с помощью NTDSutil

Откройте командную строку от имени администратора.

  • Пишем команду ntdsutil
  • Далее нам необходимо зайти в режим metadata cleanup
  • Теперь вам необходимо подключиться к работающему контроллеру домена, пишем connections
  • Далее вводим connect to server и имя сервера, видим успешное подключение
  • Выходим из данного меню, введите q и нажмите enter.
  • Далее введите select operation target
  • Посмотрим список доменов командой List domain
  • Выберем нужный домен, select domain
  • Теперь поищем какие сайты у нас есть, делается это командой list sites
  • Выбираем нужный select site и номер
  • Посмотрим список серверов в сайте, list servers in site, у меня их 7, я выбираю нужный
  • select server и номер
  • Выходим из режима select operation target, введите q
  • Ну и собственно команда на удаление remove selected server

У вас появится предупреждение, что «Вы действительно хотите удалить объект сервера, имя сервера. Это не последний сервер домена. Сервер должен постоянно работать автономно и не возвращаться в сеть обслуживания. При возвращении сервера в сеть обслуживания, объект сервера будет восстановлен.»

Если вы думаете, что удалить контроллер домена 2012 r2 из ntdsutil, достаточно, то хвосты еще остаются. Первый хвост это сайты Active Directory, открываем данную оснастку

Все теперь можно удалять, когда все связи устранены.

Ну и последний шаг, это удаление записей в зоне DNS, вот пример записи «Сервер имен (NS)»,

так же посмотрите папк:

Все теперь, можно смело констатировать, что мы с вами правильно удалили неисправный контроллер домена Active Directory, не оставим хвостов. Проверяем теперь реплицацию, чтобы все было без ошибок.

pyatilistnik.org

Удаляем неисправный контроллер домена при помощи утилиты NTDSUTIL

Нередки ситуации, когда системному администратору приходится вручную удалять контроллер домена из Active Directory. Такие ситуации возникают при физическом выходе из строя севера с ролью контроллера домена или другой нештатной ситуации. Естественно, наиболее предпочтительно удалить контроллер домена при помощи команды DCPROMO (подробно DCPROMO и ее параметрах) Однако, что же делать, если контроллер домена недоступен (выключен, сломался, недоступен по сети)?

Естественно, нельзя просто удалить учетную запись контроллера домена при помощи оснастки Active Directory User and Computer.

В домене на Windows Server 2008 и выше при удалении учетной записи компьютера неисправного контроллера домена с помощью консоли ADUC (Dsa.msc) выполняется автоматическая очистка метаданных в AD. И в общем случае никаких дополнительных ручных манипуляций, описанных ниже, выполнять не нужно.

Для ручного удаления контроллера домена из Active Directory подойдет утилита NTDSUTIL.  NTDSUTIL – это утилита командной строки, которая предназначена для выполнения различных сложных операций с ActiveDirectory, в том числе процедур обслуживания,  управления и модификации Active Directory. Я уже писал об использовании Ntdsutil для создания снимков (snapshot) Active Directory.

Следующая инструкция позволит вручную удалить неисправный контроллер домена.

Примечание: при использовании NTDSUTIL не обязательно вводит команду целиком, достаточно ввести  информацию, позволяющую однозначно идентифицировать команду, например вместо того, чтобы набирать metadata cleanup, можно набрать met cle, или m c

  • Откройте командную строку
  • Наберите
    ntdsutil

    (все последующие команды будут вводится в контексте ntdsutil)

  • metadata cleanup
  • connections

  • Наберите
    connect to server

    , где <ServerName> — имя работоспособного контроллера домена, хозяина операций

  • quit

  • select operation target

  • list sites

  • select site <#>

    , где <#> — где  – номер сайта, в котором находился неисправный контроллер домена (команда list sites отобразит номер сайта)

  • list servers in site

  • select server <#>

    ,

    где <#> -где  – номер неисправного контроллера домена (команда list servers отобразит номер сервера)

  • list domains

  • select domain <#>

    , где <#>  номер домена, в котором находится неисправный DC (команда list domains отобразит номер домена)

  • quit

    (вернемся в меню metadata cleanup)

  • remove selected server

    ( появится предупреждающее окно, следует убедится, что удаляется искомый контроллер домена)

  • Yes
  • Откройте консоль Active Directory Sites and Services
  • Разверните сайт, в котором находился ненужный DC
  • Проверьте, что данный контролер не содержит никаких объектов
  • Щелкните правой кнопкой по контроллеру и выберите Delete
  • Закройте консоль Active Directory Sites and Services
  • Откройте оснастку  Active Directory Users and Computers
  • Разверните OU «Domain Controllers»
  • Удалите учетную запись компьютера неисправного контроллера домена из данной OU
  • Откройте оснастку DNS Manager
  • Найдите зону DNS, для которой ваш контроллер домена был DNS сервером
  • Щелкните правой кнопкой мыши по зоне и выберите Properties
  • Перейдите на вкладку серверов Name Servers
  • Удалите запись неисправного DC
  • Нажмите ОК, для того чтобы удалить все оставшиеся DNS записи: HOST (A) или Pointer (PTR
  • Удостоверьтесь, что в зоне не осталось никаких DNS записей, связанных с удаленным контроллером домена
  • Вот и все, мы полностью удалили из DNS и Active Directory неисправный контроллер домена и все ресурсы, связанные с ним.

    winitpro.ru

    Удаление вышедшего из строя контроллера домена из Active Directory — GEEK LIBRARY

    Может случится ситуация, когда нам необходимо по каким-то причинам вывести контроллер домена из AD (физический выход из строя сервера, например) . При этом необходимо выполнить правильное удаление неактивного DC из Active Direcroty. Проведем пошаговое удаление вышедшего из строя контроллера домена из Active Directory с помощью утилиты NTDSutil.

    1. Выполним вход на работающий контролер домена под учетной записью администратора домена.

    2. В командной строке Windows или в окне PowerShell наберем команду:

    Операционная система запросит у вас подтверждение на запуск приложения с расширенными правами. Согласимся и продолжим.

    3. Далее введем команду:

    Кстати, команды в утилите ntdsutil вводить полностью не обязательно, т.е. ввести указанную выше команду можно met cle. Приложение поймет вас!

    4. Далее введём команду

    В результате отработки этой команды будет выведено приглашение на подключение к серверу:

    5. Далее необходимо подключиться к исправному контролеру домена командой: connect to server ServerName, где ServerName — имя исправного DC с которого будет производиться процедура удаления.

    server connections: connect to server college-dc01

    Binding to ServerName...
    Connected to ServerName using credentials of locally logged on user.



    server connections: connect to server college-dc01

     

    Binding to ServerName...

    Connected to ServerName using credentials of locally logged on user.

    6. После успешного подключения к работоспособному DC выходим из server connections командой quit и нажимаем ввод — появляется приглашение metadata cleanup:

    server connections: quit
    metadata cleanup:



    server connections: quit

    metadata cleanup:

    7. Вводим команду: select operation target

    metadata cleanup: select operation target
    select operation target:



    metadata cleanup: select operation target

    select operation target:

    8. Просмотрим список имеющихся у нас доменов командой: list domains, где «0» — порядковый номер домена, в котором находится неисправный DC; «College» — имя вашего домена. В моем примере в лесу имеется единственны домен под номером «0»

    select operation target: list domain
    Found 1 domain(s)
    0 - DC=College,DC=local



    select operation target: list domain

    Found 1 domain(s)

    0 - DC=College,DC=local

    9. Выбираем интересующий нас домен командой: select domain 0

    select operation target: select domain 0
    No current site
    Domain - DC=College,DC=local
    No current server
    No current Naming Context



    select operation target: select domain 0

    No current site

    Domain - DC=College,DC=local

    No current server

    No current Naming Context

    10. Посмотрим список сайтов выбранного нами домена с помощью команды list site

    select operation target: list sites
    Found 1 site(s)
    0 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=College,DC=local



    select operation target: list sites

    Found 1 site(s)

    0 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=College,DC=local

    11. Выбирем сайт, в котором состоит неисправный DC командой: select site 0 (в моем случае это Default-First-Site-Name)

    select operation target: select site 0
    Site - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=College,DC=local
    Domain - DC=College,DC=local
    No current server



    select operation target: select site 0

    Site - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=College,DC=local

    Domain - DC=College,DC=local

    No current server

    12. Команда list servers in site – выводит список DC в выбранном нами сайте. Необходимо запомнить каким числом представлен неисправный DC и ввести эту цифру в следующей операции:

    select operation target: list servers in site
    Found 2 server(s)
    0 - CN=College-DC01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=College,DC=local
    1 - CN=College-DC02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=College,DC=local



    select operation target: list servers in site

    Found 2 server(s)

    0 - CN=College-DC01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=College,DC=local

    1 - CN=College-DC02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=College,DC=local

    13. Выбираем неисправный DC командой: select server 1 (где «1» номер неисправного DC, который необходимо удалить).

    select operation target: select server 1
    Site - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=College,DC=local
    Domain - DC=College,DC=local
    Server - CN=College-DC02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=College,DC=local
    DSA object - CN=NTDS Settings,CN=College-DC02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=College,DC=local
    DNS host name – College-DC02.College.local
    Computer object - CN=College-DC02,OU=Domain Controllers,DC=College,DC=local
    No current Naming Context



    select operation target: select server 1

    Site - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=College,DC=local

    Domain - DC=College,DC=local

    Server - CN=College-DC02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=College,DC=local

    DSA object - CN=NTDS Settings,CN=College-DC02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=College,DC=local

    DNS host name – College-DC02.College.local

    Computer object - CN=College-DC02,OU=Domain Controllers,DC=College,DC=local

    No current Naming Context

    14. Командой quit — выходим из приглашения select operation target и попадаем в metadata cleanup

    select operation target: quit
    metadata cleanup:



    select operation target: quit

    metadata cleanup:

    15. Командой remove selected server мы вызовем диалоговое сообщение, которое предупредит вас об выбранной операции удаления неисправного DC. Прочтите его и если уверены в решении удалить выбранный DC – нажмите «ДА»

    metadata cleanup: Remove selected server



    metadata cleanup: Remove selected server

    16. Выйдем из утилиты ntdsutil командой quit (или просто введите букву q и нажмите ВВОД).

    17. Откройте оснастку Active Directory Users and Computers и убедитесь в отсутствии объекта неисправного контроллера домена (того, что мы только что удалили) в OU Domain Controllers

    18. Откройте оснастку Active Directory Sites and Services выберите сайт, из которого мы удаляли неисправный DC, раскройте контейнер Servers и удалите объект неисправного DC с помощью вызова контекстного меню.

    19. Откройте оснастку DNS и там так же удалите всю оставшуюся информацию об уделенном нами неисправном DC во всех зонах и вложенных в них контейнерах.