Июл 212017
 

Бывают различные ситуация, когда необходимо вывести контроллер домена из AD, чаще всего — физический выход из строя сервера с ролью DC. После (правильнее делать перед) установки и настройки нового, необходимо выполнить правильное удаление неактивного DC из AD. В данной заметке представлена инструкция по корректному выполнению этой операции при помощи утилиты NTDSutil :

необходимо выполнить вход на работающий контролер домена под учетной записью администратора
запустить командную строку (cmd от администратора!) и запустить утилиту ntdsutil
в командной строке ntdsutil необходимо ввести metadata cleanup и нажмите enter (появится приглашение на очистку метаданных)
далее вводим connections , в результате отработки этой команды будет выведено приглашение на подключение к серверу
теперь нужно подключиться к нашему исправному контролеру домена командой connect to server pdc1, где pdc1 — наш исправный DC
набираем quit и нажимаем ввод — появляется приглашение на очистку данных
введите select operation target
далее — list domains. Здесь необходимо запомнить число, которым обозначается вышедший из строя контролер домена, данное значение нужно будет ввести в следующей команде
select domain 0 (или ваше число)
list site и нажмите enter, здесь также необходимо запомнить число, под которым представлен сайт

select site 0 (или ваше число)
следующая команда — list servers in site. Необходимо запомнить каким числом представлен неисправный DC и ввести эту цифру в следующей операции
select server 1 или 0 (т.е. ваше число).
quit — появится приглашение на очистку метаданных
remove selected server и нажмите enter. Появится сообщение. Тщательно прочитайте его и примите обдуманное решение («ДА»).
введите quit и дважды нажмите ввод — после очистки метаданных вы выйдите из утилиты ntdsutil

Описанным выше образом, мы удалили объект параметров NTDS. Теперь стоит перейти к последующей очистке базы данных — удалим записи из DNS и ADSIEdit.

Откройте консоль DNS. Последовательно раскрывая элементы иерархической структуры, найдите объект вашего домена и щелкните на нем.В правой секции окна найдите запись хоста (А; она должна совпадать с родительской папкой) с IP-адресом сервера Server2 (вышедшего из строя DC). Щелкнув на ней правой кнопкой мыши, выберите пункт «Удалить». При появлении окна подтверждения щелкните кнопку «ДА». В той же секции окна щелкните левой кнопкой на записи хоста Server2 (вышедший из строя DC) и выберите пункт «Удалить». Нажатием кнопки «ДА» подтвердите намерение удалить запись. Теперь запись DNS, соответствующая серверу Server2, удалена. Закройте консоль DNS.

Теперь перейдем к консоли ADSIEdit, запустив ее из командной строки (cmd — от имени Администратора) командой adsiedit.msc:

Раскройте структуру Domain\DC=ваш_домен,DC=__\OU=Domain Controllers. Щелкнув на записи объекта CN=Server2 (вышедший из строя DC), нажмите клавишу Delete. В окне подтверждения щелкните «ДА». Таким образом, объекта Server2 в контексте именования домена на AD больше нет.
Раскройте структуру Configuration\CN=Configuration,DC=ваш_домен, DC=__\CN=Sites\CN=Default-First-Site-Name\CN=Servers. Щелкнув на записи объекта CN=Server2, нажмите Delete. В окне подтверждение нажмите «ДА». Теперь в контексте именования для конфигураций нет объекта Server2. Закройте консоль ADSIEdit.

Мы выполнили процедуру по правильному и полному удалению вышедшего из строя контролера домена (или одного из контролеров домена вашей компании). В ходе проделанных операций мы удалили все ссылки в AD об устаревшем/неисправному контролеру.

*Только после проделанных операций стоит продолжать настройку нового Primary DC!