Удаление недоступного домен-контроллера с помощью ntdsutil: различия между версиями
Материал из support.qbpro.ru
Vix (обсуждение | вклад) (Новая страница: «Исходные данные: '''srv-krasnodar''' – оставшийся единственным домен-контроллер (Windows Server 2003 R2);<br> '''srv-moscow''' – вышестоящий не доступный домен-контроллер;<br> '''Moskva''' – не доступный сайт (сегмент сети) головной компании;<br> '''Krasnodar''' – сайт оставшегося сегмента сети;...») |
Vix (обсуждение | вклад) Нет описания правки |
||
| Строка 70: | Строка 70: | ||
* В моём случае выскочила ошибка '''DsRemoveDsServerW ошибка 0x5(Отказано в доступе.)''', которая означает, что объект AD – удаляемый сервер, в соответствии с рекомендациями защищён от случайного удаления.<br> | * В моём случае выскочила ошибка '''DsRemoveDsServerW ошибка 0x5(Отказано в доступе.)''', которая означает, что объект AD – удаляемый сервер, в соответствии с рекомендациями защищён от случайного удаления.<br> | ||
Чтобы снять данную защиту, на домен контроллере под управлением Windows Server 2008 и выше в оснастке Active Directory – пользователи и компьютеры в меню Вид необходимо выбрать пункт Дополнительные компоненты:<br> | Чтобы снять данную защиту, на домен контроллере под управлением Windows Server 2008 и выше в оснастке '''Active Directory'''<br> | ||
– '''пользователи и компьютеры''' в меню '''Вид''' необходимо выбрать пункт '''Дополнительные компоненты''':<br> | |||
[[Файл:AD1.jpg]]<br> | |||
<br> | |||
Тогда на появившейся вкладке Объект свойств удаляемого домен-контроллера вы можете снять галочку Защитить объект от случайного удаления:<br> | Тогда на появившейся вкладке Объект свойств удаляемого домен-контроллера вы можете снять галочку '''Защитить объект от случайного удаления''':<br> | ||
[[Файл:AD2.jpg]]<br> | |||
* | <br> | ||
* В нашем случае, на контроллере домена под управлением Windows Server 2003 R2 такой вкладки с помощью '''GUI''' мы не увидим (а в некоторых случаех на '''Win2012r2''' этого бывает недостаточно). Чтобы всё-таки снять данную защиту, необходимо в оснастке '''Active Directory''' – '''пользователи и компьютеры''' в свойствах удаляемого сервера зайти на вкладку '''Безопасность''' -> '''Дополнительно''' -> Выбрать разрешения для '''Все''' -> нажать '''Изменить'''… -> Снять галочки с запрета на '''Удаление''' и Удалить поддерево -> Нажать '''ОК''':<br> | |||
В нашем случае, на контроллере домена под управлением Windows Server 2003 R2 такой вкладки с помощью GUI мы не увидим. Чтобы всё-таки снять данную защиту, необходимо в оснастке Active Directory – пользователи и компьютеры в свойствах удаляемого сервера зайти на вкладку Безопасность -> Дополнительно -> Выбрать разрешения для Все -> нажать | [[Файл:AD3.jpg]]<br> | ||
<br> | |||
<br> | |||
* После выполнения данной операции удаление несуществующего домен-контроллера произойдёт без ошибки:<br> | |||
metadata cleanup: remove selected server | metadata cleanup: remove selected server | ||
Передача ролей FSMO от выбранного сервера. | Передача ролей FSMO от выбранного сервера. | ||
| Строка 93: | Строка 91: | ||
"Элемент не найден."; | "Элемент не найден."; | ||
очистка метаданных продолжается. | очистка метаданных продолжается. | ||
[[Файл:AD4.jpg]]<br> | |||
<br> | |||
"CN=SRV-MOSCOW,CN=Servers,CN=Moskva,CN=Sites,CN=Configuration,DC=domain,DC=ru" удалена с сервера "srv-krasnodar" | "CN=SRV-MOSCOW,CN=Servers,CN=Moskva,CN=Sites,CN=Configuration,DC=domain,DC=ru" удалена с сервера "srv-krasnodar" | ||
metadata cleanup: q | metadata cleanup: q | ||
| Строка 100: | Строка 98: | ||
Отключение от srv-krasnodar... | Отключение от srv-krasnodar... | ||
* Теперь в оснастке Active Directory – сайты и службы вы можете удалить более не нужные подсети и сайты. Если вы столкнётесь с ошибкой, что у вас нет достаточных привилегий для удаления того или иного объекта (Сайта, NTDS settings) – то с большой долей вероятности можно говорить о том, что он тоже защищён от случайного удаления. Для устранения таких ошибок вам следует выполнить те же операции по снятию данной защиты, которые мы произвели при удалении недоступного домен-контроллера…<br> | * Теперь в оснастке '''Active Directory''' – сайты и службы вы можете удалить более не нужные подсети и сайты. Если вы столкнётесь с ошибкой, что у вас нет достаточных привилегий для удаления того или иного объекта (Сайта, NTDS settings) – то с большой долей вероятности можно говорить о том, что он тоже защищён от случайного удаления. Для устранения таких ошибок вам следует выполнить те же операции по снятию данной защиты, которые мы произвели при удалении недоступного домен-контроллера…<br> | ||
* Нам осталось внимательнейшим образом просмотреть DNS с помощью соответствующей оснастки на предмет очистки данной службы от теперь уже устаревших записей, после чего нашу задачу по удалению более не существующего в сети домен-контроллера можно считать выполненной. В завершении, конечно, необходимо провести аудит доменных политик, служб DFS и т.д. (всего того, где мог быть задействован удалённый сервер). | * Нам осталось внимательнейшим образом просмотреть '''DNS''' с помощью соответствующей оснастки на предмет очистки данной службы от теперь уже устаревших записей, после чего нашу задачу по удалению более не существующего в сети домен-контроллера можно считать выполненной. В завершении, конечно, необходимо провести аудит доменных политик, служб '''DFS''' и т.д. (всего того, где мог быть задействован удалённый сервер). | ||
* [https://maxblogs.ru/articles/udalenie-nedostupnogo-domen-kontrollera-s-pomoshchyu-ntdsutil Источник] | * [https://maxblogs.ru/articles/udalenie-nedostupnogo-domen-kontrollera-s-pomoshchyu-ntdsutil Источник] | ||
Версия от 01:00, 24 февраля 2024
Исходные данные:
srv-krasnodar – оставшийся единственным домен-контроллер (Windows Server 2003 R2);
srv-moscow – вышестоящий не доступный домен-контроллер;
Moskva – не доступный сайт (сегмент сети) головной компании;
Krasnodar – сайт оставшегося сегмента сети;
domain.ru – наименование домена,
все команды выполняются от имени администратора домена.
Команды выполняются на srv-krasnodar:
C:\>ntdsutil ntdsutil: metadata cleanup metadata cleanup: connections server connections: connect to server srv-krasnodar Привязка к srv-krasnodar ... Подключен к srv-krasnodar с помощью учетных данных локального пользователя. server connections: q
- Выбираем сайт, в котором необходимо удалить несуществующий более домен-контроллер:
metadata cleanup: select operation target select operation target: list sites Найдено сайтов: 2 0 - CN=Moskva,CN=Sites,CN=Configuration,DC=domain,DC=ru 1 - CN=Krasnodar,CN=Sites,CN=Configuration,DC=domain,DC=ru select operation target: select site 0 Сайт - CN=Moskva,CN=Sites,CN=Configuration,DC=domain,DC=ru Нет текущего домена Нет текущего сервера Нет текущего контекста именования
- Выбираем сервер для удаления из AD:
select operation target: list servers in site
Найдено серверов: 1
0 - CN=SRV-MOSCOW,CN=Servers,CN=Moskva,CN=Sites,CN=Configuration,DC=domain,DC=ru
select operation target: select server 0
Сайт - CN=Moskva,CN=Sites,CN=Configuration,DC=domain,DC=ru
Нет текущего домена
Сервер - CN=SRV-MOSCOW,CN=Servers,CN=Moskva,CN=Sites,CN=Configuration,DC=domain,DC=ru
Объект DSA - CN=NTDS Settings,CN=SRV-MOSCOW,CN=Servers,CN=Moskva,CN=Sites,CN=Configuration,DC=domain,DC=ru
Имя DNS-узла - srv-moscow.domain.ru
Объект-компьютер - CN=SRV-MOSCOW,OU=Domain Controllers,DC=domain,DC=ru
Нет текущего контекста именования
- Выбираем домен в котором необходимо удалить несуществующий более домен-контроллер:
select operation target: list domains
Найдено доменов: 1
0 - DC=domain,DC=ru
select operation target: select domain 0
Сайт - CN=Moskva,CN=Sites,CN=Configuration,DC=domain,DC=ru
Домен - DC=domain,DC=ru
Сервер - CN=SRV-MOSCOW,CN=Servers,CN=Moskva,CN=Sites,CN=Configuration,DC=domain,DC=ru
Объект DSA - CN=NTDS Settings,CN=SRV-MOSCOW,CN=Servers,CN=Moskva,CN=Sites,CN=Configuration,DC=domain,DC=ru
Имя DNS-узла - srv-moscow.domain.ru
Объект-компьютер - CN=SRV-MOSCOW,OU=Domain Controllers,DC=domain,DC=ru
Нет текущего контекста именования
select operation target: q
- Пытаемся удалить выбранный сервер:
metadata cleanup: remove selected server Передача ролей FSMO от выбранного сервера. Удаление метаданных FRS для выбранного сервера. Поиск членов FRS в "CN=SRV-MOSCOW,OU=Domain Controllers,DC=domain,DC=ru". Удаление члена FRS "CN=SRV-MOSCOW,CN=Domain System Volume (SYSVOL share),CN=File Replication Service,CN=System,DC=domain,DC=ru". Удаление поддерева в "CN=SRV-MOSCOW,CN=Domain System Volume (SYSVOL share),CN=File Replication Service,CN=System,DC=domain,DC=ru". Удаление поддерева в "CN=SRV-MOSCOW,OU=Domain Controllers,DC=domain,DC=ru". Ошибка при попытке удалить параметры FRS на CN=SRV-MOSCOW,CN=Servers,CN=Moskva,CN=Sites,CN=Configuration,DC=domain,DC=ru: "Элемент не найден."; очистка метаданных продолжается. DsRemoveDsServerW ошибка 0x5(Отказано в доступе.)
- В моём случае выскочила ошибка DsRemoveDsServerW ошибка 0x5(Отказано в доступе.), которая означает, что объект AD – удаляемый сервер, в соответствии с рекомендациями защищён от случайного удаления.
Чтобы снять данную защиту, на домен контроллере под управлением Windows Server 2008 и выше в оснастке Active Directory
– пользователи и компьютеры в меню Вид необходимо выбрать пункт Дополнительные компоненты:
Тогда на появившейся вкладке Объект свойств удаляемого домен-контроллера вы можете снять галочку Защитить объект от случайного удаления:
- В нашем случае, на контроллере домена под управлением Windows Server 2003 R2 такой вкладки с помощью GUI мы не увидим (а в некоторых случаех на Win2012r2 этого бывает недостаточно). Чтобы всё-таки снять данную защиту, необходимо в оснастке Active Directory – пользователи и компьютеры в свойствах удаляемого сервера зайти на вкладку Безопасность -> Дополнительно -> Выбрать разрешения для Все -> нажать Изменить… -> Снять галочки с запрета на Удаление и Удалить поддерево -> Нажать ОК:
- После выполнения данной операции удаление несуществующего домен-контроллера произойдёт без ошибки:
metadata cleanup: remove selected server Передача ролей FSMO от выбранного сервера. Удаление метаданных FRS для выбранного сервера. Не удалось найти ссылку сервера на "CN=SRV-MOSCOW,CN=Servers,CN=Moskva,CN=Sites,CN=Configuration,DC=domain,DC=ru". LDAP ошибка 0x5e(94 (В сообщении отсутствует результат). ) Ошибка при попытке удалить параметры FRS на CN=SRV-MOSCOW,CN=Servers,CN=Moskva,CN=Sites,CN=Configuration,DC=domain,DC=ru: "Элемент не найден."; очистка метаданных продолжается.
"CN=SRV-MOSCOW,CN=Servers,CN=Moskva,CN=Sites,CN=Configuration,DC=domain,DC=ru" удалена с сервера "srv-krasnodar" metadata cleanup: q ntdsutil: q Отключение от srv-krasnodar...
- Теперь в оснастке Active Directory – сайты и службы вы можете удалить более не нужные подсети и сайты. Если вы столкнётесь с ошибкой, что у вас нет достаточных привилегий для удаления того или иного объекта (Сайта, NTDS settings) – то с большой долей вероятности можно говорить о том, что он тоже защищён от случайного удаления. Для устранения таких ошибок вам следует выполнить те же операции по снятию данной защиты, которые мы произвели при удалении недоступного домен-контроллера…
- Нам осталось внимательнейшим образом просмотреть DNS с помощью соответствующей оснастки на предмет очистки данной службы от теперь уже устаревших записей, после чего нашу задачу по удалению более не существующего в сети домен-контроллера можно считать выполненной. В завершении, конечно, необходимо провести аудит доменных политик, служб DFS и т.д. (всего того, где мог быть задействован удалённый сервер).
