Удаление недоступного домен-контроллера с помощью ntdsutil
Материал из support.qbpro.ru
Версия от 01:01, 24 февраля 2024; Vix (обсуждение | вклад)
Исходные данные:
srv-krasnodar – оставшийся единственным домен-контроллер (Windows Server 2003 R2);
srv-moscow – вышестоящий не доступный домен-контроллер;
Moskva – не доступный сайт (сегмент сети) головной компании;
Krasnodar – сайт оставшегося сегмента сети;
domain.ru – наименование домена,
все команды выполняются от имени администратора домена.
Команды выполняются на srv-krasnodar:
C:\>ntdsutil ntdsutil: metadata cleanup metadata cleanup: connections server connections: connect to server srv-krasnodar Привязка к srv-krasnodar ... Подключен к srv-krasnodar с помощью учетных данных локального пользователя. server connections: q
- Выбираем сайт, в котором необходимо удалить несуществующий более домен-контроллер:
metadata cleanup: select operation target select operation target: list sites Найдено сайтов: 2 0 - CN=Moskva,CN=Sites,CN=Configuration,DC=domain,DC=ru 1 - CN=Krasnodar,CN=Sites,CN=Configuration,DC=domain,DC=ru select operation target: select site 0 Сайт - CN=Moskva,CN=Sites,CN=Configuration,DC=domain,DC=ru Нет текущего домена Нет текущего сервера Нет текущего контекста именования
- Выбираем сервер для удаления из AD:
select operation target: list servers in site Найдено серверов: 1 0 - CN=SRV-MOSCOW,CN=Servers,CN=Moskva,CN=Sites,CN=Configuration,DC=domain,DC=ru select operation target: select server 0 Сайт - CN=Moskva,CN=Sites,CN=Configuration,DC=domain,DC=ru Нет текущего домена Сервер - CN=SRV-MOSCOW,CN=Servers,CN=Moskva,CN=Sites,CN=Configuration,DC=domain,DC=ru Объект DSA - CN=NTDS Settings,CN=SRV-MOSCOW,CN=Servers,CN=Moskva,CN=Sites,CN=Configuration,DC=domain,DC=ru Имя DNS-узла - srv-moscow.domain.ru Объект-компьютер - CN=SRV-MOSCOW,OU=Domain Controllers,DC=domain,DC=ru Нет текущего контекста именования
- Выбираем домен в котором необходимо удалить несуществующий более домен-контроллер:
select operation target: list domains Найдено доменов: 1 0 - DC=domain,DC=ru select operation target: select domain 0 Сайт - CN=Moskva,CN=Sites,CN=Configuration,DC=domain,DC=ru Домен - DC=domain,DC=ru Сервер - CN=SRV-MOSCOW,CN=Servers,CN=Moskva,CN=Sites,CN=Configuration,DC=domain,DC=ru Объект DSA - CN=NTDS Settings,CN=SRV-MOSCOW,CN=Servers,CN=Moskva,CN=Sites,CN=Configuration,DC=domain,DC=ru Имя DNS-узла - srv-moscow.domain.ru Объект-компьютер - CN=SRV-MOSCOW,OU=Domain Controllers,DC=domain,DC=ru Нет текущего контекста именования select operation target: q
- Пытаемся удалить выбранный сервер:
metadata cleanup: remove selected server Передача ролей FSMO от выбранного сервера. Удаление метаданных FRS для выбранного сервера. Поиск членов FRS в "CN=SRV-MOSCOW,OU=Domain Controllers,DC=domain,DC=ru". Удаление члена FRS "CN=SRV-MOSCOW,CN=Domain System Volume (SYSVOL share),CN=File Replication Service,CN=System,DC=domain,DC=ru". Удаление поддерева в "CN=SRV-MOSCOW,CN=Domain System Volume (SYSVOL share),CN=File Replication Service,CN=System,DC=domain,DC=ru". Удаление поддерева в "CN=SRV-MOSCOW,OU=Domain Controllers,DC=domain,DC=ru". Ошибка при попытке удалить параметры FRS на CN=SRV-MOSCOW,CN=Servers,CN=Moskva,CN=Sites,CN=Configuration,DC=domain,DC=ru: "Элемент не найден."; очистка метаданных продолжается. DsRemoveDsServerW ошибка 0x5(Отказано в доступе.)
- В моём случае выскочила ошибка DsRemoveDsServerW ошибка 0x5(Отказано в доступе.), которая означает, что объект AD – удаляемый сервер, в соответствии с рекомендациями защищён от случайного удаления.
Чтобы снять данную защиту, на домен контроллере под управлением Windows Server 2008 и выше в оснастке Active Directory
– пользователи и компьютеры в меню Вид необходимо выбрать пункт Дополнительные компоненты:
Тогда на появившейся вкладке Объект свойств удаляемого домен-контроллера вы можете снять галочку Защитить объект от случайного удаления:
- В нашем случае, на контроллере домена под управлением Windows Server 2003 R2 такой вкладки с помощью GUI мы не увидим (а в некоторых случаех на Win2012r2 этого бывает недостаточно). Чтобы всё-таки снять данную защиту, необходимо в оснастке Active Directory – пользователи и компьютеры в свойствах удаляемого сервера зайти на вкладку Безопасность -> Дополнительно -> Выбрать разрешения для Все -> нажать Изменить… -> Снять галочки с запрета на Удаление и Удалить поддерево -> Нажать ОК:
- После выполнения данной операции удаление несуществующего домен-контроллера произойдёт без ошибки:
metadata cleanup: remove selected server Передача ролей FSMO от выбранного сервера. Удаление метаданных FRS для выбранного сервера. Не удалось найти ссылку сервера на "CN=SRV-MOSCOW,CN=Servers,CN=Moskva,CN=Sites,CN=Configuration,DC=domain,DC=ru". LDAP ошибка 0x5e(94 (В сообщении отсутствует результат). ) Ошибка при попытке удалить параметры FRS на CN=SRV-MOSCOW,CN=Servers,CN=Moskva,CN=Sites,CN=Configuration,DC=domain,DC=ru: "Элемент не найден."; очистка метаданных продолжается.
"CN=SRV-MOSCOW,CN=Servers,CN=Moskva,CN=Sites,CN=Configuration,DC=domain,DC=ru" удалена с сервера "srv-krasnodar" metadata cleanup: q ntdsutil: q Отключение от srv-krasnodar...
- Теперь в оснастке Active Directory – сайты и службы вы можете удалить более не нужные подсети и сайты. Если вы столкнётесь с ошибкой, что у вас нет достаточных привилегий для удаления того или иного объекта (Сайта, NTDS settings) – то с большой долей вероятности можно говорить о том, что он тоже защищён от случайного удаления. Для устранения таких ошибок вам следует выполнить те же операции по снятию данной защиты, которые мы произвели при удалении недоступного домен-контроллера…
- Нам осталось внимательнейшим образом просмотреть DNS с помощью соответствующей оснастки на предмет очистки данной службы от теперь уже устаревших записей, после чего нашу задачу по удалению более не существующего в сети домен-контроллера можно считать выполненной. В завершении, конечно, необходимо провести аудит доменных политик, служб DFS и т.д. (всего того, где мог быть задействован удалённый сервер).