Удаление старого контроллера из Active Directory

Удаление старого контроллера из Active Directory. Самому пришлось тут как то копаться, ибо весело 2 мертвых контроллера домена… Остались по наследству…

Первый метод: только для Windows Server 2003 с пакетом обновления 1 (SP1) или более поздним пакетом обновления. В моем случае был один живой контроллер домена к нему я и подключался с его же командной строки.

  • Нажмите кнопку Пуск и последовательно выберите пункты Программы, Стандартные и Командная строка.
  • В командной строке введите ntdsutil и нажмите клавишу ВВОД.
  • Введите metadata cleanup и нажмите клавишу ВВОД. Для фактического выполнения удаления необходимо указать дополнительные параметры.
  • Введите команду connections и нажмите клавишу ВВОД. Это меню предназначено для подключения к серверу, на котором происходят изменения. Если текущий пользователь не обладает правами администратора, перед подключением следует указать другую учетную запись. Для этого введите команду set creds имя_домена имя_пользователя Пароль и нажмите клавишу ВВОД. В случае использования пустого пароля введите null.
  • Введите команду connect to server имя_сервера и нажмите клавишу ВВОД. Появится сообщение о подключении к серверу. При возникновении ошибки убедитесь, что доступен контроллер домена, который используется для подключения, а текущая учетная запись обладает правами администратора на сервере.
  • Введите команду quit и нажмите клавишу ВВОД. Появится меню Metadata Cleanup.
  • Введите команду select operation target и нажмите клавишу ВВОД.
  • Введите команду list domains и нажмите клавишу ВВОД. Появится список доменов леса с номерами. 9. Введите команду select domain номер и нажмите клавишу ВВОД, где номер – номер домена, которому принадлежит удаляемый сервер.
  • Выбранный домен используется для проверки того, является ли удаляемый сервер последним контроллером в этом домене.
  • Введите команду list sites и нажмите клавишу ВВОД. Появится список узлов с номерами.
  • Введите команду select site номер и нажмите клавишу ВВОД, где номер – номер узла, которому принадлежит удаляемый сервер.
  • Появится подтверждение выбранного домена и узла.
  • Введите команду list servers in site и нажмите клавишу ВВОД. Появится список серверов узла с номерами.
  • Введите команду select server номер, где номер – номер удаляемого сервера. Появится подтверждение, которое содержит имя выбранного сервера, его DNS-имя и местонахождение учетной записи.
  • Введите команду quit и нажмите клавишу ВВОД. Появится меню Metadata Cleanup.
  • Введите команду remove selected server и нажмите клавишу ВВОД. Должно появиться сообщение об успешном удалении сервера.

Появление следующего сообщения об ошибке свидетельствует о том, что объект NTDS Settings был удален из Active Directory ранее другим администратором или в результате репликации успешного удаления объекта после запуска программы DCPROMO. Ошибка 8419 (0x20E3) Не удается найти объект DSA Ошибка 8419 (0x20E3) Не удается найти объект DSA
Примечание. Это сообщение об ошибке также может появиться при подключении к удаляемому контроллеру домена. Программа Ntdsutil не должна подключаться к контроллеру домена, который будет удаляться при очистке метаданных. Введите в каждом меню команду quit и нажмите клавишу ВВОД, чтобы завершить работу с программой Ntdsutil. Появится сообщение об отключении от сервера. 18. Удалите запись типа cname в зоне _msdcs.корневой_домен_леса на сервере DNS. Предположим, контроллер домена будет установлен повторно и его роль будет повышена. В этом случае создается новый объект NTDS Settings с новым идентификатором GUID и новой записью типа cname в DNS. Если не удалить старую запись типа cname, то она может быть использована существующими контроллерами домена.
Кроме того, рекомендуется удалять имя компьютера и другие связанные с ним записи DNS. По истечении срока аренды адреса DHCP, выделенного данному серверу, другой компьютер может получить этот IP-адрес. С помощью консоли управления DNS удалите в DNS запись A. Запись А также называют записью узла. Для удаления записи типа А щелкните ее правой кнопкой мыши и выберите команду Удалить. Удалите также запись типа cname в контейнере _msdcs. Для этого разверните контейнер _msdcs, правой кнопкой мыши щелкните запись cname и выберите команду Удалить.

Ну, а дальше также может пригодится инструмент ADSIEdit. Ну и проверяем логи. Делаем dcdiag, netdiag. А именно проверяем на ошибки репликации dcdiag /test:replications проверяем работу ДНС dcdiag /test:dns. И только после того как никаких ошибок в репликации и ДНС нет можно приступать в поднятию нового-дополнительного контроллера домена! Что я успешно и сделал.

От себя добавлю: Не надо использовать на контроллерах домена Acronis если не хотите USNRollBACK  словить. NTBackup+system state отлично работает. Это я к тому что не надо забывать про бэкапы…


3 комментария

  • unkn0wn

    5 июля 2011

    Я сделал проще: удалил контроллер из репликации в сайтах и службах, дропнул все записи о нем в DNS и потом в ntdsutil просто сделал
    connections
    connect to server dc.blam.local
    q
    Roles
    , а затем Seize всех ролей FSMO на второй контроллер, не забыв в свойствах NTDS Settings проставить галку «Глобальный каталог». Больше реплицироваться не пытается и ошибками не сыплет.

  • Андрей Гаркин

    7 июля 2011

    Такая вещь как ты предлагаешь не всегда есть гуд…
    Ибо все остатки полностью о старом не убил…
    Попробуй в сетку введи комп с таким же сетевым именем как грохнутый твоим способом контроллер домена, сюрприз обеспечен) А именно проштудируй через ADSIEdit и найдешь много интересных записей о старом имени, и uid там же будут… А это не есть гуд… Чистить надо гуманно…

  • unkn0wn

    8 июля 2011

    @Андрей Гаркин
    В ADSI запись, конечно, останется, но там его вычистить — дело пары кликов, не так уж там их и много, в DNS и то больше остается. У мну замес был в том, что старый сервер был жив, но на заклинание dcpromo ругался матом и никуда понижаться не хотел. Время на часах было два часа ночи, я быстро его вырубил и без задней мысли дропнул из пользователей и компьютеров, и выпилил репликацию. Потом уже понял, что как-то не совсем правильно поступил с AD, потому что он начал ругаться на отсутствие глобального каталога и блаблабла, ну я и проставил галку и сделал Seize/Transfer. Все это устаканилось, дальше решил не трогать, ибо еще нужно было вводить в домен самбу и проверять настройки шар.

Добавить комментарий