Tw-city.info

IT Новости
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Удаление контроллера домена 2020 r2

Удаление недоступного домен-контроллера с помощью ntdsutil ­ Дневник ­ Максим Боголепов

Удаление недоступного домен-контроллера с помощью ntdsutil

  • srv-krasnodar – оставшийся единственным домен-контроллер (Windows Server 2003 R2);
  • srv-moscow – вышестоящий не доступный домен-контроллер;
  • Moskva – не доступный сайт (сегмент сети) головной компании;
  • Krasnodar – сайт оставшегося сегмента сети;
  • domain.ru – наименование домена,
  • все команды выполняются от имени администратора домена.

Команды выполняются на srv-krasnodar:

Выбираем сайт, в котором необходимо удалить несуществующий более домен-контроллер:

Выбираем сервер для удаления из AD:

Выбираем домен в котором необходимо удалить несуществующий более домен-контроллер:

Пытаемся удалить выбранный сервер:

В моём случае выскочила ошибка DsRemoveDsServerW ошибка 0x5(Отказано в доступе.) , которая означает, что объект AD – удаляемый сервер, в соответствии с рекомендациями защищён от случайного удаления.

Чтобы снять данную защиту, на домен контроллере под управлением Windows Server 2008 и выше в оснастке Active Directory – пользователи и компьютеры в меню Вид необходимо выбрать пункт Дополнительные компоненты:

Тогда на появившейся вкладке Объект свойств удаляемого домен-контроллера вы можете снять галочку Защитить объект от случайного удаления:

В нашем случае, на контроллере домена под управлением Windows Server 2003 R2 такой вкладки с помощью GUI мы не увидим. Чтобы всё-таки снять данную защиту, необходимо в оснастке Active Directory – пользователи и компьютеры в свойствах удаляемого сервера зайти на вкладку Безопасность -> Дополнительно -> Выбрать разрешения для Все -> нажать Изменить… -> Снять галочки с запрета на Удаление и Удалить поддерево -> Нажать ОК:

После выполнения данной операции удаление несуществующего домен-контроллера произойдёт без ошибки:

Теперь в оснастке Active Directory – сайты и службы вы можете удалить более не нужные подсети и сайты. Если вы столкнётесь с ошибкой, что у вас нет достаточных привилегий для удаления того или иного объекта (Сайта, NTDS settings) – то с большой долей вероятности можно говорить о том, что он тоже защищён от случайного удаления. Для устранения таких ошибок вам следует выполнить те же операции по снятию данной защиты, которые мы произвели при удалении недоступного домен-контроллера…

Нам осталось внимательнейшим образом просмотреть DNS с помощью соответствующей оснастки на предмет очистки данной службы от теперь уже устаревших записей, после чего нашу задачу по удалению более не существующего в сети домен-контроллера можно считать выполненной. В завершении, конечно, необходимо провести аудит доменных политик, служб DFS и т.д. (всего того, где мог быть задействован удалённый сервер).

  • Currently 3.67/5
  • 1
  • 2
  • 3
  • 4
  • 5

Rating: 3.7/5(3 votes cast)

PC360

Ремонт/настройка ПК и окружающих его устройств.

Деинсталяция резервного контроллера домена с ОС Windows Server 2008R2.

Резервный контроллер домена нужно вывести из домена и демонтировать виртуальную машину, потому что она постоянно зависает. Точнее зависает не она, о тот Linux на котором она установлена. Сервер в работе, к нему есть доступ. При корректной деинсталяции из домена удалятся все записи об этом контроллере и он ни где не будет фигурировать. Приступим.

В диспетчере удаляемого сервера, он называется WIN-SRV-ST, выбираем опцию – Удалить роли.

Откроется мастер удаления ролей. Читаем – нажимаем >>Далее.

В следующем окне можно увидеть список ролей сервера. С тех ролей, которые нужно удалить, снимаем галочки.

При убирании галочки с пункта Доменные службы Active Directory получаем сообщение: Удаление доменных служб Active Directory невозможно, пока сервер является контроллером домена.

Чтобы удалить AD DC необходимо удалить контроллер домена с помощью мастера установки доменных служб dcpromo.exe. Воспользуемся этой подсказкой.

Для запуска dcpromo пишем его в поисковой строке и запускаем из результатов поиска.

Запустится мастер установки доменных служб Active Directory. Нажимаем >> Далее.

Читать еще:  Перенос контроллера домена на виртуальную машину

Появившееся сообщение предупреждает о том, что сервер является хранителем глобального каталога.

Чтоб проверить, где еще хранится глобальный каталог переходим в диспетчере сервера по директориям >> Роли >> Доменные службы Active Directory >> Active Directory – сайты и службы >> Sites >> Default-First-Site-Name >>Servers.

По очереди выбираем доступные контроллеры домена, правой кнопкой мыши на NTDS Settings >> Свойства и смотрим, отмечена ли галочка напротив надписи – Глобальный каталог. В данном случае глобальный каталог хранится на всех DC, поэтому с деинсталируемого WIN-SRV-ST его можно удалять.

Возвращаемся к Мастеру dcpromo, нажимаем ОК >> Далее.

В следующем окне галочку не ставим. Наш контроллер домена не последний. >> Далее.

Начнутся проверки необходимости удаления компонентов.

Далее необходимо ввести пароль для новой учетной записи администратора на данном сервере.

Смотрим сводку, подтверждаем удаление нажав >> Далее.

В следующем окне можно отметить галочкой – Перезагрузка по завершении. Мастер выполнит работу и сервер перезагрузится.

После перезагрузки выполняем авторизацию с учетной записью Администратора и новым созданным паролем.

Снова запускаем мастер удаления ролей. Снимаем галочки с ролей: Доменные службы Active Directory и DNS-сервер. На сей раз ни каких предупреждений не появилось. Нажимаем >>Далее.

Подтверждаем удаление компонентов нажав >>Удалить.

Ожидаем, пока выполняется удаление.

Видим результаты удаления. Перезагружаем сервер.

После перезагрузки видим, что удаление прошло успешно.

В итоге роли и службы удалены, сервер больше не является контроллером домена. Виртуальную машину можно демонтировать.

Полное удаления недоступного контроллера домена Windows Server 2012

Ситуация обратная, у меня в моей инфраструктуре вышел из строя (физически) DC и восстановить его не представляется возможным, чтобы у меня AD работало без ошибок, мне необходимо удалить данные о неисправном контроллере домена и все зачистить, чем мы с вами и займемся.

Схема сети с неработающим контроллером в AD

У меня есть инфраструктура Active Directory, есть домен msk.pyatilistnik.org и три контроллера: dc6, dc7, dc10. Последний как раз вышел из строя и находится вообще в другом сайте и его необходимо удалить, давайте я покажу как это правильно делать, так как просто нет возможности воспользоваться стандартной утилитой dcpromo,

dc10 будет удален, но перед этим, нам нужно удостовериться, что все FSMO роли у нас будут доступны на работающих контроллерах домена. Узнать держателя FSMO ролей можно командой:

Как видите в моем случае первые две роли схемы и именования доменов, находятся на корневом контроллере домена в другом домене, а вот нужные мне три роли, располагаются на неисправном DC, до которого я не могу достучаться, в таком случае нам необходимо будет захватить с него все роли и передать их работающим контроллерам домена, после чего удалить о нем всю информацию в Active Directory.

Ранее я вам рассказывал как производится захват ролей FSMO, там было два метода графический через оснастку ADUC и с помощью утилиты ntdsutil. В оснастке ADUC вы увидите вот такую картину, что хозяин операций не доступен. Как производится принудительный захват ролей, читайте по ссылке слева.

Теперь, когда все роли захвачены или переданы, то можно производить удаление всех старых данных.

Если у вас уровень леса и домена Windows Server 2008 R2 и выше, то самый простой способ это удалить, объект компьютера из контейнера Domain Controllers, все старые метаданные будут удалены автоматически и вам не придется делать описанные ниже манипуляции. Но я хочу вам показать ручной способ, чтобы вы более глубоко понимали, что именно происходит и откуда удаляются данные о недоступном контроллере домена

Удаляем контроллер с помощью NTDSutil

Откройте командную строку от имени администратора.

  • Пишем команду ntdsutil
  • Далее нам необходимо зайти в режим metadata cleanup
  • Теперь вам необходимо подключиться к работающему контроллеру домена, пишем connections
  • Далее вводим connect to server и имя сервера, видим успешное подключение
  • Выходим из данного меню, введите q и нажмите enter.
  • Далее введите select operation target
  • Посмотрим список доменов командой List domain
  • Выберем нужный домен, select domain
  • Теперь поищем какие сайты у нас есть, делается это командой list sites
  • Выбираем нужный select site и номер
  • Посмотрим список серверов в сайте, list servers in site, у меня их 7, я выбираю нужный
  • select server и номер
  • Выходим из режима select operation target, введите q
  • Ну и собственно команда на удаление remove selected server
Читать еще:  Контроллер домена для чтения

У вас появится предупреждение, что “Вы действительно хотите удалить объект сервера, имя сервера. Это не последний сервер домена. Сервер должен постоянно работать автономно и не возвращаться в сеть обслуживания. При возвращении сервера в сеть обслуживания, объект сервера будет восстановлен.”

Если вы думаете, что удалить контроллер домена 2012 r2 из ntdsutil, достаточно, то хвосты еще остаются. Первый хвост это сайты Active Directory, открываем данную оснастку

Все теперь можно удалять, когда все связи устранены.

Ну и последний шаг, это удаление записей в зоне DNS, вот пример записи “Сервер имен (NS)”,

так же посмотрите папк:

Все теперь, можно смело констатировать, что мы с вами правильно удалили неисправный контроллер домена Active Directory, не оставим хвостов. Проверяем теперь реплицацию, чтобы все было без ошибок.

Удаляем неисправный контроллер домена при помощи утилиты NTDSUTIL

Нередки ситуации, когда системному администратору приходится вручную удалять контроллер домена из Active Directory. Такие ситуации возникают при физическом выходе из строя севера с ролью контроллера домена или другой нештатной ситуации. Естественно, наиболее предпочтительно удалить контроллер домена при помощи команды DCPROMO (подробно DCPROMO и ее параметрах) Однако, что же делать, если контроллер домена недоступен (выключен, сломался, недоступен по сети)?

Естественно, нельзя просто удалить учетную запись контроллера домена при помощи оснастки Active Directory User and Computer.

Для ручного удаления контроллера домена из Active Directory подойдет утилита NTDSUTIL. NTDSUTIL – это утилита командной строки, которая предназначена для выполнения различных сложных операций с ActiveDirectory, в том числе процедур обслуживания, управления и модификации Active Directory. Я уже писал об использовании Ntdsutil для создания снимков (snapshot) Active Directory.

Следующая инструкция позволит вручную удалить неисправный контроллер домена.

Примечание: при использовании NTDSUTIL не обязательно вводит команду целиком, достаточно ввести информацию, позволяющую однозначно идентифицировать команду, например вместо того, чтобы набирать metadata cleanup, можно набрать met cle, или m c

  • Откройте командную строку
  • Наберите

, где — имя работоспособного контроллера домена, хозяина операций

, где -где – номер неисправного контроллера домена (команда list servers отобразит номер сервера)

, где номер домена, в котором находится неисправный DC (команда list domains отобразит номер домена)

(вернемся в меню metadata cleanup)

( появится предупреждающее окно, следует убедится, что удаляется искомый контроллер домена)

  • Yes
  • Откройте консоль Active Directory Sites and Services
  • Разверните сайт, в котором находился ненужный DC
  • Проверьте, что данный контролер не содержит никаких объектов
  • Щелкните правой кнопкой по контроллеру и выберите Delete
  • Закройте консоль Active Directory Sites and Services
  • Откройте оснастку Active Directory Users and Computers
  • Разверните OU «Domain Controllers»
  • Удалите учетную запись компьютера неисправного контроллера домена из данной OU
  • Откройте оснастку DNS Manager
  • Найдите зону DNS, для которой ваш контроллер домена был DNS сервером
  • Щелкните правой кнопкой мыши по зоне и выберите Properties
  • Перейдите на вкладку серверов NameServers
  • Удалите запись неисправного DC
  • Нажмите ОК, для того чтобы удалить все оставшиеся DNS записи: HOST (A) или Pointer (PTR
  • Удостоверьтесь, что в зоне не осталось никаких DNS записей, связанных с удаленным контроллером домена
  • Вот и все, мы полностью удалили из DNS и Active Directory неисправный контроллер домена и все ресурсы, связанные с ним.

    Правильное удаление контроллера домена из Active Directory

    Бывают различные ситуация, когда необходимо вывести контроллер домена из AD, чаще всего — физический выход из строя сервера с ролью DC. После (правильнее делать перед) установки и настройки нового, необходимо выполнить правильное удаление неактивного DC из Active Direcroty. В данной заметке представлена инструкция по корректному выполнению этой операции при помощи утилиты NTDSutil :

    • необходимо выполнить вход на работающий контролер домена под учетной записью администратора
    • запустить командную строку (cmd) и запустить утилиту ntdsutil
    • в командной строке ntdsutil необходимо ввести metadata cleanup и нажмите enter (появится приглашение на очистку метаданных)
    • далее вводим connections , в результате отработки этой команды будет выведено приглашение на подключение к серверу
    • теперь нужно подключиться к нашему исправному контролеру домена командой connect to server server1, где server1 — наш исправный DC
    • набираем quit и нажимаем ввод — появляется приглашение на очистку данных
    • введите select operation target
    • далее — list domains. Здесь необходимо запомнить число, которым обозначается вышедший из строя контролер домена, данное значение нужно будет ввести в следующей команде
    • select domain 0 (или ваше число)
    • list site и нажмите enter, здесь также необходимо запомнить число, под которым представлен сайт
    • select site 0 (или ваше число)
    • следующая команда — list servers in site. Необходимо запомнить каким числом представлен неисправный DC и ввести эту цифру в следующей операции
    • select server 1 или 0 (т.е. ваше число).
    • quit — появится приглашение на очистку метаданных
    • remove selected server и нажмите enter. Появится сообщение. Тщательно прочитайте его и примите обдуманное решение («ДА»).
    • введите quit и дважды нажмите ввод — после очистки метаданных вы выйдите из утилиты ntdsutil

    Описанным выше образом, мы удалили объект параметров NTDS. Теперь стоит перейти к последующей очистке базы данных — удалим записи из DNS и ADSIEdit.

    Откройте консоль DNS. Последовательно раскрывая элементы иерархической структуры, найдите объект вашего домена и щелкните на нем.В правой секции окна найдите запись хоста (А; она должна совпадать с родительской папкой) с IP-адресом сервера Server2 (вышедшего из строя DC). Щелкнув на ней правой кнопкой мыши, выберите пункт «Удалить». При появлении окна подтверждения щелкните кнопку «ДА». В той же секции окна щелкните левой кнопкой на записи хоста Server2 (вышедший из строя DC) и выберите пункт «Удалить». Нажатием кнопки «ДА» подтвердите намерение удалить запись. Теперь запись DNS, соответствующая серверу Server2, удалена. Закройте консоль DNS.

    Теперь перейдем к консоли ADSIEdit, запустив ее из командной строки (cmd) командой adsiedit.msc:

    • Раскройте структуру DomainDC=ваш_домен,DC=__OU=Domain Controllers. Щелкнув на записи объекта CN=Server2 (вышедший из строя DC), нажмите клавишу Delete. В окне подтверждения щелкните «ДА». Таким образом, объекта Server2 в контексте именования домена на Active Directory больше нет.
    • Раскройте структуру ConfigurationCN=Configuration,DC=ваш_домен, DC=__CN=SitesCN=Default-First-Site-NameCN=Servers. Щелкнув на записи объекта CN=Server2, нажмите Delete. В окне подтверждение нажмите «ДА». Теперь в контексте именования для конфигураций нет объекта Server2. Закройте консоль ADSIEdit.

    Мы выполнили процедуру по правильному и полному удалению вышедшего из строя контролера домена (или одного из контролеров домена вашей компании). В ходе проделанных операций мы удалили все ссылки в Active Directiry об устаревшем/неисправному контролеру.

    *Только после проделанных операций стоит продолжать настройку нового Primary DC!

    Нашли ошибку в тексте? Выделите фрагмент текста и нажмите Ctrl+Enter

    Ссылка на основную публикацию
    Adblock
    detector