Удаление недоступного домен-контроллера с помощью ntdsutil

Материал из support.qbpro.ru
Версия от 01:01, 24 февраля 2024; Vix (обсуждение | вклад)
(разн.) ← Предыдущая версия | Текущая версия (разн.) | Следующая версия → (разн.)

Исходные данные:

srv-krasnodar – оставшийся единственным домен-контроллер (Windows Server 2003 R2);
srv-moscow – вышестоящий не доступный домен-контроллер;
Moskva – не доступный сайт (сегмент сети) головной компании;
Krasnodar – сайт оставшегося сегмента сети;
domain.ru – наименование домена,
все команды выполняются от имени администратора домена.
Команды выполняются на srv-krasnodar:

C:\>ntdsutil
ntdsutil: metadata cleanup
metadata cleanup: connections
server connections: connect to server srv-krasnodar
Привязка к srv-krasnodar ...
Подключен к srv-krasnodar с помощью учетных данных локального пользователя.
server connections: q
  • Выбираем сайт, в котором необходимо удалить несуществующий более домен-контроллер:
metadata cleanup: select operation target
select operation target: list sites
Найдено сайтов: 2
0 - CN=Moskva,CN=Sites,CN=Configuration,DC=domain,DC=ru
1 - CN=Krasnodar,CN=Sites,CN=Configuration,DC=domain,DC=ru
select operation target: select site 0
Сайт - CN=Moskva,CN=Sites,CN=Configuration,DC=domain,DC=ru
Нет текущего домена
Нет текущего сервера
Нет текущего контекста именования
  • Выбираем сервер для удаления из AD:
select operation target: list servers in site
Найдено серверов: 1
0 - CN=SRV-MOSCOW,CN=Servers,CN=Moskva,CN=Sites,CN=Configuration,DC=domain,DC=ru
select operation target: select server 0
Сайт - CN=Moskva,CN=Sites,CN=Configuration,DC=domain,DC=ru
Нет текущего домена
Сервер - CN=SRV-MOSCOW,CN=Servers,CN=Moskva,CN=Sites,CN=Configuration,DC=domain,DC=ru
        Объект DSA - CN=NTDS Settings,CN=SRV-MOSCOW,CN=Servers,CN=Moskva,CN=Sites,CN=Configuration,DC=domain,DC=ru
        Имя DNS-узла - srv-moscow.domain.ru
        Объект-компьютер - CN=SRV-MOSCOW,OU=Domain Controllers,DC=domain,DC=ru
Нет текущего контекста именования
  • Выбираем домен в котором необходимо удалить несуществующий более домен-контроллер:
select operation target: list domains
Найдено доменов: 1
0 - DC=domain,DC=ru
select operation target: select domain 0
Сайт - CN=Moskva,CN=Sites,CN=Configuration,DC=domain,DC=ru
Домен - DC=domain,DC=ru
Сервер - CN=SRV-MOSCOW,CN=Servers,CN=Moskva,CN=Sites,CN=Configuration,DC=domain,DC=ru
        Объект DSA - CN=NTDS Settings,CN=SRV-MOSCOW,CN=Servers,CN=Moskva,CN=Sites,CN=Configuration,DC=domain,DC=ru
        Имя DNS-узла - srv-moscow.domain.ru
        Объект-компьютер - CN=SRV-MOSCOW,OU=Domain Controllers,DC=domain,DC=ru
Нет текущего контекста именования
select operation target: q
  • Пытаемся удалить выбранный сервер:
metadata cleanup: remove selected server
Передача ролей FSMO от выбранного сервера.
Удаление метаданных FRS для выбранного сервера.
Поиск членов FRS в "CN=SRV-MOSCOW,OU=Domain Controllers,DC=domain,DC=ru".
Удаление члена FRS "CN=SRV-MOSCOW,CN=Domain System Volume (SYSVOL share),CN=File Replication 
Service,CN=System,DC=domain,DC=ru".
Удаление поддерева в "CN=SRV-MOSCOW,CN=Domain System Volume (SYSVOL share),CN=File Replication 
Service,CN=System,DC=domain,DC=ru".
Удаление поддерева в "CN=SRV-MOSCOW,OU=Domain Controllers,DC=domain,DC=ru".
Ошибка при попытке удалить параметры FRS на CN=SRV-MOSCOW,CN=Servers,CN=Moskva,CN=Sites,CN=Configuration,DC=domain,DC=ru: 
"Элемент не найден.";
очистка метаданных продолжается.
DsRemoveDsServerW ошибка 0x5(Отказано в доступе.)
  • В моём случае выскочила ошибка DsRemoveDsServerW ошибка 0x5(Отказано в доступе.), которая означает, что объект AD – удаляемый сервер, в соответствии с рекомендациями защищён от случайного удаления.

Чтобы снять данную защиту, на домен контроллере под управлением Windows Server 2008 и выше в оснастке Active Directory
пользователи и компьютеры в меню Вид необходимо выбрать пункт Дополнительные компоненты:
AD1.jpg

Тогда на появившейся вкладке Объект свойств удаляемого домен-контроллера вы можете снять галочку Защитить объект от случайного удаления:
AD2.jpg

  • В нашем случае, на контроллере домена под управлением Windows Server 2003 R2 такой вкладки с помощью GUI мы не увидим (а в некоторых случаех на Win2012r2 этого бывает недостаточно). Чтобы всё-таки снять данную защиту, необходимо в оснастке Active Directoryпользователи и компьютеры в свойствах удаляемого сервера зайти на вкладку Безопасность -> Дополнительно -> Выбрать разрешения для Все -> нажать Изменить… -> Снять галочки с запрета на Удаление и Удалить поддерево -> Нажать ОК:

AD3.jpg

  • После выполнения данной операции удаление несуществующего домен-контроллера произойдёт без ошибки:
metadata cleanup: remove selected server
Передача ролей FSMO от выбранного сервера.
Удаление метаданных FRS для выбранного сервера.
Не удалось найти ссылку сервера на "CN=SRV-MOSCOW,CN=Servers,CN=Moskva,CN=Sites,CN=Configuration,DC=domain,DC=ru".
LDAP ошибка 0x5e(94 (В сообщении отсутствует результат).
)
Ошибка при попытке удалить параметры FRS на CN=SRV-MOSCOW,CN=Servers,CN=Moskva,CN=Sites,CN=Configuration,DC=domain,DC=ru: 
"Элемент не найден.";
очистка метаданных продолжается.

AD4.jpg

"CN=SRV-MOSCOW,CN=Servers,CN=Moskva,CN=Sites,CN=Configuration,DC=domain,DC=ru" удалена с сервера "srv-krasnodar"
metadata cleanup: q
ntdsutil: q
Отключение от srv-krasnodar...
  • Теперь в оснастке Active Directory – сайты и службы вы можете удалить более не нужные подсети и сайты. Если вы столкнётесь с ошибкой, что у вас нет достаточных привилегий для удаления того или иного объекта (Сайта, NTDS settings) – то с большой долей вероятности можно говорить о том, что он тоже защищён от случайного удаления. Для устранения таких ошибок вам следует выполнить те же операции по снятию данной защиты, которые мы произвели при удалении недоступного домен-контроллера…
  • Нам осталось внимательнейшим образом просмотреть DNS с помощью соответствующей оснастки на предмет очистки данной службы от теперь уже устаревших записей, после чего нашу задачу по удалению более не существующего в сети домен-контроллера можно считать выполненной. В завершении, конечно, необходимо провести аудит доменных политик, служб DFS и т.д. (всего того, где мог быть задействован удалённый сервер).