Stirbt ein Domain Controller, gibt es unterschiedliche Möglichkeiten, wie man in solch einer Situation reagiert. Eine der Möglichkeiten ist, dass man den Server als defekt kennzeichnet und manuell aus der Active Directory entfernt.
Dieser Prozess sorgt dafür, dass der Server nicht mehr in der AD bekannt ist und sauber entfernt wird. In diesem Beitrag zeige ich die einzelnen Schritte, die notwendig sind. Ist dieser Vorgang abgeschlossen, ist der (kaputte) Server nicht mehr in der AD bekannt und könnte bei Bedarf neu aufgebaut werden.
Die FSMO Rollen
Prüfen Sie im Vorfeld, auf welchen Systemen die FSMO-Rollen betrieben werden. Betreiben Sie nur eine Domain, geht dies mit dem folgenden Befehl.
Get-ADDomain | Select-Object DistinguishedName, SchemaMaster, DomainNamingMaster, InfrastructureMaster, PDCEmulator, RIDMasterBefinden sich mehrere Domains in einem Forest, so kann der Forest mit dem folgenden Befehl abgefragt werden.
Get-ADForest | Select-Object Name, SchemaMaster, DomainNamingMaster, InfrastructureMaster, PDCEmulator, RIDMasterallWurden auf dem defekten Server eine oder mehrere FSMO-Rollen betrieben, so müssen diese Rollen im Vorfeld auf einen anderen, verbleibenden Server übertragen werden. Am einfachsten geht dies mit Hilfe der PowerShell. Die entsprechenden Rollen werden mit den Zahlen angesprochen.
Move-ADDirectoryServerOperationMasterRole -Identity "DC1" -OperationMasterRole 0,1,2,3,4 -ForceZur Info:
- PDCEmulator == 0
- RIDMaster == 1
- InfrastructureMaster == 2
- SchemaMaster == 3
- DomainNamingMaster == 4
Computer Objekt entfernen
Der erste Schritt ist die Entfernung von dem Computer Objekt unter Active Directory-Benutzer und -Computer. In der OU Domain Controllers wird sich vermutlich noch das Objekt befinden, welches entfernt werden muss.
Es erscheint eine Abfrage, ob dieses Objekt wirklich gelöscht werden soll. Diese Frage muss (natürlich) mit Ja beantwortet werden.
Da es sich um einen Domain Controller handelt, erscheint eine zweite Abfrage, die ebenfalls bestätigt werden muss. Dazu muss im unteren Bereich der Haken bei Diesen Domänencontroller auf jeden Fall entfernen. Er ist ständig offline und kann nicht mehr mit dem Deinstallations-Assistenten entfernt werden gesetzt werden.
Es erscheint eine weitere Abfrage, dass es sich bei diesem Server um einen AD-Controller handelt, der einen globalen Katalog hält. Stellen Sie sicher, dass es weitere Server in der AD/Site gibt, die ebenfalls einen globalen Katalog halten. Ist dies der Fall, können Sie den Vorgang fortsetzen.
Die Bereinigung der Replikation in Active Directory-Standorte und -Dienste
Nachdem das Computer Objekt entfernt wurde, muss die Replikation überprüft werden. Öffnen Sie dazu die Active Directory-Standorte und -Dienste und wechseln Sie in die korrekte Site. Hier sollte der Eintrag für den defekten AD-Controller sichtbar sein, allerdings ohne NTDS-Einstellungen.
Falls unterhalb des Server-Objekts doch noch NTDS Settings vorhanden sind, müssen diese im ersten Schritt gelöscht werden. Nachdem keine NTDS Settings mehr vorhanden sind, kann der komplette Server-Eintrag von dem nicht mehr vorhandenen Server entfernt werden.
Nach der Entfernung muss geprüft werden, ob die verbleibenden Einstellungen korrekt sind.
Die Bereinigung per NTDSUTIL
In bestimmten Fällen kann es vorkommen, dass in der Active Directory noch Fragmente vorhanden sind, die ebenfalls bereinigt werden müssen. Diese Überprüfung bzw. Bereinigung kann mit dem NTDSUTIL-Programm durchgeführt werden. Die Befehle zur Entfernung sind die folgenden:
ntdsutil
metadata cleanup
connections
connect to server SERVERNAME
quit
select operation target
list domains
select domain NUMMER
list sites
select site NUMMER
list servers in site
select server NUMMER
quit
remove selected server
In meinem Fall waren keine veralteten Einträge mehr vorhanden, daher musste die eigentliche Entfernung nicht gemacht werden. Sind bei euch hier veraltete Server-Einträge vorhanden, müssen diese entfernt werden.
Die Bereinigung des DNS
Der nächste Schritt ist eine Bereinigung der/des DNS Server. In den meisten Fällen ist der defekte Server hier noch mit mehreren Einträgen vorhanden, die bereinigt werden müssen.
Die Nameserver
In den Eigenschaften der Forward-Lookupzone muss überprüft werden, ob im Reiter Nameserver der defekte Server eingetragen ist. Wenn dies der Fall ist, wird die IP-Adresse häufig als unbekannt aufgeführt. Dieser Eintrag muss gelöscht werden.
Weitere Einträge
Nun muss noch der Host (A)-Eintrag für den Server entfernt werden, sowohl für die Domain als auch für den Server selbst. Hier sollten folgende Bereiche untersucht und ggf. bereinigt werden:
- Forward-Lookupzonen
- _msdsc -> dc -> _sites
- _msdsc -> dc -> _tcp
- Reverse-Lookupzonen
Fazit
Wenn Sie einen defekten Domain Controller manuell entfernen müssen, ist dies nicht zwangsläufig ein riesen Drama. Je weniger zusätzliche Rollen und Features auf dem System liefen, desto einfacher lässt sich das System ersetzen und neu aufbauen.
Eine sehr gute Anleitung, reduziert auf alle wesentlichen, aber notwendigen Schritte. Genauso soll es sein!
Vielen Dank
Perfekte Anleitung!!!
Danke
Auch ich habe dies gerade benötigt. Danke!
Vielen Dank! Tolle Anleitung.
Super Anleitung.
Ich danke dir.
LG Peter