Нередки ситуации, когда системному администратору приходится вручную удалять контроллер домена из Active Directory. Такие ситуации возникают при физическом выходе из строя севера с ролью контроллера домена или другой нештатной ситуации. Естественно, наиболее предпочтительно удалить контроллер домена при помощи команды DCPROMO (подробно DCPROMO и ее параметрах) Однако, что же делать, если контроллер домена недоступен (выключен, сломался, недоступен по сети)?
Естественно, нельзя просто удалить учетную запись контроллера домена при помощи оснастки Active Directory User and Computer.
Для ручного удаления контроллера домена из Active Directory подойдет утилита NTDSUTIL. NTDSUTIL – это утилита командной строки, которая предназначена для выполнения различных сложных операций с ActiveDirectory, в том числе процедур обслуживания, управления и модификации Active Directory. Я уже писал об использовании Ntdsutil для создания снимков (snapshot) Active Directory.
Следующая инструкция позволит вручную удалить неисправный контроллер домена.
Примечание: при использовании NTDSUTIL не обязательно вводит команду целиком, достаточно ввести информацию, позволяющую однозначно идентифицировать команду, например вместо того, чтобы набирать metadata cleanup, можно набрать met cle, или m c
- Откройте командную строку
- Наберите
ntdsutil
(все последующие команды будут вводится в контексте ntdsutil) -
metadata cleanup
-
connections
- Наберите
connect to server
, где <ServerName> — имя работоспособного контроллера домена, хозяина операций
-
quit
-
select operation target
list sites
select site <#>
, где <#> — где – номер сайта, в котором находился неисправный контроллер домена (команда list sites отобразит номер сайта)list servers in site
select server <#>
,
где <#> -где – номер неисправного контроллера домена (команда list servers отобразит номер сервера)list domains
select domain <#>
, где <#> номер домена, в котором находится неисправный DC (команда list domains отобразит номер домена)
quit
(вернемся в меню metadata cleanup)
remove selected server
( появится предупреждающее окно, следует убедится, что удаляется искомый контроллер домена)
Вот и все, мы полностью удалили из DNS и Active Directory неисправный контроллер домена и все ресурсы, связанные с ним.
Начиная с 2008 вроде можно без всяких dcpromo просто грохнуть в оснастке Active Directory User and Computer
грохнуть то можно, а кто мусор чистить будет?
Чистить будет сама оснастка Active Directory Users and Computers (или Active Directory Sites and Services, если удаляете оттуда): она, начиная с Win2K8, знает как.
Так что, всё же поправьте статью, чтобы не вводить людей в заблуждение.
Принимается, внесу поправки. Статья старая — писалась для 2003 домена.
у меня в инфраструктуре есть контролер на Server 2003. Соответственно и уровень домена автоматически по меньшей версии. В этом случае простое удаление контроллера не подчистил весь мусор.
Не автоматически. Допустим у вас домен 2003, вы туда вводите новый сервер 2008 и повышаете уровень домена до 2008. Переносите роли со старого сервера на новый, делаете новый сервер хранителем GC. При этом 2003 продолжит работать как второй резервный DC c GC, на нём даже будет открываться оснастка ADUC, но скорее всего с какими-нибудь глюками — после повышения лучше все настройки в ADUC делать на новом сервере 2008.
Перечитал что сам написал и ужаснулся ))
При введение в домен на 2003 Server нового DC на 2008 (например) мы должны повысить СХЕМУ на 2008, уровень домена при этом останется 2003. Но вопрос надо ли чистить метаданные при удалении 2003 DC в домене со схемой 2008 остаётся открытым. Старый DC в сайтах и сервисах останется но его NTDS данные — нет, что тогда чистить?
Система сама это не сделает? Вроде тупой процесс могли бы и оптимизировать. Надо будет как-нибудь проверить удалить через оснастку и зайти в ntdsutil.exe посмотреть что осталось.
http://support.microsoft.com/kb/216498
Если объект NTDS Settings не был удален корректно (например, после попытки понижения роли), администратор может вручную удалить метаданные объекта сервера. В ОС Windows Server 2008 и Windows Server 2008 R2 администратор может сделать это, удалив объект сервера в оснастке «Пользователи и компьютеры Active Directory».
В ОС Windows Server 2003 и Windows 2000 Server для удаления объекта NTDS Settings администратор может использовать программу Ntdsutil.exe. Ниже приведены инструкции по удалению объекта NTDS Settings из Active Directory для заданного контроллера домена. В каждом меню программы Ntdsutil для получения сведений о доступных параметрах можно использовать команду help.
Спасибо за статью. Очень грамотно и лаконично рассказано. Проделал это в тестовой среде и найдя несколько «косяков» и дополнений(от себя), хочу о них сообщить (что бы не искать, как мне, их причины или может статью автор решит подкорректировать):
не: select operations target
а: select operation target
не: select site , где – имя сайта, в котором находился неисправный контроллер домена;
а: select site , где – номер сайта, в котором находился неисправный контроллер домена (команда list sites отобразит номер сайта);
не: select server , где – имя неисправного контроллера домена
а: select server , где – номер неисправного контроллера домена (команда list servers отобразит номер сервера);
не: select domain , где – домен, в котором находится неисправный DC;
а: select domain , где – номер домена, в котором находится неисправный DC (команда list domains отобразит номер домена);
Разверните OU «Domain Controllers» — учетной записи у меня уже не было!
Найдите зону DNS, для которой ваш контроллер домена был DNS сервером + зона _msdcs
Raimond, Спасибо за комментарии, статью подкорректировал!
А у меня вот что:
metadata cleanup: remove selected server
Передача или захват ролей FSMO от выбранного сервера.
DsRemoveDsServerW ошибка 0x5(Отказано в доступе.)
Из под какого пользователя выполняете команду?
С помощью консоли ADUC поставьте и снимите в свойствах DC на вкладке Object галку «Protect this object from accidental deletion»
Также проверьте на наличие этой же установленой галки в консоли AD sites and Services
Всё это пересказы, которые работают в домашних идеальных условиях. И нифига не заработало у меня на практике. Как только изолировал главный контр домена из продакшн среды в тестовую, начались пляски с бубном «Невозможно подключиться к домену». В NTDSUtil после запуска select domain 0 (допустим) пишет нет текущего сайта, нет текущего именования и т.п. Уже неск дней дрюкаюсь.
!0 минут назад с помощью данной статью удалил «умерший» контроллер из домена. Спасибо!
NTDSUtil работает, да. Я несколько недель боролся с др ошибкой «невозможно подключиться к контроллеру домена» если его скопировать в изолированную среду для экспериментов (майкрософтовская бяка, которую они ввели на всякий случай для подстраховки) пока не нашел решение.. и уже сотни столкнулись с этим как и я. https://social.technet.microsoft.com/Forums/ru-RU/dcb07a5a-d748-4a29-89ba-3ed930f07ea8/-?forum=WS8ru
Всё сделал по Вашей инструкции, но после команды удаления DC вылетала ошибка «DsRemoveDsServerW error 0x5(Access is denied.)» Помогло это:
1) Log onto Windows as the ENTERPRISE ADMIN.
or
2) Within NTDSUTIL do the following steps:
a) Type «metadata cleanup» (without the quotation marks), and then press ENTER.
b) Type «connections» (without the quotation marks) and press ENTER.
c) Type «set creds » (without the quotation marks) and press ENTER.
d) Type «connect to server » (without the quotation marks) and press ENTER. For a null password, type «null» (without the quotation marks) for the password parameter. (Of course, if your ENTERPRISE ADMIN has a null password, you really need to consider another line of work.)
Спасибо! Получилось