Blog of Khlebalin Dmitriy

(Дорогу осилит идущий…)

Active Directory траблешутинг. Зачищаем данные от нашего старого «битого» dc1 (часть 5).

На праздниках было время, решил закончить траблешутинг и наконец уже начать работать с рабочей тестовой инфраструктурой.

В предыдущей части понизили контроллер домена до обычного сервера, теперь зачищаем базу AD.

Никогда ранее не сталкивался с тем, чтобы DC упал до такой степени, когда восстанавливать его приходится вот таким образом, ранее всегда удавалось обойтись «малой кровью», ни на каких курсах или экзаменах с таким вариантом тоже не сталкивался. Ну все когда-то бывает в первый раз 🙂

https://www.gotoadm.ru/removal-of-the-failed-domain-controller-from-active-directory/

В этом нам поможет NTDSutil:

  • необходимо выполнить вход на работающий контролер домена под учетной записью администратора
  • запустить командную строку (cmd) и запустить утилиту ntdsutil
  • в командной строке ntdsutil необходимо ввести metadata cleanup и нажмите enter (появится приглашение на очистку метаданных)
  • далее вводим connections , в результате отработки этой команды будет выведено приглашение на подключение к серверу
  • теперь нужно подключиться к нашему исправному контролеру домена командой connect to server dc2, где dc2 — наш исправный DC
  • набираем quit и нажимаем ввод — появляется приглашение на очистку данных
  • введите select operation target
  • далее — list domains. Здесь необходимо запомнить число, которым обозначается вышедший из строя контролер домена, данное значение нужно будет ввести в следующей команде
  • select domain 0 (или ваше число)
  • list site и нажмите enter, здесь также необходимо запомнить число, под которым представлен сайт
  • select site 0 (или ваше число)
  • следующая команда — list servers in site. Необходимо запомнить каким числом представлен неисправный DC и ввести эту цифру в следующей операции
  • select server 1 или 0 (т.е. ваше число).
  • quit — появится приглашение на очистку метаданных
  • remove selected server и нажмите Появится сообщение. Тщательно прочитайте его и примите обдуманное решение («ДА»).
  • введите quit и дважды нажмите ввод — после очистки метаданных вы выйдите из утилиты ntdsutil

Описанным выше образом, мы удалили объект параметров NTDS. Теперь стоит перейти к последующей очистке базы данных — удалим записи из DNS и ADSIEdit.

Откройте консоль DNS. Последовательно раскрывая элементы иерархической структуры, найдите объект вашего домена и щелкните на нем. В правой секции окна найдите запись хоста (А; она должна совпадать с родительской папкой) с IP-адресом сервера DC1.test.loc (вышедшего из строя DC). Щелкнув на ней правой кнопкой мыши, выберите пункт «Удалить». При появлении окна подтверждения  щелкните кнопку «ДА». В той же секции окна щелкните левой кнопкой на записи хоста DC1 (вышедший из строя DC) и выберите пункт «Удалить». Нажатием кнопки «ДА» подтвердите  намерение удалить запись. Теперь запись DNS, соответствующая серверу DC1, удалена. Закройте консоль DNS.

Теперь перейдем к консоли ADSIEdit, запустив ее из командной строки (cmd) командой adsiedit.msc:

  • Раскройте структуру Domain\DC=ваш_домен,DC=__\OU=Domain Controllers. Щелкнув на записи объекта CN=DC1 (вышедший из строя DC), нажмите клавишу Delete. В окне подтверждения щелкните «ДА». Таким образом, объекта dc1 в контексте именования домена на Active Directory больше нет.

  • Раскройте структуру Configuration\CN=Configuration,DC=ваш_домен, DC=__\CN=Sites\CN=Default-First-Site-Name\CN=Servers. Щелкнув на записи объекта  CN=DC1, нажмите Delete. В окне подтверждение нажмите «ДА». Теперь в контексте именования для конфигураций нет объекта DC1. Закройте консоль ADSIEdit.

Процедура по правильному и полному удалению вышедшего из строя контролера домена (или одного из контролеров домена вашей компании) выполнена. В ходе проделанных операций мы удалили все ссылки в Active Directiry об устаревшем/неисправному контролеру.

*Только после проделанных операций стоит продолжать настройку нового, в моем случае, Primary DC (хотя сейчас роль PDC у меня теперь выполняет DC2)! (обратите на это внимание, так как без этих манипуляций, новый контроллер с таким же именем, вместо старого, поднять не удастся, на определенном этапе при развертке, он просто покажет ошибку и благополучно уйдет в гидростопор). 

Продолжение следует…

Всем хорошей работы!!!

14.05.2019 Posted by | ms windows 2016 | 1 комментарий

Active Directory траблешутинг. Понижаем DC1 до обычного сервера (часть 4).

В предыдущем повествовании, перенесли ЦС. Понижаем наш «битый» dc (напомню, «битый» это у нас dc1), до обычного сервера.

Ранее мы уже смигрировали ЦС и удалили его на данном контроллере, поэтому такой надписи уже не появится. Ну а если ранее этого не сделали, придется сделать, иначе контроллер не понизить без проблем.

Но у нас в этом плане все в порядке, поэтому можем понизить контроллер:

И снова, теперь уже другая, ошибка при попытке понизить контроллер:

В идеальных условиях такой ошибки не возникнет, но так, как у нас данный контроллер «битый», соответственно выпадает вот такое окно (эта же ошибка была одной из при диагностике репликации и работоспособности контроллера).

Для того чтобы возможность понизить все же появилась, останавливаем вот эту службу принудительно.

Если есть тяга более детально погрузиться в процесс, вот здесь можно почитать для чего она необходима (благодарю коллег за интересный пост о аутентификации Kerberos):

https://dimanb.wordpress.com/2012/10/20/kerberos-02/

И снова пробуем понизить.

На этот раз все без проблем. Контроллер понижен, но это не значит, что не осталось его следов в базе AD, но это тема последующих повествований.

Продолжение следует…

Всем хорошей работы!!!

23.04.2019 Posted by | ms windows 2016 | Комментарии к записи Active Directory траблешутинг. Понижаем DC1 до обычного сервера (часть 4). отключены

Active Directory траблешутинг. Мигрируем ЦС (часть 3).

В предыдущем посте, передали роли FSMO. Мигрируем Центр Сертификации на рабочий контроллер.

Поднимаем ЦС на втором,  рабочем, контроллере.

Или можно вот так, если в последствии будет необходимо запрашивать сертификаты через Web.

Архивируем ЦС на «битом» контроллере.

Тут что-то пошло не так (добавочная архивация тут не нужна):

Кроме базы данных центра сертификации Microsoft, необходимо выгрузить и настройки, которые хранятся в реестре.

Для этого выгружаем ветку реестра:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc

В паке, куда все сохраняем, это должно выглядеть вот так.

Настроим только что установленный ЦС на втором контроллере:

Копируем папку со старого сервера ЦС , указываем путь к нему уже на новом сервере.

Если устанавливали Web компоненту, то будет вот так:

Для проверки Web составляющей: http://dc2.test.loc/certsrv

После настройки параметров ЦС, преступим к его восстановлению. На созданном сервере сертификатов выбираем «Восстановление ЦС»

Выбираем элементы, и указываем путь к папке, в которую произведен экспорт.

Восстановление завершено.

Осталось только восстановить параметры, которые хранятся в реестре.

Как раз для этого мы ранее и экспортировали ветку реестра:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc

Для импорта открываем файл и добавляем его в реестр. Появится предупреждающее окно. Нажмите “Да” для восстановления ключа реестра.

Видим, что выданные  ранее сертификаты присутствуют. ЭТО УЖЕ КОРОШО…

Удаляем старый ЦС на «мертвом» DC.

Проблема с данной ошибкой при удалении, обсуждается здесь:

https://social.technet.microsoft.com/Forums/ru-RU/0ef12ea2-2a90-436f-ab07-d0324c3d8946/1059107610721083108010901100-ad-ca?forum=WS8ru

Поменял значение в реестре, перезагрузил сервер, не помогло.

Прочитал несколько форумов, не нашел ничего внятного на эту тему…

Оказалось, ларчик просто открывался (это уже было выявлено эмпирическим путем)…

Сначала отдельно удаляем вот этот компонент в единственном числе: Служба регистрации в центре сертификации через Интернет

Потом снова пробуем удалить сам ЦС.

После этого, ЦС благополучно удаляется.

Наконец ЦС удален.

Перенос Центра сертификации закончен. Далее можно будет понизить наш «мертвый» DC1 до обычного сервера, но это уже в последующих повествованиях.

Продолжение следует…

Всем хорошей работы!!!

18.04.2019 Posted by | ms windows 2016 | 1 комментарий