Defekten Domänencontroller entfernen
Ist ein Domänencontroller ausgefallen oder eine beabsichtigte Herabstufung mittels dcpromo lief nicht korrekt zu Ende, befinden sich dessen Metadaten noch in der Active-Directory-Datenbank. Das stellt spätestens dann ein größeres Problem dar, wenn man einen neuen DC unter dem gleichen Namen wieder ins Active Directory einhängen will. Aber auch, wenn man das nicht vorhat, will man die Daten real nicht mehr existierender Objekte gerne sauber aus dem Verzeichnis entfernt sehen.
Dies geschieht in 3 Schritten:
- Entfernen der Metadaten,
- Entfernen der Objekte aus dem Active Directory,
- Entfernen des Servers aus dem DNS.
Entfernen der Metadaten
Die Metadaten des gestrandeten Servers entfernt man mittels des Kommandozeilentools ntdsutil.exe. Dazu öffnet man eine Eingabeaufforderung, startet das Tool und arbeitet sich mit
ntdsutil: metadata cleanupmetadata cleanup: connections
server connections: connect to server ‹funktionierender anderer Server›
server connections: q
metadata cleanup: select operation target
select operation target: list domains
select operation target: select domain ‹x›
select operation target: list sites
select operation target: select site ‹y›
select operation target: list servers in site
select operation target: select server ‹z›
q
zum defekten Server ‹z› vor. Befindet man sich dabei direkt an einer Server-Konsole, entfällt der Schritt im Kontext connections, sie besteht dann bereits automatisch. Mittels
remove selected serverentfernt man ihn schließlich, wobei man eine Warnung bestätigen muss, dass man den Server nie wieder in das Netz zurückbringen sollte. Nach der Bestätigung des Vorgangs durch das Active-Directory-d setzt man so oft den Befehl q ab, bis ntdsutil.exe beendet ist.
Objekte aus dem Active Directory entfernen
Nach den Metadaten entfernt man die Objekte des Servers aus dem Active Directory: Einmal in der Management-Konsole Active Directory-Standorte und Dienste, dann in der Management-Konsole Active Directory-Benutzer und Computer unter den Domänencontrollern. Das Active Directory fordert hier mehrere Bestätigungen an, deren eine Nach dem Grund der Entfernung des DC fragt. Hier bestätigt man, dass der DC ständig offline ist und nicht mehr mittels dcpromo herabgestuft werden kann.
Server aus DNS entfernen
Da Domänencontroller statisch im DNS eingetragen sind, muss man sie auch manuell wieder entfernen, wenn sie nicht mehr existieren, und zwar sowohl aus der Forward- als auch der Reverse-Lookupzone. Außerdem muss der Eintrag CNAME des Servers unter der Domäne _msdcs.root.* für die betreffende Struktur entfernt werden.
Weitere Aufräumarbeiten
Für den Fall, dass man den Domänencontroller komplett unerwartet vom Netz nehmen musste, stehen oft noch weitere Aufräumarbeiten an. Das sind unter anderem:
- Hielt er eine Kopie des globalen Katalogs, muss man hierfür einen geeigneten Ersatz-Server-finden.
- Hielt er eine oder mehrere FSMO-Rollen, muss man diese an andere Server übertragen.
- Handelte es sich um einen Nameserver, muss man Weiterleitungen und Zonenübertragungen eventuell neu konfigurieren, und den Umstieg auf einen anderen Nameserver für die Clients in der DHCP-Konfiguration hinterlegen.
Ähnliche Beiträge
- Problem: Exchange listet keine Organisationseinheiten auf
- Check-Liste, Tools: Konsistenz von Active Directory prüfen
- Health Report erstellen für Local Administrator Password Solution (LAPS)
- Exchange-Organisation aus dem Active Directory entfernen
- Lösung für "Die Vertrauensstellung zwischen dieser Arbeitsstation und der primären Domäne konnte nicht hergestellt werden"
Weitere Links
- Technisches Webinar zu Active Directory: Benutzerverwaltung automatisieren, Aufgaben delegieren, unerwünschte Änderungen erkennen
- Virtuelles Seminar: Active Directory absichern, auf Angriffe richtig reagieren
- Technisches Webinar: Änderungen im Active Directory erkennen, Angriffe auf das Netzwerk schnell bemerken
14 Kommentare
Gut und knapp erklärt. Mit nur einem kleinen Fehler.
Nachdem man den Server ausgewählt hat, also "select operation target:
select server ‹z›" muss mit q in die höhere Ebene gewechselt werden.
Dann kann der Befehl "remove selected server" ausgeführt werden.
Sonst gibts ne Syntax - Fehlermeldung!
Vielen Dank für diese super Erklärung!
(das q habe ich sofort nach der Syntax-Fehlermeldung gemacht).
Vielen Dank :)
Hat super geklappt.
Danke. Super Beitrag.
Kurz und knapp ...
Perfekt geklappt ...
Danke für's Bloggen ...
Super Erklärung, danke dafür und für den ganzen tollen Blog, komme immer wieder gerne hierher zum lesen und informieren... Gruss tom
"Objekte aus dem Active Directory entfernen"
Genau an dieser Stelle bekomme ich die Fehlermeldung, dass das Objekt nicht gelöscht werden konnte: Zugriff verweigert.
Haben Sie dazu einen Tipp?
Wenn der Zugriff auf das Element (Server) verweigert ist, bitte prüfen ob entweder das Serverobject oder aber die NTDS Daten auf dem Server vor zufälligem Löschen geschützt sind (Active Directory Benutzer und Computer).
Danach sollte es dann klappen, hat es bei mir jedenfalls.
Vielen Dank für Ihre Seite auf die ich "leider" erst gestoßen bin nachdem das Kind in den USN-Rollback Brunnen gefallen ist.
DC01 = Server 2003R2, defekt, jetzt runtergefahren.
DC02 = läuft auf Server 2008R2
Nach dem Rollback (Image vom Vortag) fingen die Probleme erst richtig an.
Mir ist hier jedoch etwas nicht klar. Aufgrund der repadmin Empfehlung die Replikation manuell anzustoßen, sind nun die USN arg auseinander.
Der Problem DC01 hat eine "höhere" Nummer als der noch funktionierende DC02.
Stellt das ein Problem dar beim Entfernen des DC01 aus dem AD?
Des Weiteren noch die Frage: Domänennamenmaster und PID befinden sich auf dem Problem DC01. Diese muss ich im letzten Schritt übernehmen, richtig?
Besten Dank nochmal und viele Grüße
Daniel
1000 x Danke
Hat super funktioniert
Fehlt nur noch der Hinweis (in der Anleitung) auf das 1x "q" vor remove server
Sehr guter Beitrag, kurz und knackig... und funktioniert! Vielen Dank - auch an den Beitrag mit dem "q" ;-)
mehr als 1000 Dank.
Dank deiner Hilfe kann ich wieder weitermachen. Danke so mag ich das. kurz und einfach.
super beschrieben. ich hatte alle schritte schon durch bis auf seizing der fsmo roles. nun funzt es wieder.
tausend dank
Vielen Dank für die tolle Beschreibung. Jetzt läuft der DC wieder sauber.