Tw-city.info

IT Новости
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Ntdsutil удаление контроллера домена

Ntdsutil удаление контроллера домена

Вопрос

Есть лес на 2012-м домене (firma.ru). В филиале, местный It-шник, поторопясь, поднял дочерний домен child.firma.ru и в нем домен контроллер свой. Потом осознав поспешность своих действий тупо форматнул сервер с домен-контроллером. В итоге мы имеем ненужный дочерний домен и неправильно удаленный домен-контроллер.
Про утилиту ntdsutil я слышал. С ее помощью потерянный домен контроллер я удалил. Думал, так же легко удалю и не нужный дочерний домен. Но. при попытке удаления выходит следующая ошибка:
DsRemoveDsDomainW error 0x2015(The directory service can perform the requested operation only on a leaf object.)

Попытался сделать через ntdsutil remove selected naming context опять таже ошибка:

DsRemoveDsDomainW error 0x2015(The directory service can perform the requested operation only on a leaf object.)

Что делать? Как удалить ненужный дочерний домен?

Ответы

Нашел решение, может кому пригодится:

Если у вас появилась ошибка
DsRemoveDsDomainW error 0x2015 The directory service can perform the requested operation only on a leaf object

То сначала нужно почистить дочерние записи в этом домене. Для этого делаем следующее:

  1. В командной строке введитеntdsutilи нажмите клавишу ВВОД.
  2. Введитеdomain managementилиpartition management(зависит от версии ОС) и нажмите клавишу ВВОД. Можно сокращать,например,part man
  3. Введите командуconnectionsи нажмите клавишу ВВОД.
  4. Введите командуconnect to serverимя_серверас ролью мастера именования доменови нажмите клавишу ВВОД.
  5. Введите командуquitи нажмите клавишу ВВОД. Появится менюdomain managementилиpartition management.
  6. Введите командуlistи нажмите клавишу ВВОД. Появится список именных контекстов (NCs).

Например,

«Found 7 Naming Context(s)
0 — CN=Configuration,DC=savilltech,DC=com
1 — DC=savilltech,DC=com
2 — CN=Schema,CN=Configuration,DC=savilltech,D C=com
3 — DC=DomainDnsZones,DC=savilltech,DC=com
4 — DC=ForestDnsZones,DC=savilltech,DC=com
5 — DC=child1,DC=savilltech,DC=com
6 — DC=DomainDnsZones,DC=child1,DC=savilltec h,DC=com»

Если мы пытались удалить домен 5 — DC=child1,DC=savilltech,DC=com, то у нас это не получилось, так как он содержит дочернюю запись 6 — DC=DomainDnsZones,DC=child1,DC=savilltec h,DC=com.
Следовательно сейчас нам надо удалить все дочерние объекты данного домена. В данном примере нужно выполнить следующее:

7. domain management: delete NC DC=DomainDnsZones,DC=child1,DC=savilltec h,dc=com

Появится что-то типа этого
«The operation was successful. The partition has been marked for removal from the enterprise. It will be removed over time in the background».

8. Введите в каждом меню команду quit и нажмите клавишу ВВОД, чтобы завершить работу с программой Ntdsutil.

Удаляем неисправный контроллер домена при помощи утилиты NTDSUTIL

Нередки ситуации, когда системному администратору приходится вручную удалять контроллер домена из Active Directory. Такие ситуации возникают при физическом выходе из строя севера с ролью контроллера домена или другой нештатной ситуации. Естественно, наиболее предпочтительно удалить контроллер домена при помощи команды DCPROMO (подробно DCPROMO и ее параметрах) Однако, что же делать, если контроллер домена недоступен (выключен, сломался, недоступен по сети)?

Естественно, нельзя просто удалить учетную запись контроллера домена при помощи оснастки Active Directory User and Computer.

Для ручного удаления контроллера домена из Active Directory подойдет утилита NTDSUTIL. NTDSUTIL – это утилита командной строки, которая предназначена для выполнения различных сложных операций с ActiveDirectory, в том числе процедур обслуживания, управления и модификации Active Directory. Я уже писал об использовании Ntdsutil для создания снимков (snapshot) Active Directory.

Следующая инструкция позволит вручную удалить неисправный контроллер домена.

Примечание: при использовании NTDSUTIL не обязательно вводит команду целиком, достаточно ввести информацию, позволяющую однозначно идентифицировать команду, например вместо того, чтобы набирать metadata cleanup, можно набрать met cle, или m c

  • Откройте командную строку
  • Наберите

, где — имя работоспособного контроллера домена, хозяина операций

, где -где – номер неисправного контроллера домена (команда list servers отобразит номер сервера)

, где номер домена, в котором находится неисправный DC (команда list domains отобразит номер домена)

(вернемся в меню metadata cleanup)

( появится предупреждающее окно, следует убедится, что удаляется искомый контроллер домена)

  • Yes
  • Откройте консоль Active Directory Sites and Services
  • Разверните сайт, в котором находился ненужный DC
  • Проверьте, что данный контролер не содержит никаких объектов
  • Щелкните правой кнопкой по контроллеру и выберите Delete
  • Закройте консоль Active Directory Sites and Services
  • Откройте оснастку Active Directory Users and Computers
  • Разверните OU «Domain Controllers»
  • Удалите учетную запись компьютера неисправного контроллера домена из данной OU
  • Откройте оснастку DNS Manager
  • Найдите зону DNS, для которой ваш контроллер домена был DNS сервером
  • Щелкните правой кнопкой мыши по зоне и выберите Properties
  • Перейдите на вкладку серверов NameServers
  • Удалите запись неисправного DC
  • Нажмите ОК, для того чтобы удалить все оставшиеся DNS записи: HOST (A) или Pointer (PTR
  • Удостоверьтесь, что в зоне не осталось никаких DNS записей, связанных с удаленным контроллером домена
  • Вот и все, мы полностью удалили из DNS и Active Directory неисправный контроллер домена и все ресурсы, связанные с ним.

    Удаление вышедшего из строя контроллера домена из Active Directory

    Может случится ситуация, когда нам необходимо по каким-то причинам вывести контроллер домена из AD (физический выход из строя сервера, например) . При этом необходимо выполнить правильное удаление неактивного DC из Active Direcroty. Проведем пошаговое удаление вышедшего из строя контроллера домена из Active Directory с помощью утилиты NTDSutil.

    1. Выполним вход на работающий контролер домена под учетной записью администратора домена.

    2. В командной строке Windows или в окне PowerShell наберем команду:

    Операционная система запросит у вас подтверждение на запуск приложения с расширенными правами. Согласимся и продолжим.

    3. Далее введем команду:

    Кстати, команды в утилите ntdsutil вводить полностью не обязательно, т.е. ввести указанную выше команду можно met cle. Приложение поймет вас!

    4. Далее введём команду

    В результате отработки этой команды будет выведено приглашение на подключение к серверу:

    5. Далее необходимо подключиться к исправному контролеру домена командой: connect to server ServerName, где ServerName — имя исправного DC с которого будет производиться процедура удаления.

    6. После успешного подключения к работоспособному DC выходим из server connections командой quit и нажимаем ввод — появляется приглашение metadata cleanup:

    7. Вводим команду: select operation target

    8. Просмотрим список имеющихся у нас доменов командой: list domains, где «0» — порядковый номер домена, в котором находится неисправный DC; «College» — имя вашего домена. В моем примере в лесу имеется единственны домен под номером «0»

    9. Выбираем интересующий нас домен командой: select domain 0

    10. Посмотрим список сайтов выбранного нами домена с помощью команды list site

    11. Выбирем сайт, в котором состоит неисправный DC командой: select site 0 (в моем случае это Default-First-Site-Name)

    12. Команда list servers in site – выводит список DC в выбранном нами сайте. Необходимо запомнить каким числом представлен неисправный DC и ввести эту цифру в следующей операции:

    13. Выбираем неисправный DC командой: select server 1 (где «1» номер неисправного DC, который необходимо удалить).

    14. Командой quit — выходим из приглашения select operation target и попадаем в metadata cleanup

    15. Командой remove selected server мы вызовем диалоговое сообщение, которое предупредит вас об выбранной операции удаления неисправного DC. Прочтите его и если уверены в решении удалить выбранный DC – нажмите «ДА»

    16. Выйдем из утилиты ntdsutil командой quit (или просто введите букву q и нажмите ВВОД).

    17. Откройте оснастку Active Directory Users and Computers и убедитесь в отсутствии объекта неисправного контроллера домена (того, что мы только что удалили) в OU Domain Controllers

    18. Откройте оснастку Active Directory Sites and Services выберите сайт, из которого мы удаляли неисправный DC, раскройте контейнер Servers и удалите объект неисправного DC с помощью вызова контекстного меню.

    19. Откройте оснастку DNS и там так же удалите всю оставшуюся информацию об уделенном нами неисправном DC во всех зонах и вложенных в них контейнерах.

    Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter .

    Удаление недоступного домен-контроллера с помощью ntdsutil ­ Дневник ­ Максим Боголепов

    Удаление недоступного домен-контроллера с помощью ntdsutil

    • srv-krasnodar – оставшийся единственным домен-контроллер (Windows Server 2003 R2);
    • srv-moscow – вышестоящий не доступный домен-контроллер;
    • Moskva – не доступный сайт (сегмент сети) головной компании;
    • Krasnodar – сайт оставшегося сегмента сети;
    • domain.ru – наименование домена,
    • все команды выполняются от имени администратора домена.

    Команды выполняются на srv-krasnodar:

    Выбираем сайт, в котором необходимо удалить несуществующий более домен-контроллер:

    Выбираем сервер для удаления из AD:

    Выбираем домен в котором необходимо удалить несуществующий более домен-контроллер:

    Пытаемся удалить выбранный сервер:

    В моём случае выскочила ошибка DsRemoveDsServerW ошибка 0x5(Отказано в доступе.) , которая означает, что объект AD – удаляемый сервер, в соответствии с рекомендациями защищён от случайного удаления.

    Чтобы снять данную защиту, на домен контроллере под управлением Windows Server 2008 и выше в оснастке Active Directory – пользователи и компьютеры в меню Вид необходимо выбрать пункт Дополнительные компоненты:

    Тогда на появившейся вкладке Объект свойств удаляемого домен-контроллера вы можете снять галочку Защитить объект от случайного удаления:

    В нашем случае, на контроллере домена под управлением Windows Server 2003 R2 такой вкладки с помощью GUI мы не увидим. Чтобы всё-таки снять данную защиту, необходимо в оснастке Active Directory – пользователи и компьютеры в свойствах удаляемого сервера зайти на вкладку Безопасность -> Дополнительно -> Выбрать разрешения для Все -> нажать Изменить… -> Снять галочки с запрета на Удаление и Удалить поддерево -> Нажать ОК:

    После выполнения данной операции удаление несуществующего домен-контроллера произойдёт без ошибки:

    Теперь в оснастке Active Directory – сайты и службы вы можете удалить более не нужные подсети и сайты. Если вы столкнётесь с ошибкой, что у вас нет достаточных привилегий для удаления того или иного объекта (Сайта, NTDS settings) – то с большой долей вероятности можно говорить о том, что он тоже защищён от случайного удаления. Для устранения таких ошибок вам следует выполнить те же операции по снятию данной защиты, которые мы произвели при удалении недоступного домен-контроллера…

    Нам осталось внимательнейшим образом просмотреть DNS с помощью соответствующей оснастки на предмет очистки данной службы от теперь уже устаревших записей, после чего нашу задачу по удалению более не существующего в сети домен-контроллера можно считать выполненной. В завершении, конечно, необходимо провести аудит доменных политик, служб DFS и т.д. (всего того, где мог быть задействован удалённый сервер).

    • Currently 3.67/5
    • 1
    • 2
    • 3
    • 4
    • 5

    Rating: 3.7/5(3 votes cast)

    Ntdsutil удаление контроллера домена

    Золотое правило: НИКОГДА не называйте компы именами свежепреставившихся серверов!

    . adsiedit.msc из support tools ну и из днс конечно же вычистить.

    Aww
    десять раз перечитывал, все сделал как там написано, делаю еще раз, нету уже контроллера в списке, а в АД висит
    LevT
    adsiedit.msc все почистил, только тоже висит в контроллерах домена и при попытке удаления пишет тоже самое «аксес денайд»

    вот что выдали тесты: dcdiag, netdiag, dcdiag /test:fsmocheck

    C:Program FilesSupport Tools>dcdiag

    Domain Controller Diagnosis

    Performing initial setup:
    Done gathering initial info.

    Doing initial required tests

    Testing server: Default-First-Site-NameEHSIK-SERVER
    Starting test: Connectivity
    . EHSIK-SERVER passed test Connectivity

    Doing primary tests

    Testing server: Default-First-Site-NameEHSIK-SERVER
    Starting test: Replications
    . EHSIK-SERVER passed test Replications
    Starting test: NCSecDesc
    . EHSIK-SERVER passed test NCSecDesc
    Starting test: NetLogons
    . EHSIK-SERVER passed test NetLogons
    Starting test: Advertising
    . EHSIK-SERVER passed test Advertising
    Starting test: KnowsOfRoleHolders
    . EHSIK-SERVER passed test KnowsOfRoleHolders
    Starting test: RidManager
    . EHSIK-SERVER passed test RidManager
    Starting test: MachineAccount
    . EHSIK-SERVER passed test MachineAccount
    Starting test: Services
    . EHSIK-SERVER passed test Services
    Starting test: ObjectsReplicated
    . EHSIK-SERVER passed test ObjectsReplicated
    Starting test: frssysvol
    . EHSIK-SERVER passed test frssysvol
    Starting test: frsevent
    . EHSIK-SERVER passed test frsevent
    Starting test: kccevent
    . EHSIK-SERVER passed test kccevent
    Starting test: systemlog
    An Error Event occured. EventID: 0x00000457
    Time Generated: 07/09/2007 13:38:15
    (Event String could not be retrieved)
    An Error Event occured. EventID: 0x40000004
    Time Generated: 07/09/2007 13:40:48
    Event String: The kerberos client received a
    . EHSIK-SERVER failed test systemlog
    Starting test: VerifyReferences
    . EHSIK-SERVER passed test VerifyReferences

    Running partition tests on : Schema
    Starting test: CrossRefValidation
    . Schema passed test CrossRefValidation
    Starting test: CheckSDRefDom
    . Schema passed test CheckSDRefDom

    Running partition tests on : Configuration
    Starting test: CrossRefValidation
    . Configuration passed test CrossRefValidation
    Starting test: CheckSDRefDom
    . Configuration passed test CheckSDRefDom

    Running partition tests on : eurohold
    Starting test: CrossRefValidation
    . eurohold passed test CrossRefValidation
    Starting test: CheckSDRefDom
    . eurohold passed test CheckSDRefDom

    Running enterprise tests on : eurohold.lan
    Starting test: Intersite
    . eurohold.lan passed test Intersite
    Starting test: FsmoCheck
    . eurohold.lan passed test FsmoCheck

    C:Program FilesSupport Tools>netdiag

    Computer Name: EHSIK-SERVER
    DNS Host Name: ehsik-server.eurohold.lan
    System info : Windows 2000 Server (Build 3790)
    Processor : x86 Family 15 Model 4 Stepping 1, GenuineIntel
    List of installed hotfixes :
    KB890046
    KB893756
    KB896358
    KB896422
    KB896424
    KB896428
    KB898715
    KB899587
    KB899588
    KB899589
    KB899591
    KB900725
    KB901017
    KB901190
    KB901214
    KB902400
    KB904706
    KB905414
    KB908519
    KB908531
    KB910437
    KB911562
    KB911567
    KB911927
    KB912812
    KB912919
    KB913446
    Q147222

    Netcard queries test . . . . . . . : Passed

    Per interface results:

    Adapter : Local Area Connection

    Netcard queries test . . . : Passed

    Host Name. . . . . . . . . : ehsik-server
    IP Address . . . . . . . . : 192.168.3.251
    Subnet Mask. . . . . . . . : 255.255.255.0
    Default Gateway. . . . . . : 192.168.3.254
    Dns Servers. . . . . . . . : 192.168.3.69

    AutoConfiguration results. . . . . . : Passed

    Default gateway test . . . : Passed

    NetBT name test. . . . . . : Passed
    [WARNING] At least one of the ‘WorkStation Service’, ‘Messenge
    r Service’, ‘WINS’ names is missing.

    WINS service test. . . . . : Skipped
    There are no WINS servers configured for this interface.

    Domain membership test . . . . . . : Passed

    NetBT transports test. . . . . . . : Passed
    List of NetBt transports currently configured:
    NetBT_Tcpip_<24B402A9-2EAA-4A0E-957D-671B4F091005>
    1 NetBt transport currently configured.

    Autonet address test . . . . . . . : Passed

    IP loopback ping test. . . . . . . : Passed

    Default gateway test . . . . . . . : Passed

    NetBT name test. . . . . . . . . . : Passed
    [WARNING] You don’t have a single interface with the ‘WorkStation Servi
    ce’, ‘Messenger Service’, ‘WINS’ names defined.

    Winsock test . . . . . . . . . . . : Passed

    DNS test . . . . . . . . . . . . . : Passed
    PASS — All the DNS entries for DC are registered on DNS server ‘192.168.3.69
    ‘ and other DCs also have some of the names registered.

    Redir and Browser test . . . . . . : Passed
    List of NetBt transports currently bound to the Redir
    NetBT_Tcpip_<24B402A9-2EAA-4A0E-957D-671B4F091005>
    The redir is bound to 1 NetBt transport.

    List of NetBt transports currently bound to the browser
    NetBT_Tcpip_<24B402A9-2EAA-4A0E-957D-671B4F091005>
    The browser is bound to 1 NetBt transport.

    DC discovery test. . . . . . . . . : Passed

    DC list test . . . . . . . . . . . : Passed

    Trust relationship test. . . . . . : Skipped

    Kerberos test. . . . . . . . . . . : Passed

    LDAP test. . . . . . . . . . . . . : Passed

    Bindings test. . . . . . . . . . . : Passed

    WAN configuration test . . . . . . : Skipped
    No active remote access connections.

    Modem diagnostics test . . . . . . : Passed

    IP Security test . . . . . . . . . : Skipped

    Note: run «netsh ipsec dynamic show /?» for more detailed information

    The command completed successfully

    C:Program FilesSupport Tools>dcdiag /test:fsmocheck

    Domain Controller Diagnosis

    Performing initial setup:
    Done gathering initial info.

    Doing initial required tests

    Testing server: Default-First-Site-NameEHSIK-SERVER
    Starting test: Connectivity
    . EHSIK-SERVER passed test Connectivity

    Doing primary tests

    Testing server: Default-First-Site-NameEHSIK-SERVER

    Running partition tests on : Schema

    Running partition tests on : Configuration

    Running partition tests on : eurohold

    Running enterprise tests on : eurohold.lan
    Starting test: FsmoCheck
    . eurohold.lan passed test FsmoCheck

    Добавление от 10.07.2007 09:35:

    нашел еще две записи по старому серваку
    adsiedit — domain — dc=eurohold,dc=lan — cn=users и там две записи CN=IUSR-CH-RESERVER и CN=IWAM-CH-RESERVER (CH-RESERVER имя упавшего сервера), навига эти записи и что с ними делать.
    и что делать с записями в днс (domaindnszones и forestdnszones) о старом сервере — удалить ветки или переименовать и поставить адрес и имя снрвера на котором сейчас днс стоит.

    Добавление от 10.07.2007 10:01:

    C:Program FilesSupport Tools>dcdiag /c

    Domain Controller Diagnosis

    Performing initial setup:
    Done gathering initial info.

    Doing initial required tests

    Testing server: Default-First-Site-NameEHSIK-SERVER
    Starting test: Connectivity
    . EHSIK-SERVER passed test Connectivity

    Doing primary tests

    Testing server: Default-First-Site-NameEHSIK-SERVER
    Starting test: Replications
    . EHSIK-SERVER passed test Replications
    Starting test: Topology
    . EHSIK-SERVER passed test Topology
    Starting test: CutoffServers
    . EHSIK-SERVER passed test CutoffServers
    Starting test: NCSecDesc
    . EHSIK-SERVER passed test NCSecDesc
    Starting test: NetLogons
    . EHSIK-SERVER passed test NetLogons
    Starting test: Advertising
    . EHSIK-SERVER passed test Advertising
    Starting test: KnowsOfRoleHolders
    . EHSIK-SERVER passed test KnowsOfRoleHolders
    Starting test: RidManager
    . EHSIK-SERVER passed test RidManager
    Starting test: MachineAccount
    . EHSIK-SERVER passed test MachineAccount
    Starting test: Services
    . EHSIK-SERVER passed test Services
    Starting test: OutboundSecureChannels
    ** Did not run Outbound Secure Channels test
    because /testdomain: was not entered
    . EHSIK-SERVER passed test OutboundSecureChanne
    ls
    Starting test: ObjectsReplicated
    . EHSIK-SERVER passed test ObjectsReplicated
    Starting test: frssysvol
    . EHSIK-SERVER passed test frssysvol
    Starting test: frsevent
    . EHSIK-SERVER passed test frsevent
    Starting test: kccevent
    . EHSIK-SERVER passed test kccevent
    Starting test: systemlog
    . EHSIK-SERVER passed test systemlog
    Starting test: VerifyReplicas
    . EHSIK-SERVER passed test VerifyReplicas
    Starting test: VerifyReferences
    . EHSIK-SERVER passed test VerifyReferences
    Starting test: VerifyEnterpriseReferences
    The following problems were found while verifying various important DN
    references. Note, that these problems can be reported because of
    latency in replication. So follow up to resolve the following
    problems, only if the same problem is reported on all DCs for a given
    domain or if the problem persists after replication has had
    reasonable time to replicate changes.
    [1] Problem: Missing Expected Value
    Base Object:
    CN=CH-RESERVER,OU=Domain Controllers,DC=eurohold,DC=lan
    Base Object Description: «DC Account Object»
    Value Object Attribute Name: serverReferenceBL
    Value Object Description: «Server Object»
    Recommended Action: Check if this server is deleted, and if so
    clean up this DCs Account Object.

    [2] Problem: Missing Expected Value
    Base Object:
    CN=CH-RESERVER,OU=Domain Controllers,DC=eurohold,DC=lan
    Base Object Description: «DC Account Object»
    Value Object Attribute Name: frsComputerReferenceBL
    Value Object Description: «SYSVOL FRS Member Object»
    Recommended Action: See Knowledge Base Article: Q312862

    . EHSIK-SERVER failed test VerifyEnterpriseRefe
    rences

    Running partition tests on : Schema
    Starting test: CrossRefValidation
    . Schema passed test CrossRefValidation
    Starting test: CheckSDRefDom
    . Schema passed test CheckSDRefDom

    Running partition tests on : Configuration
    Starting test: CrossRefValidation
    . Configuration passed test CrossRefValidation
    Starting test: CheckSDRefDom
    . Configuration passed test CheckSDRefDom

    Running partition tests on : eurohold
    Starting test: CrossRefValidation
    . eurohold passed test CrossRefValidation
    Starting test: CheckSDRefDom
    . eurohold passed test CheckSDRefDom

    Читать еще:  Версия контроллера домена
    Ссылка на основную публикацию
    Adblock
    detector