Defekten Domänencontroller entfernen

Ist ein Domänencontroller ausgefallen oder eine beabsichtigte Herabstufung mittels dcpromo lief nicht korrekt zu Ende, befinden sich dessen Metadaten noch in der Active-Directory-Datenbank. Das stellt spätestens dann ein größeres Problem dar, wenn man einen neuen DC unter dem gleichen Namen wieder ins Active Directory einhängen will. Aber auch, wenn man das nicht vorhat, will man die Daten real nicht mehr existierender Objekte gerne sauber aus dem Verzeichnis entfernt sehen.

Dies geschieht in 3 Schritten:

1. Entfernen der Metadaten,
2. Entfernen der Objekte aus dem Active Directory,
3. Entfernen des Servers aus dem DNS.

Entfernen der Metadaten

Die Metadaten des gestrandeten Servers entfernt man mittels des Kommandozeilentools ntdsutil.exe. Dazu öffnet man eine Eingabeaufforderung, startet das Tool und arbeitet sich mit

zum defekten Server ‹z› vor. Befindet man sich dabei direkt an einer Server-Konsole, entfällt der Schritt im Kontext connections, sie besteht dann bereits automatisch. Mittels

entfernt man ihn schließlich, wobei man eine Warnung bestätigen muss, dass man den Server nie wieder in das Netz zurückbringen sollte. Nach der Bestätigung des Vorgangs durch das Active-Directory-d setzt man so oft den Befehl q ab, bis ntdsutil.exe beendet ist.

Objekte aus dem Active Directory entfernen

Nach den Metadaten entfernt man die Objekte des Servers aus dem Active Directory: Einmal in der Management-Konsole Active Directory-Standorte und Dienste, dann in der Management-Konsole Active Directory-Benutzer und Computer unter den Domänencontrollern. Das Active Directory fordert hier mehrere Bestätigungen an, deren eine Nach dem Grund der Entfernung des DC fragt. Hier bestätigt man, dass der DC ständig offline ist und nicht mehr mittels dcpromo herabgestuft werden kann.

Server aus DNS entfernen

Da Domänencontroller statisch im DNS eingetragen sind, muss man sie auch manuell wieder entfernen, wenn sie nicht mehr existieren, und zwar sowohl aus der Forward- als auch der Reverse-Lookupzone. Außerdem muss der Eintrag CNAME des Servers unter der Domäne _msdcs.root.* für die betreffende Struktur entfernt werden.

Weitere Aufräumarbeiten

Für den Fall, dass man den Domänencontroller komplett unerwartet vom Netz nehmen musste, stehen oft noch weitere Aufräumarbeiten an. Das sind unter anderem:

• Hielt er eine Kopie des globalen Katalogs, muss man hierfür einen geeigneten Ersatz-Server-finden.
• Hielt er eine oder mehrere FSMO-Rollen, muss man diese an andere Server übertragen.
• Handelte es sich um einen Nameserver, muss man Weiterleitungen und Zonenübertragungen eventuell neu konfigurieren, und den Umstieg auf einen anderen Nameserver für die Clients in der DHCP-Konfiguration hinterlegen.