Видаляємо несправний контролер домену за допомогою утиліти NTDSUTIL

Нерідкі ситуації, коли системному адміністратору доводиться вручну видаляти контролер домену з Active Directory. Такі ситуації виникають при фізичному виході з ладу півночі з роллю контролера домену або інший нештатної ситуації. Природно, найбільш переважно видалити контролер домену за допомогою команди DCPROMO (детально DCPROMO і її параметрах) Однак, що ж робити, якщо контролер домену недоступний (вимкнений, зламався, недоступний через мережу)?

Природно, не можна просто видалити обліковий запис контролера домену за допомогою оснастки Active Directory User and Computer.

В домені на Windows Server 2008 і вище при видаленні облікового запису комп'ютера несправного контролера домену за допомогою консолі ADUC (Dsa.msc) виконується автоматичне очищення метаданих в AD. І в загальному випадку ніяких додаткових ручних маніпуляцій, описаних нижче, виконувати не потрібно.

Для ручного видалення контролера домену з Active Directory підійде утиліта NTDSUTIL. NTDSUTIL - це утиліта командного рядка, яка призначена для виконання різних складних операцій з ActiveDirectory, в тому числі процедур обслуговування, управління і модифікації Active Directory. Я вже писав про використання Ntdsutil для створення знімків (snapshot) Active Directory.

Наступна інструкція дозволить вручну видалити несправний контролер домену.

Примітка: при використанні NTDSUTIL не обов'язково вводить команду цілком, досить ввести інформацію, що дозволяє однозначно ідентифікувати команду, наприклад замість того, щоб набирати metadata cleanup, можна набрати met cle, або m c

• Відкрийте командний рядок
• наберіть

  ntdsutil

  (Всі наступні команди будуть вводиться в контексті ntdsutil)

• metadata cleanup

• connections

• наберіть

  connect to server

  , де - ім'я працездатного контролера домену, господаря операцій

• quit

• select operation target

• list sites

• select site 

  , де - де - номер сайту, в якому знаходився несправний контролер домену (команда list sites відобразить номер сайту)

• list servers in site

• select server 

  ,де -де - номер несправного контролера домену (команда list servers відобразить номер сервера)

• list domains

• select domain 

  ,де   номер домену, в якому знаходиться несправний DC (команда list domains відобразить номер домену)

• quit

  (Повернемося в меню metadata cleanup)

• remove selected server

  (З'явиться попереджувала вікно, слід переконається, що видаляється шуканий контролер домену)

• Yes
• Відкрийте консоль Active Directory Sites and Services
• Розгорніть сайт, в якому знаходився непотрібний DC
• Перевірте, що даний контролер не містить ніяких об'єктів
• Клацніть правою кнопкою по контролеру і виберіть Delete
• Закрийте консоль Active Directory Sites and Services
• Відкрийте оснастку Active Directory Users and Computers
• розгорніть OU "Domain Controllers"
• Видаліть обліковий запис комп'ютера несправного контролера домену з даної OU
• Відкрийте оснастку DNS Manager
• Знайдіть зону DNS, для якої ваш контролер домену був DNS сервером
• Клацніть правою кнопкою миші по зоні і виберіть Properties
• Перейдіть на вкладку серверів Name Servers
• Видаліть запис несправного DC
• Натисніть ОК, для того щоб видалити всі залишилися DNS записи: HOST (A) або Pointer (PTR
• Переконайтеся, що в зоні не залишилося ніяких DNS записів, пов'язаних з віддаленим контролером домену

Ось і все, ми повністю видалили з DNS і Active Directory несправний контролер домену і всі ресурси, пов'язані з ним.