Defekten Domänencontroller entfernen

Sollte das Herabstufen eines Domänencontrollers (DC) oder das Heraufstufen eines Member Servers zum Domänencontroller fehlschlagen, können Einträge im Active Directory (AD) zurückbleiben. Das kann unschöne Folgen haben: Zum einen kann der Member Server unter selben Namen nicht mehr heraufgestuft werden, weil die zugehörigen AD Objekte teilweise bereits vorhanden sind. Zum anderen möchte man für gewöhnlich eine saubere Umgebung haben, sodass Seiteneffekte, wie beispielsweise das Auffinden nicht mehr vorhandener DCs durch Clients, vermieden werden.

Um nun die Überreste des DCs manuell zu entfernen, geht man wie folgt vor:

1.       Metadatenbereinigung

2.       Objekt aus dem AD entfernen

3.       Server aus DNS entfernen

Diese Schritte werden nachfolgend detailliert beschrieben.

1.   Metadata Cleanup

Zur Bereinigung der Metadaten kann auf das Tool ntdsutil zurückgegriffen werden. Gehen Sie wie folgt vor, um eine Metadatenbereinigung durchzuführen:

  • Öffnen Sie die CMD auf einem der Domänen Controller und geben Sie den Befehl ntdsutil ein

01_ntdsutil 01.PNG

  • Geben Sie metadata cleanup ein und drücken Sie Enter

02_ntdsutil 02.PNG

  • Geben Sie connections ein und drücken Sie Enter

03_ntdsutil 03.PNG

  • Bauen Sie eine Verbindung zu einem bestehendem Domänencontroller auf, mit welchem Sie die Bereinigung der Metadaten durchführen möchten. Verwenden Sie dazu den Befehl connect to server <servername>.

04_ntdsutil 04.PNG

  • Geben Sie q ein, um zum Bereich metadata cleanup zurückzugelangen

05_ntdsutil 05.PNG

  • Geben Sie select operation target ein und bestätigen Sie mit Enter.

06_ntdsutil 06.PNG

  • Geben Sie list domains ein, um alle Domains eines Forests mit einer zugehörigen Nummer aufzulisten.

07_ntdsutil 07.PNG

  • Wählen sie die betroffene Domain aus, indem Sie select domain <number> eingeben.

08_ntdsutil 08.PNG

  • Geben Sie list site ein.

09_ntdsutil 09.PNG

  • Geben Sie select site <number> ein, um die Site auszuwählen, welcher der fehlerhafte DC zugehörig war.

10_ntdsutil 10.PNG

  • Geben Sie list servers in site ein, um eine Liste aller Server zu erhalten, welche in der Site vertreten sind.

11_ntdsutil 11.PNG

  • Geben Sie select server <number> mit der Nummer des fehlerhaften bzw. zu entfernenden Servers ein.

12_ntdsutil 12.PNG

  • Geben Sie q ein, um wieder zum metadata cleanup zu gelangen.

13_ntdsutil 13.PNG

  • Geben Sie remove selected server ein und drücken Sie Enter.

14_ntdsutil 14.PNG

  • Es erscheint eine Warnmeldung, dass Sie im Begriff sind das Server Object des defekten Servers zu entfernen. Überprüfen Sie, ob es sich um den richtigen Server handelt und bestätigen Sie mit Yes

15_ntdsutil 15.PNG

Anschließend erhalten Sie eine Meldung, dass der DC erfolgreich entfernt wurde. Falls Sie eine Fehlermeldung erhalten, dass das Objekt nicht gefunden wurde, dann wurde es bereits vom DC entfernt.

  • Geben Sie q ein um wieder in den Bereich ntdsutil zu gelangen.

16_ntdsutil 16.PNG

2. Objekte aus AD entfernen

Öffnen Sie Active Directory Sites and Services und navigieren Sie zur zugehörigen Site. Active Directory Sites and Services > Sites > Default-First-Site-Name oder ggf. die entsprechende Site auswählen > Servers > Rechtsklick auf den Fehlerhaften DC -> Delete. Löschen Sie das Server Objekt, welches mit dem fehlerhaften DC verbunden ist.

17_ADSS 01.PNG

Öffnen Sie nun Active Directory Users and Computers und navigieren Sie zum Domain Controller Container. Löschen Sie das fehlerhafte Objekt.

18_ADUC 01.PNG

3.   DNS

Öffnen Sie den DNS Manager. Öffnen Sie die Zone in welcher der fehlerhafte DC vorhanden war, suchen Sie den zugehörigen DNS-Eintrag heraus und löschen Sie diesen mittels Rechtsklick > Delete.

Active Directory, Windows ServerIris Gerlachntdsutil, Metadata cleanup, ADSS, ADUC