Vvmebel.com

Новости с мира ПК
6 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Удаление контроллера домена 2020 r2 из домена

Полное удаления недоступного контроллера домена Windows Server 2012

Ситуация обратная, у меня в моей инфраструктуре вышел из строя (физически) DC и восстановить его не представляется возможным, чтобы у меня AD работало без ошибок, мне необходимо удалить данные о неисправном контроллере домена и все зачистить, чем мы с вами и займемся.

Схема сети с неработающим контроллером в AD

У меня есть инфраструктура Active Directory, есть домен msk.pyatilistnik.org и три контроллера: dc6, dc7, dc10. Последний как раз вышел из строя и находится вообще в другом сайте и его необходимо удалить, давайте я покажу как это правильно делать, так как просто нет возможности воспользоваться стандартной утилитой dcpromo,

dc10 будет удален, но перед этим, нам нужно удостовериться, что все FSMO роли у нас будут доступны на работающих контроллерах домена. Узнать держателя FSMO ролей можно командой:

Как видите в моем случае первые две роли схемы и именования доменов, находятся на корневом контроллере домена в другом домене, а вот нужные мне три роли, располагаются на неисправном DC, до которого я не могу достучаться, в таком случае нам необходимо будет захватить с него все роли и передать их работающим контроллерам домена, после чего удалить о нем всю информацию в Active Directory.

Ранее я вам рассказывал как производится захват ролей FSMO, там было два метода графический через оснастку ADUC и с помощью утилиты ntdsutil. В оснастке ADUC вы увидите вот такую картину, что хозяин операций не доступен. Как производится принудительный захват ролей, читайте по ссылке слева.

Теперь, когда все роли захвачены или переданы, то можно производить удаление всех старых данных.

Если у вас уровень леса и домена Windows Server 2008 R2 и выше, то самый простой способ это удалить, объект компьютера из контейнера Domain Controllers, все старые метаданные будут удалены автоматически и вам не придется делать описанные ниже манипуляции. Но я хочу вам показать ручной способ, чтобы вы более глубоко понимали, что именно происходит и откуда удаляются данные о недоступном контроллере домена

Удаляем контроллер с помощью NTDSutil

Откройте командную строку от имени администратора.

  • Пишем команду ntdsutil
  • Далее нам необходимо зайти в режим metadata cleanup
  • Теперь вам необходимо подключиться к работающему контроллеру домена, пишем connections
  • Далее вводим connect to server и имя сервера, видим успешное подключение
  • Выходим из данного меню, введите q и нажмите enter.
  • Далее введите select operation target
  • Посмотрим список доменов командой List domain
  • Выберем нужный домен, select domain
  • Теперь поищем какие сайты у нас есть, делается это командой list sites
  • Выбираем нужный select site и номер
  • Посмотрим список серверов в сайте, list servers in site, у меня их 7, я выбираю нужный
  • select server и номер
  • Выходим из режима select operation target, введите q
  • Ну и собственно команда на удаление remove selected server

У вас появится предупреждение, что “Вы действительно хотите удалить объект сервера, имя сервера. Это не последний сервер домена. Сервер должен постоянно работать автономно и не возвращаться в сеть обслуживания. При возвращении сервера в сеть обслуживания, объект сервера будет восстановлен.”

Если вы думаете, что удалить контроллер домена 2012 r2 из ntdsutil, достаточно, то хвосты еще остаются. Первый хвост это сайты Active Directory, открываем данную оснастку

Все теперь можно удалять, когда все связи устранены.

Ну и последний шаг, это удаление записей в зоне DNS, вот пример записи “Сервер имен (NS)”,

так же посмотрите папк:

Все теперь, можно смело констатировать, что мы с вами правильно удалили неисправный контроллер домена Active Directory, не оставим хвостов. Проверяем теперь реплицацию, чтобы все было без ошибок.

Читать еще:  Резервный контроллер домена 2020 r2 пошаговая инструкция

PC360

Ремонт/настройка ПК и окружающих его устройств.

Деинсталяция резервного контроллера домена с ОС Windows Server 2008R2.

Резервный контроллер домена нужно вывести из домена и демонтировать виртуальную машину, потому что она постоянно зависает. Точнее зависает не она, о тот Linux на котором она установлена. Сервер в работе, к нему есть доступ. При корректной деинсталяции из домена удалятся все записи об этом контроллере и он ни где не будет фигурировать. Приступим.

В диспетчере удаляемого сервера, он называется WIN-SRV-ST, выбираем опцию – Удалить роли.

Откроется мастер удаления ролей. Читаем – нажимаем >>Далее.

В следующем окне можно увидеть список ролей сервера. С тех ролей, которые нужно удалить, снимаем галочки.

При убирании галочки с пункта Доменные службы Active Directory получаем сообщение: Удаление доменных служб Active Directory невозможно, пока сервер является контроллером домена.

Чтобы удалить AD DC необходимо удалить контроллер домена с помощью мастера установки доменных служб dcpromo.exe. Воспользуемся этой подсказкой.

Для запуска dcpromo пишем его в поисковой строке и запускаем из результатов поиска.

Запустится мастер установки доменных служб Active Directory. Нажимаем >> Далее.

Появившееся сообщение предупреждает о том, что сервер является хранителем глобального каталога.

Чтоб проверить, где еще хранится глобальный каталог переходим в диспетчере сервера по директориям >> Роли >> Доменные службы Active Directory >> Active Directory – сайты и службы >> Sites >> Default-First-Site-Name >>Servers.

По очереди выбираем доступные контроллеры домена, правой кнопкой мыши на NTDS Settings >> Свойства и смотрим, отмечена ли галочка напротив надписи – Глобальный каталог. В данном случае глобальный каталог хранится на всех DC, поэтому с деинсталируемого WIN-SRV-ST его можно удалять.

Возвращаемся к Мастеру dcpromo, нажимаем ОК >> Далее.

В следующем окне галочку не ставим. Наш контроллер домена не последний. >> Далее.

Начнутся проверки необходимости удаления компонентов.

Далее необходимо ввести пароль для новой учетной записи администратора на данном сервере.

Смотрим сводку, подтверждаем удаление нажав >> Далее.

В следующем окне можно отметить галочкой – Перезагрузка по завершении. Мастер выполнит работу и сервер перезагрузится.

После перезагрузки выполняем авторизацию с учетной записью Администратора и новым созданным паролем.

Снова запускаем мастер удаления ролей. Снимаем галочки с ролей: Доменные службы Active Directory и DNS-сервер. На сей раз ни каких предупреждений не появилось. Нажимаем >>Далее.

Подтверждаем удаление компонентов нажав >>Удалить.

Ожидаем, пока выполняется удаление.

Видим результаты удаления. Перезагружаем сервер.

После перезагрузки видим, что удаление прошло успешно.

В итоге роли и службы удалены, сервер больше не является контроллером домена. Виртуальную машину можно демонтировать.

Удаляем неисправный контроллер домена при помощи утилиты NTDSUTIL

Нередки ситуации, когда системному администратору приходится вручную удалять контроллер домена из Active Directory. Такие ситуации возникают при физическом выходе из строя севера с ролью контроллера домена или другой нештатной ситуации. Естественно, наиболее предпочтительно удалить контроллер домена при помощи команды DCPROMO (подробно DCPROMO и ее параметрах) Однако, что же делать, если контроллер домена недоступен (выключен, сломался, недоступен по сети)?

Естественно, нельзя просто удалить учетную запись контроллера домена при помощи оснастки Active Directory User and Computer.

Для ручного удаления контроллера домена из Active Directory подойдет утилита NTDSUTIL. NTDSUTIL – это утилита командной строки, которая предназначена для выполнения различных сложных операций с ActiveDirectory, в том числе процедур обслуживания, управления и модификации Active Directory. Я уже писал об использовании Ntdsutil для создания снимков (snapshot) Active Directory.

Следующая инструкция позволит вручную удалить неисправный контроллер домена.

Примечание: при использовании NTDSUTIL не обязательно вводит команду целиком, достаточно ввести информацию, позволяющую однозначно идентифицировать команду, например вместо того, чтобы набирать metadata cleanup, можно набрать met cle, или m c

  • Откройте командную строку
  • Наберите

, где — имя работоспособного контроллера домена, хозяина операций

, где -где – номер неисправного контроллера домена (команда list servers отобразит номер сервера)

, где номер домена, в котором находится неисправный DC (команда list domains отобразит номер домена)

(вернемся в меню metadata cleanup)

( появится предупреждающее окно, следует убедится, что удаляется искомый контроллер домена)

  • Yes
  • Откройте консоль Active Directory Sites and Services
  • Разверните сайт, в котором находился ненужный DC
  • Проверьте, что данный контролер не содержит никаких объектов
  • Щелкните правой кнопкой по контроллеру и выберите Delete
  • Закройте консоль Active Directory Sites and Services
  • Откройте оснастку Active Directory Users and Computers
  • Разверните OU «Domain Controllers»
  • Удалите учетную запись компьютера неисправного контроллера домена из данной OU
  • Откройте оснастку DNS Manager
  • Найдите зону DNS, для которой ваш контроллер домена был DNS сервером
  • Щелкните правой кнопкой мыши по зоне и выберите Properties
  • Перейдите на вкладку серверов NameServers
  • Удалите запись неисправного DC
  • Нажмите ОК, для того чтобы удалить все оставшиеся DNS записи: HOST (A) или Pointer (PTR
  • Удостоверьтесь, что в зоне не осталось никаких DNS записей, связанных с удаленным контроллером домена
  • Вот и все, мы полностью удалили из DNS и Active Directory неисправный контроллер домена и все ресурсы, связанные с ним.

    Правильное удаление контроллера домена из Active Directory

    Бывают различные ситуация, когда необходимо вывести контроллер домена из AD, чаще всего — физический выход из строя сервера с ролью DC. После (правильнее делать перед) установки и настройки нового, необходимо выполнить правильное удаление неактивного DC из Active Direcroty. В данной заметке представлена инструкция по корректному выполнению этой операции при помощи утилиты NTDSutil :

    • необходимо выполнить вход на работающий контролер домена под учетной записью администратора
    • запустить командную строку (cmd) и запустить утилиту ntdsutil
    • в командной строке ntdsutil необходимо ввести metadata cleanup и нажмите enter (появится приглашение на очистку метаданных)
    • далее вводим connections , в результате отработки этой команды будет выведено приглашение на подключение к серверу
    • теперь нужно подключиться к нашему исправному контролеру домена командой connect to server server1, где server1 — наш исправный DC
    • набираем quit и нажимаем ввод — появляется приглашение на очистку данных
    • введите select operation target
    • далее — list domains. Здесь необходимо запомнить число, которым обозначается вышедший из строя контролер домена, данное значение нужно будет ввести в следующей команде
    • select domain 0 (или ваше число)
    • list site и нажмите enter, здесь также необходимо запомнить число, под которым представлен сайт
    • select site 0 (или ваше число)
    • следующая команда — list servers in site. Необходимо запомнить каким числом представлен неисправный DC и ввести эту цифру в следующей операции
    • select server 1 или 0 (т.е. ваше число).
    • quit — появится приглашение на очистку метаданных
    • remove selected server и нажмите enter. Появится сообщение. Тщательно прочитайте его и примите обдуманное решение («ДА»).
    • введите quit и дважды нажмите ввод — после очистки метаданных вы выйдите из утилиты ntdsutil

    Описанным выше образом, мы удалили объект параметров NTDS. Теперь стоит перейти к последующей очистке базы данных — удалим записи из DNS и ADSIEdit.

    Откройте консоль DNS. Последовательно раскрывая элементы иерархической структуры, найдите объект вашего домена и щелкните на нем.В правой секции окна найдите запись хоста (А; она должна совпадать с родительской папкой) с IP-адресом сервера Server2 (вышедшего из строя DC). Щелкнув на ней правой кнопкой мыши, выберите пункт «Удалить». При появлении окна подтверждения щелкните кнопку «ДА». В той же секции окна щелкните левой кнопкой на записи хоста Server2 (вышедший из строя DC) и выберите пункт «Удалить». Нажатием кнопки «ДА» подтвердите намерение удалить запись. Теперь запись DNS, соответствующая серверу Server2, удалена. Закройте консоль DNS.

    Теперь перейдем к консоли ADSIEdit, запустив ее из командной строки (cmd) командой adsiedit.msc:

    • Раскройте структуру DomainDC=ваш_домен,DC=__OU=Domain Controllers. Щелкнув на записи объекта CN=Server2 (вышедший из строя DC), нажмите клавишу Delete. В окне подтверждения щелкните «ДА». Таким образом, объекта Server2 в контексте именования домена на Active Directory больше нет.
    • Раскройте структуру ConfigurationCN=Configuration,DC=ваш_домен, DC=__CN=SitesCN=Default-First-Site-NameCN=Servers. Щелкнув на записи объекта CN=Server2, нажмите Delete. В окне подтверждение нажмите «ДА». Теперь в контексте именования для конфигураций нет объекта Server2. Закройте консоль ADSIEdit.

    Мы выполнили процедуру по правильному и полному удалению вышедшего из строя контролера домена (или одного из контролеров домена вашей компании). В ходе проделанных операций мы удалили все ссылки в Active Directiry об устаревшем/неисправному контролеру.

    *Только после проделанных операций стоит продолжать настройку нового Primary DC!

    Нашли ошибку в тексте? Выделите фрагмент текста и нажмите Ctrl+Enter

    Удаляем неисправный DC из AD (2008 R2)

    Обнаружилось, что второй DC в домене перестал отзываться. Стоял на виртуальной машине VMWare 5. Пытался перезагрузить, запустить в safe mode, запускать chkdsk — -все безрезультатно. Доходит до применения политики компьютера и умирает на этом этапе. К счастью, на этом серере кроме самого DC ничего полезного не было, не жалко, и поднять другой вместо него – не проблема. Но нужно корректно удалить все следы неисправного контроллера.

    Для удаления потерянного контроллера используем утилиту командной строки NTDSUTIL. Сначала в командной строке запускаем её:

    Она запускается в отденьном окне. Последовательно вводим в нем команды (можно полностью слова не писать, если начальные буквы однозначно определяют команду, т.е. в данном контексте нет похожих команд, с которыми можно было бы перепутать):

    здесь — имя живого контроллера (DC), который выполняет роль хозяина операций.

    Предыдущая команда показывает список сайтов с номерами. Находим номер сайта, в котором был неисправный DC, для следующей команды:

    здесь – номер сайта из предыдущей команды, где находился неисправный контроллер домена .

    Аналогично получаем список серверов в сайте:

    здесь – номер неисправного контроллера домена (из предыдущей команды).

    здесь – номер домена, где находился неисправный контроллера домена (из предыдущей команды).

    После этого мы возвращаемся в меню metadata cleanup.

    Появится графическое окно с подтверждением об удалении контроллера домена. Внимательно проверяем имя удаляемого контроллера в этом окне, чтобы по ошибке не удалить живой DC и нажимаем кнопку «Yes».

    Это еще не все. Нужно руками почистить некоторые записи:

    • Открываем оснастку «Active Directory Sites and Services»
    • Разворачиваем в немсайт, в котором находился потерянный DC
    • Убеждаемся, что у данного контроллера нет дочерних объектов в дереве (вотличие от других)
    • Удаляем потерянный контроллер через контекстрое меню (Delete)
    • Оснастка «Active Directory Sites and Services» пока больше не нужна, закрываем её
    • Открываем оснастку «Active Directory Users and Computers»
    • Разверачиваем OU «Domain Controllers»
    • Удаляем здесь учетку компьютера неисправного контроллера домена (если она там ещё есть)
    • Открываем оснастку «DNS Manager»
    • На зоне DNS, для которой удаленный контроллер домена был DNS сервером, щелкаем правой кнопкой мыши и выбираем Properties
    • Переходим на вкладку Name Servers и уаляем запись неисправного DC. Кнопка «ОК»
    • Удаляем запись HOST (A) в прямой зоне и запись Pointer (PTR) в зоне обратного просмотра
    • С самого верха, проходим по всему дереву, открываем все узлы и внимательно удаляем все оставшиеся DNS записи с упоминанием о потерянном DC. Их может быть много.

    Теперь все, неисправный контроллер домена полностью удален из домена.

    Ссылка на основную публикацию
    Adblock
    detector