Удаляем неисправный контроллер домена при помощи утилиты NTDSUTIL | Windows для системных администраторов

Удаляем неисправный контроллер домена при помощи утилиты NTDSUTIL

Нередки ситуации, когда системному администратору приходится вручную удалять контроллер домена из Active Directory. Такие ситуации возникают при физическом выходе из строя севера с ролью контроллера домена или другой нештатной ситуации. Естественно, наиболее предпочтительно удалить контроллер домена при помощи команды DCPROMO (подробно DCPROMO и ее параметрах) Однако, что же делать, если контроллер домена недоступен (выключен, сломался, недоступен по сети)?

Естественно, нельзя просто удалить учетную запись контроллера домена при помощи оснастки Active Directory User and Computer. Для ручного удаления контроллера домена из Active Directory подойдет утилита NTDSUTIL.  NTDSUTIL – это утилита командной строки, которая предназначена для выполнения различных сложных операций с ActiveDirectory, в том числе процедур обслуживания,  управления и модификации Active Directory. Я уже писал об использовании Ntdsutil для создания снимков (snapshot) Active Directory.

Следующая инструкция позволит вручную удалить неисправный контроллер домена.

Примечание: при использовании NTDSUTIL не обязательно вводит команду целиком, достаточно ввести  информацию, позволяющую однозначно идентифицировать команду, например вместо того, чтобы набирать metadata cleanup, можно набрать met cle, или m c

  • Откройте командную строку
  • Наберите
    ntdsutil

    (все последующие команды будут вводится в контексте ntdsutil)

  • metadata cleanup
  • connections

  • Наберите
    connect to server

    , где <ServerName> — имя работоспособного контроллера домена, хозяина операций

  • quit

  • select operation target

  • 
    
  • list sites

  • select site <#>

    , где <#> — где  – номер сайта, в котором находился неисправный контроллер домена (команда list sites отобразит номер сайта)

  • list servers in site

  • select server <#>

    , где <#> -где  – номер неисправного контроллера домена (команда list servers отобразит номер сервера)

  • list domains

  • select domain <#>

    , где <#>  номер домена, в котором находится неисправный DC (команда list domains отобразит номер домена)

  • quit

    (вернемся в меню metadata cleanup)

  • remove selected server

    ( появится предупреждающее окно, следует убедится, что удаляется искомый контроллер домена)

  • Yes
  • Откройте консоль Active Directory Sites and Services
  • Разверните сайт, в котором находился ненужный DC
  • Проверьте, что данный контролер не содержит никаких объектов
  • Щелкните правой кнопкой по контроллеру и выберите Delete
  • Закройте консоль Active Directory Sites and Services
  • Откройте оснастку  Active Directory Users and Computers
  • Разверните OU «Domain Controllers»
  • Удалите учетную запись компьютера неисправного контроллера домена из данной OU
  • Откройте оснастку DNS Manager
  • Найдите зону DNS, для которой ваш контроллер домена был DNS сервером
  • Щелкните правой кнопкой мыши по зоне и выберите Properties
  • Перейдите на вкладку серверов Name Servers
  • Удалите запись неисправного DC
  • Нажмите ОК, для того чтобы удалить все оставшиеся DNS записи: HOST (A) или Pointer (PTR
  • Удостоверьтесь, что в зоне не осталось никаких DNS записей, связанных с удаленным контроллером домена

Вот и все, мы полностью удалили из DNS и Active Directory неисправный контроллер домена и все ресурсы, связанные с ним.

Еще записи по теме: Active Directory
Понравилась статья? Скажи спасибо и расскажи друзьям!
Назад:
Вперед:

Комментариев: 12

Оставить комментарий
  1. dazran | 22.10.2011

    Начиная с 2008 вроде можно без всяких dcpromo просто грохнуть в оснастке Active Directory User and Computer

    Ответить
  2. itpro | 24.10.2011

    грохнуть то можно, а кто мусор чистить будет?

    Ответить
  3. dazran | 24.10.2011

    Система сама это не сделает? Вроде тупой процесс могли бы и оптимизировать. Надо будет как-нибудь проверить удалить через оснастку и зайти в ntdsutil.exe посмотреть что осталось.

    http://support.microsoft.com/kb/216498

    Если объект NTDS Settings не был удален корректно (например, после попытки понижения роли), администратор может вручную удалить метаданные объекта сервера. В ОС Windows Server 2008 и Windows Server 2008 R2 администратор может сделать это, удалив объект сервера в оснастке «Пользователи и компьютеры Active Directory».

    В ОС Windows Server 2003 и Windows 2000 Server для удаления объекта NTDS Settings администратор может использовать программу Ntdsutil.exe. Ниже приведены инструкции по удалению объекта NTDS Settings из Active Directory для заданного контроллера домена. В каждом меню программы Ntdsutil для получения сведений о доступных параметрах можно использовать команду help.

    Ответить
  4. Raimond | 23.01.2012

    Спасибо за статью. Очень грамотно и лаконично рассказано. Проделал это в тестовой среде и найдя несколько «косяков» и дополнений(от себя), хочу о них сообщить (что бы не искать, как мне, их причины или может статью автор решит подкорректировать):

    не: select operations target
    а: select operation target

    не: select site , где – имя сайта, в котором находился неисправный контроллер домена;
    а: select site , где – номер сайта, в котором находился неисправный контроллер домена (команда list sites отобразит номер сайта);

    не: select server , где – имя неисправного контроллера домена
    а: select server , где – номер неисправного контроллера домена (команда list servers отобразит номер сервера);

    не: select domain , где – домен, в котором находится неисправный DC;
    а: select domain , где – номер домена, в котором находится неисправный DC (команда list domains отобразит номер домена);

    Разверните OU «Domain Controllers» — учетной записи у меня уже не было!

    Найдите зону DNS, для которой ваш контроллер домена был DNS сервером + зона _msdcs

    Ответить
  5. itpro | 31.01.2012

    Raimond, Спасибо за комментарии, статью подкорректировал!

    Ответить
  6. DimanG | 19.08.2016

    А у меня вот что:
    metadata cleanup: remove selected server
    Передача или захват ролей FSMO от выбранного сервера.
    DsRemoveDsServerW ошибка 0x5(Отказано в доступе.)

    Ответить
    • itpro | 23.08.2016

      Из под какого пользователя выполняете команду?
      С помощью консоли ADUC поставьте и снимите в свойствах DC на вкладке Object галку «Protect this object from accidental deletion»

      Ответить
      • itpro | 23.08.2016

        Также проверьте на наличие этой же установленой галки в консоли AD sites and Services

        Ответить
  7. Олег | 30.09.2016

    Всё это пересказы, которые работают в домашних идеальных условиях. И нифига не заработало у меня на практике. Как только изолировал главный контр домена из продакшн среды в тестовую, начались пляски с бубном «Невозможно подключиться к домену». В NTDSUtil после запуска select domain 0 (допустим) пишет нет текущего сайта, нет текущего именования и т.п. Уже неск дней дрюкаюсь.

    Ответить
    • Антон | 18.10.2016

      !0 минут назад с помощью данной статью удалил «умерший» контроллер из домена. Спасибо!

      Ответить
      • Олег | 18.10.2016

        NTDSUtil работает, да. Я несколько недель боролся с др ошибкой «невозможно подключиться к контроллеру домена» если его скопировать в изолированную среду для экспериментов (майкрософтовская бяка, которую они ввели на всякий случай для подстраховки) пока не нашел решение.. и уже сотни столкнулись с этим как и я. https://social.technet.microsoft.com/Forums/ru-RU/dcb07a5a-d748-4a29-89ba-3ed930f07ea8/-?forum=WS8ru

        Ответить
  8. Олег | 20.01.2017

    Всё сделал по Вашей инструкции, но после команды удаления DC вылетала ошибка «DsRemoveDsServerW error 0x5(Access is denied.)» Помогло это:
    1) Log onto Windows as the ENTERPRISE ADMIN.
    or
    2) Within NTDSUTIL do the following steps:
    a) Type «metadata cleanup» (without the quotation marks), and then press ENTER.
    b) Type «connections» (without the quotation marks) and press ENTER.
    c) Type «set creds » (without the quotation marks) and press ENTER.
    d) Type «connect to server » (without the quotation marks) and press ENTER. For a null password, type «null» (without the quotation marks) for the password parameter. (Of course, if your ENTERPRISE ADMIN has a null password, you really need to consider another line of work.)

    Ответить
Полные правила комментирования на сайте winitpro.ru. Вопросы, не связанные с содержимым статьи или ее обсуждением удаляются.

Сказать Спасибо! можно на этой странице или (еще лучше) поделиться с друзями ссылкой на понравившуюся статью в любимой социальной сети(специально для этого на сайте присуствуют кнопки популярных соц. сетей).

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Я не робот( Обязательно отметьте)



MAXCACHE: 0.26MB/0.00108 sec