Defekten Domänencontroller entfernen

    Der Offline-DC darf nie wieder ins NetzIst ein Domänencontroller ausgefallen oder eine beabsichtigte Herabstufung mittels dcpromo lief nicht korrekt zu Ende, befinden sich dessen Metadaten noch in der Active-Directory-Datenbank. Das stellt spätestens dann ein größeres Problem dar, wenn man einen neuen DC unter dem gleichen Namen wieder ins Active Directory einhängen will. Aber auch, wenn man das nicht vorhat, will man die Daten real nicht mehr existierender Objekte gerne sauber aus dem Verzeichnis entfernt sehen.

    Dies geschieht in 3 Schritten:

    1. Entfernen der Metadaten,
    2. Entfernen der Objekte aus dem Active Directory,
    3. Entfernen des Servers aus dem DNS.

    Entfernen der Metadaten

    Die Metadaten des gestrandeten Servers entfernt man mittels des Kommandozeilentools ntdsutil.exe. Dazu öffnet man eine Eingabeaufforderung, startet das Tool und arbeitet sich mit

    ntdsutil: metadata cleanup
    metadata cleanup: connections
    server connections: connect to server ‹funktionierender anderer Server›
    server connections: q
    metadata cleanup: select operation target
    select operation target: list domains
    select operation target: select domain ‹x›
    select operation target: list sites
    select operation target: select site ‹y›
    select operation target: list servers in site
    select operation target: select server ‹z›
    q

    zum defekten Server ‹z› vor. Befindet man sich dabei direkt an einer Server-Konsole, entfällt der Schritt im Kontext connections, sie besteht dann bereits automatisch. Mittels

    remove selected server

    entfernt man ihn schließlich, wobei man eine Warnung bestätigen muss, dass man den Server nie wieder in das Netz zurückbringen sollte. Nach der Bestätigung des Vorgangs durch das Active-Directory-d setzt man so oft den Befehl q ab, bis ntdsutil.exe beendet ist.

    Objekte aus dem Active Directory entfernen

    Der Offline-DC darf nie wieder ins NetzNach den Metadaten entfernt man die Objekte des Servers aus dem Active Directory: Einmal in der Management-Konsole Active Directory-Standorte und Dienste, dann in der Management-Konsole Active Directory-Benutzer und Computer unter den Domänencontrollern. Das Active Directory fordert hier mehrere Bestätigungen an, deren eine Nach dem Grund der Entfernung des DC fragt. Hier bestätigt man, dass der DC ständig offline ist und nicht mehr mittels dcpromo herabgestuft werden kann.

    Server aus DNS entfernen

    Da Domänencontroller statisch im DNS eingetragen sind, muss man sie auch manuell wieder entfernen, wenn sie nicht mehr existieren, und zwar sowohl aus der Forward- als auch der Reverse-Lookupzone. Außerdem muss der Eintrag CNAME des Servers unter der Domäne _msdcs.root.* für die betreffende Struktur entfernt werden.

    Weitere Aufräumarbeiten

    Für den Fall, dass man den Domänencontroller komplett unerwartet vom Netz nehmen musste, stehen oft noch weitere Aufräumarbeiten an. Das sind unter anderem:

    13 Kommentare

    Bild von Marco
    Marco sagt:
    18. August 2011 - 15:02

    Gut und knapp erklärt. Mit nur einem kleinen Fehler.
    Nachdem man den Server ausgewählt hat, also "select operation target:
    select server ‹z›" muss mit q in die höhere Ebene gewechselt werden.
    Dann kann der Befehl "remove selected server" ausgeführt werden.
    Sonst gibts ne Syntax - Fehlermeldung!

    Bild von Fred Spanier
    Fred Spanier sagt:
    2. Februar 2013 - 7:46

    Vielen Dank für diese super Erklärung!
    (das q habe ich sofort nach der Syntax-Fehlermeldung gemacht).

    Bild von Siggi Skoda
    Siggi Skoda sagt:
    28. Mai 2013 - 18:38

    Vielen Dank :)

    Hat super geklappt.

    Bild von ksr
    ksr sagt:
    7. Juni 2013 - 13:12

    Danke. Super Beitrag.

    Bild von Der Rico
    Der Rico sagt:
    20. Juni 2013 - 8:15

    Kurz und knapp ...
    Perfekt geklappt ...

    Danke für's Bloggen ...

    Bild von Tom Lorenzen
    Tom Lorenzen sagt:
    6. November 2013 - 11:21

    Super Erklärung, danke dafür und für den ganzen tollen Blog, komme immer wieder gerne hierher zum lesen und informieren... Gruss tom

    Bild von Joachim Stephan
    Joachim Stephan sagt:
    13. Januar 2014 - 14:51

    "Objekte aus dem Active Directory entfernen"

    Genau an dieser Stelle bekomme ich die Fehlermeldung, dass das Objekt nicht gelöscht werden konnte: Zugriff verweigert.

    Haben Sie dazu einen Tipp?

    Bild von Jörg Bleuel
    Jörg Bleuel sagt:
    25. Juni 2014 - 10:06

    Wenn der Zugriff auf das Element (Server) verweigert ist, bitte prüfen ob entweder das Serverobject oder aber die NTDS Daten auf dem Server vor zufälligem Löschen geschützt sind (Active Directory Benutzer und Computer).

    Danach sollte es dann klappen, hat es bei mir jedenfalls.

    Bild von Der Daniel
    Der Daniel sagt:
    6. Juni 2015 - 15:57

    Vielen Dank für Ihre Seite auf die ich "leider" erst gestoßen bin nachdem das Kind in den USN-Rollback Brunnen gefallen ist.

    DC01 = Server 2003R2, defekt, jetzt runtergefahren.
    DC02 = läuft auf Server 2008R2

    Nach dem Rollback (Image vom Vortag) fingen die Probleme erst richtig an.

    Mir ist hier jedoch etwas nicht klar. Aufgrund der repadmin Empfehlung die Replikation manuell anzustoßen, sind nun die USN arg auseinander.

    Der Problem DC01 hat eine "höhere" Nummer als der noch funktionierende DC02.

    Stellt das ein Problem dar beim Entfernen des DC01 aus dem AD?

    Des Weiteren noch die Frage: Domänennamenmaster und PID befinden sich auf dem Problem DC01. Diese muss ich im letzten Schritt übernehmen, richtig?

    Besten Dank nochmal und viele Grüße
    Daniel

    Bild von john
    john sagt:
    21. Juni 2015 - 19:58

    1000 x Danke
    Hat super funktioniert
    Fehlt nur noch der Hinweis (in der Anleitung) auf das 1x "q" vor remove server

    Bild von Jörg
    Jörg sagt:
    4. Juli 2016 - 20:07

    Sehr guter Beitrag, kurz und knackig... und funktioniert! Vielen Dank - auch an den Beitrag mit dem "q" ;-)

    Bild von Mirko
    Mirko sagt:
    10. März 2017 - 13:51

    mehr als 1000 Dank.
    Dank deiner Hilfe kann ich wieder weitermachen. Danke so mag ich das. kurz und einfach.

    Bild von Chris
    Chris sagt:
    22. Juni 2018 - 15:41

    super beschrieben. ich hatte alle schritte schon durch bis auf seizing der fsmo roles. nun funzt es wieder.

    tausend dank