Blog of Khlebalin Dmitriy

(Дорогу осилит идущий…)

Active Directory траблешутинг. Зачищаем данные от нашего старого «битого» dc1 (часть 5).

На праздниках было время, решил закончить траблешутинг и наконец уже начать работать с рабочей тестовой инфраструктурой.

В предыдущей части понизили контроллер домена до обычного сервера, теперь зачищаем базу AD.

Никогда ранее не сталкивался с тем, чтобы DC упал до такой степени, когда восстанавливать его приходится вот таким образом, ранее всегда удавалось обойтись «малой кровью», ни на каких курсах или экзаменах с таким вариантом тоже не сталкивался. Ну все когда-то бывает в первый раз 🙂

https://www.gotoadm.ru/removal-of-the-failed-domain-controller-from-active-directory/

В этом нам поможет NTDSutil:

  • необходимо выполнить вход на работающий контролер домена под учетной записью администратора
  • запустить командную строку (cmd) и запустить утилиту ntdsutil
  • в командной строке ntdsutil необходимо ввести metadata cleanup и нажмите enter (появится приглашение на очистку метаданных)
  • далее вводим connections , в результате отработки этой команды будет выведено приглашение на подключение к серверу
  • теперь нужно подключиться к нашему исправному контролеру домена командой connect to server dc2, где dc2 — наш исправный DC
  • набираем quit и нажимаем ввод — появляется приглашение на очистку данных
  • введите select operation target
  • далее — list domains. Здесь необходимо запомнить число, которым обозначается вышедший из строя контролер домена, данное значение нужно будет ввести в следующей команде
  • select domain 0 (или ваше число)
  • list site и нажмите enter, здесь также необходимо запомнить число, под которым представлен сайт
  • select site 0 (или ваше число)
  • следующая команда — list servers in site. Необходимо запомнить каким числом представлен неисправный DC и ввести эту цифру в следующей операции
  • select server 1 или 0 (т.е. ваше число).
  • quit — появится приглашение на очистку метаданных
  • remove selected server и нажмите Появится сообщение. Тщательно прочитайте его и примите обдуманное решение («ДА»).
  • введите quit и дважды нажмите ввод — после очистки метаданных вы выйдите из утилиты ntdsutil

Описанным выше образом, мы удалили объект параметров NTDS. Теперь стоит перейти к последующей очистке базы данных — удалим записи из DNS и ADSIEdit.

Откройте консоль DNS. Последовательно раскрывая элементы иерархической структуры, найдите объект вашего домена и щелкните на нем. В правой секции окна найдите запись хоста (А; она должна совпадать с родительской папкой) с IP-адресом сервера DC1.test.loc (вышедшего из строя DC). Щелкнув на ней правой кнопкой мыши, выберите пункт «Удалить». При появлении окна подтверждения  щелкните кнопку «ДА». В той же секции окна щелкните левой кнопкой на записи хоста DC1 (вышедший из строя DC) и выберите пункт «Удалить». Нажатием кнопки «ДА» подтвердите  намерение удалить запись. Теперь запись DNS, соответствующая серверу DC1, удалена. Закройте консоль DNS.

Теперь перейдем к консоли ADSIEdit, запустив ее из командной строки (cmd) командой adsiedit.msc:

  • Раскройте структуру Domain\DC=ваш_домен,DC=__\OU=Domain Controllers. Щелкнув на записи объекта CN=DC1 (вышедший из строя DC), нажмите клавишу Delete. В окне подтверждения щелкните «ДА». Таким образом, объекта dc1 в контексте именования домена на Active Directory больше нет.

  • Раскройте структуру Configuration\CN=Configuration,DC=ваш_домен, DC=__\CN=Sites\CN=Default-First-Site-Name\CN=Servers. Щелкнув на записи объекта  CN=DC1, нажмите Delete. В окне подтверждение нажмите «ДА». Теперь в контексте именования для конфигураций нет объекта DC1. Закройте консоль ADSIEdit.

Процедура по правильному и полному удалению вышедшего из строя контролера домена (или одного из контролеров домена вашей компании) выполнена. В ходе проделанных операций мы удалили все ссылки в Active Directiry об устаревшем/неисправному контролеру.

*Только после проделанных операций стоит продолжать настройку нового, в моем случае, Primary DC (хотя сейчас роль PDC у меня теперь выполняет DC2)! (обратите на это внимание, так как без этих манипуляций, новый контроллер с таким же именем, вместо старого, поднять не удастся, на определенном этапе при развертке, он просто покажет ошибку и благополучно уйдет в гидростопор). 

Продолжение следует…

Всем хорошей работы!!!

14.05.2019 Posted by | ms windows 2016 | 1 комментарий