Бывают различные ситуация, когда необходимо вывести контроллер домена из AD, чаще всего – физический выход из строя сервера с ролью DC. После (правильнее делать перед) установки и настройки нового, необходимо выполнить правильное удаление неактивного DC из Active Directory. В данной заметке представлена инструкция по корректному выполнению этой операции при помощи утилиты NTDSutil :
- необходимо выполнить вход на работающий контролер домена под учетной записью администратора
- запустить командную строку (cmd) и запустить утилиту ntdsutil
- в командной строке ntdsutil необходимо ввести metadata cleanup и нажмите enter (появится приглашение на очистку метаданных)
- далее вводим connections , в результате отработки этой команды будет выведено приглашение на подключение к серверу
- теперь нужно подключиться к нашему исправному контролеру домена командой connect to server server1, где server1 – наш исправный DC
- набираем quit и нажимаем ввод – появляется приглашение на очистку данных
- введите select operation target
- далее – list domains. Здесь необходимо запомнить число, которым обозначается вышедший из строя контролер домена, данное значение нужно будет ввести в следующей команде
- select domain 0 (или ваше число)
- list site и нажмите enter, здесь также необходимо запомнить число, под которым представлен сайт
- select site 0 (или ваше число)
- следующая команда – list servers in site. Необходимо запомнить каким числом представлен неисправный DC и ввести эту цифру в следующей операции
- select server 1 или 0 (т.е. ваше число).
- quit – появится приглашение на очистку метаданных
- remove selected server и нажмите enter. Появится сообщение. Тщательно прочитайте его и примите обдуманное решение (“ДА”).
- введите quit и дважды нажмите ввод – после очистки метаданных вы выйдите из утилиты ntdsutil
Описанным выше образом, мы удалили объект параметров NTDS. Теперь стоит перейти к последующей очистке базы данных – удалим записи из DNS и ADSIEdit.
Откройте консоль DNS. Последовательно раскрывая элементы иерархической структуры, найдите объект вашего домена и щелкните на нем.В правой секции окна найдите запись хоста (А; она должна совпадать с родительской папкой) с IP-адресом сервера Server2 (вышедшего из строя DC). Щелкнув на ней правой кнопкой мыши, выберите пункт “Удалить”. При появлении окна подтверждения щелкните кнопку “ДА”. В той же секции окна щелкните левой кнопкой на записи хоста Server2 (вышедший из строя DC) и выберите пункт “Удалить”. Нажатием кнопки “ДА” подтвердите намерение удалить запись. Теперь запись DNS, соответствующая серверу Server2, удалена. Закройте консоль DNS.
Теперь перейдем к консоли ADSIEdit, запустив ее из командной строки (cmd) командой adsiedit.msc:
- Раскройте структуру Domain\DC=ваш_домен,DC=__\OU=Domain Controllers. Щелкнув на записи объекта CN=Server2 (вышедший из строя DC), нажмите клавишу Delete. В окне подтверждения щелкните “ДА”. Таким образом, объекта Server2 в контексте именования домена на Active Directory больше нет.
- Раскройте структуру Configuration\CN=Configuration,DC=ваш_домен, DC=__\CN=Sites\CN=Default-First-Site-Name\CN=Servers. Щелкнув на записи объекта CN=Server2, нажмите Delete. В окне подтверждение нажмите “ДА”. Теперь в контексте именования для конфигураций нет объекта Server2. Закройте консоль ADSIEdit.
Мы выполнили процедуру по правильному и полному удалению вышедшего из строя контролера домена (или одного из контролеров домена вашей компании). В ходе проделанных операций мы удалили все ссылки в Active Directiry об устаревшем/неисправному контролеру.
*Только после проделанных операций стоит продолжать настройку нового Primary DC!
Добрый день.
Спасибо. Помогла восстановить основной контроллер домена.
Рад помочь!
Доброго дня! Спасибо за статью.
Опечатка в команде “list servers in sites” – правильно “list servers in site” без ‘s’ на конце 🙂
Он, походу комменты не читает, тоже ща делал и наткнулся – хорошо логически додумался сразу ))0
Читаю.. это все проклятая прокрастинация.