Бывают различные ситуация, когда необходимо вывести контроллер домена из AD, чаще всего — физический выход из строя сервера с ролью DC. После (правильнее делать перед) установки и настройки нового, необходимо выполнить правильное удаление неактивного DC из Active Direcroty.
В данной заметке представлена инструкция по корректному выполнению этой операции при помощи утилиты
NTDSutil :
необходимо выполнить вход на работающий контролер домена под учетной записью администратора запустить командную строку (cmd) и запустить утилиту ntdsutil в командной строке ntdsutil необходимо ввести
metadata cleanup и нажмите enter
(появится приглашение на очистку метаданных) далее вводим
connections
, в результате отработки этой команды будет выведено приглашение на подключение к серверу теперь нужно подключиться к нашему исправному контролеру домена командой
connect to server server1
, где server1 — наш исправный DC набираем
quit
и нажимаем ввод — появляется приглашение на очистку данных введите
select operation target
далее —
list domains
Здесь необходимо запомнить число, которым обозначается вышедший из строя контролер домена, данное значение нужно будет ввести в следующей команде
select domain 0 (или ваше число) list site и нажмите enter
, здесь также необходимо запомнить число, под которым представлен сайт
select site 0 (или ваше число) следующая команда — list servers in sites
Необходимо запомнить каким числом представлен неисправный DC и ввести эту цифру в следующей операции
select server 1 или 0 (т.е. ваше число). quit
— появится приглашение на очистку метаданных
remove selected server и нажмите enter
. Появится сообщение. Тщательно прочитайте его и примите обдуманное решение («ДА»). введите quit и дважды нажмите ввод — после очистки метаданных вы выйдите из утилиты ntdsutil Описанным выше образом, мы удалили объект параметров NTDS.
Теперь стоит перейти к последующей очистке базы данных — удалим записи из DNS и ADSIEdit. Откройте консоль DNS. Последовательно раскрывая элементы иерархической структуры, найдите объект вашего домена и щелкните на нем. В правой секции окна найдите запись хоста (А; она должна совпадать с родительской папкой) с IP-адресом сервера Server2 (вышедшего из строя DC). Щелкнув на ней правой кнопкой мыши, выберите пункт «Удалить». При появлении окна подтверждения щелкните кнопку «ДА». В той же секции окна щелкните левой кнопкой на записи хоста Server2 (вышедший из строя DC) и выберите пункт «Удалить». Нажатием кнопки «ДА» подтвердите намерение удалить запись. Теперь запись DNS, соответствующая серверу Server2, удалена. Закройте консоль DNS. Теперь перейдем к консоли ADSIEdit, запустив ее из командной строки (cmd) командой
adsiedit.msc
Раскройте структуру Domain\DC=ваш_домен,DC=__\OU=Domain Controllers. Щелкнув на записи объекта CN=Server2 (вышедший из строя DC), нажмите клавишу Delete. В окне подтверждения щелкните «ДА». Таким образом, объекта Server2 в контексте именования домена на Active Directory больше нет. Раскройте структуру Configuration\CN=Configuration,DC=ваш_домен, DC=__\CN=Sites\CN=Default-First-Site-Name\CN=Servers. Щелкнув на записи объекта CN=Server2, нажмите Delete. В окне подтверждение нажмите «ДА». Теперь в контексте именования для конфигураций нет объекта Server2. Закройте консоль ADSIEdit. Мы выполнили процедуру по правильному и полному удалению вышедшего из строя контролера домена (или одного из контролеров домена вашей компании). В ходе проделанных операций мы удалили все ссылки в Active Directiry об устаревшем/неисправному контролеру. *Только после проделанных операций стоит продолжать настройку нового Primary DC!