Domain controller policy gpmc.msc Come rimuovere un Domain Controller (DC) non più funzionante Pubblicato da: Max-B su: 18 giugno 2007 In: Windows Server 2003 Commenta! Se nel vostro dominio muore uno dei Domain Controller (Windows Server 2003), magari obsoleto e utilizzato solo per la replica di Active Directory, gli altri servers continueranno a funzionare tentando però di replicarsi sul server defunto. Ripulire Active Directory dalle repliche non necessarie, almeno per me, non è stata una cosa banale. Come spesso accade in questi casi la parte più difficile è stata reperire un guida sicura per effettuare questa delicata operazione. Personalmente ho seguito la guida Rimozione di dati in Active Directory dopo un abbassamento di livello non riuscito di un controller di dominio riportata sul sito di Microsoft con alcune modifiche. La procedura che ho seguito può essere sintetizzata in 5 fasi che vedremo in dettaglio: Verificare chi detiene il Global catalogue Verificare chi detiene i 5 ruli FSMO Rimozione del server con ntdsutil (da guida Microsoft) Rimozione delle repliche con ADSIedit (da guida Microsoft) Rimozione delle repliche in Active directory sites and services Verificare chi detiene il Global catalogue 1. Aprite il pannello Active directory sites and services e visualizzate la lista dei servers. All interno di ogni server trovate le NTDS setting. 2. Cliccate con il tasto destro del mouse su NTDS setting e selezionate Properties. 3. All interno della scheda General verificate che il Global catalogue sia presente in almeno uno dei server attivi. Verificare chi detiene i 5 ruli FSMO 1. In Active directory users and computers cliccate con il tasto destro sul vostro dominio e selezionate Operations Masters. 2. Verificate che i 3 ruoli RID, PDC e Infrastructure siano assegnati ai vostri server attivi 3. Aprite Active directory domains and trusts e cliccate con il tasto destro su Active directory domains and trusts selezionando Operations Masters. 4. Verificate che il 4 ruolo di Domain Naming Master sia assegnato ad uno dei server attivi. 5. Se non lo avete già fatto, registrate lo snap-in dello Schema utilizzano il seguente comando in Start->Run regsvr32 schmmgmt.dll 6. Aprite una consolle mmc (scrivendo mmc in Start->Run ) e aggiungete lo snap-in Active Directory Schema. 7. Cliccate con il tasto destro e selezionate Operations Masters. 1
8. Verificate che il 5 ruolo di Schema Master sia assegnato ad uno dei server attivi. Rimozione del server con ntdsutil Per la parte seguente ho seguito la guida Rimozione di dati in Active Directory dopo un abbassamento di livello non riuscito di un controller di dominio riportata sul sito di Microsoft. Vi rimando a questa guida per eventuali approfondimenti e per le raccomandazioni in merito ai rischi dell utilizzo non corretto di ntdsutil, il tool che sarà utilizzato per i passaggi successivi. 1. Lanciate il comando ntdsutil in Start->Run. In ogni schermata di ntdsutil sarà possibile ottenere una guida ai comandi digitando? e successivamente INVIO. 2. Digitate metadata cleanup, quindi premete INVIO. 3. A questo punto è necessario connettersi ad uno dei server attivi. Digitate connections e premete INVIO. 4. Digitate connect to server nomeserver, quindi premete INVIO. Verrà visualizzato un messaggio per confermare che la connessione è stata stabilita. E importante capire ora che i comandi successivi saranno riferiti al server a quale vi siete connessi. 5. Digitate quit e premete INVIO per tornare al menu di metadata cleanup. 6. A questo punto digitate select operation target e premere INVIO. 7. Digitate list domains e premete INVIO. Verrà visualizzato un elenco dei domini nell insieme di strutture, ognuno con un numero associato. Nel mio caso era presente un solo dominio. 8. Digitate select domain numero e premete INVIO, dove numero è il numero associato al dominio di cui è membro il server che si desidera rimuovere. Il dominio selezionato viene utilizzato per determinare se il server in fase di rimozione è l ultimo controller di dominio presente nel dominio. 9. Digitate list sites e premere INVIO. Verrà visualizzato un elenco di siti, ognuno con un numero associato. Nel mio caso era presente un solo site. 10. Digitate select site numero e premere INVIO, dove numero è il numero associato al sito di cui è membro il server che si desidera rimuovere. Verrà visualizzato un messaggio di conferma con l indicazione del sito e del dominio scelti. 11. Digitate list servers in site e premere INVIO. Verrà visualizzato un elenco dei server nel sito, ognuno con un numero associato. Nel mio caso erano presenti 3 server: 2 attivi e uno non più attivo. 12. Digitare select server numero, dove numero è il numero associato al server che si desidera rimuovere. Verrà visualizzato un messaggio di conferma con l indicazione del server selezionato, il relativo nome host DNS (Domain Name Server) e il percorso dell account computer del server che si desidera rimuovere. 13. A questo punto potete digitate list current selection e premete INVIO per verificare quanto è stato selezionato. Verificate che si tratti proprio del server NON attivo. 14. Digitate quit e premete INVIO per tornare al menu metadata cleanup. 15. Digitate remove selected server e premere INVIO.Successivamente vi verrà visualizzato il risultato di questa operazione. Se tutto è andato a buon fine, il più è fatto. Verificate all interno di Active directory users and computers: il domain controller non più attivo non dovrebbe essere presente nella lista dei DC. Rimozione delle repliche con ADSIedit (DNS A MANO) 1. Utilizzare lo snap-in ADSIEdit presente nei support tools del cd di installazione, per eliminare l oggetto Membro FRS in CN=System (condivisione SYSVOL),CN=servizio Replica file,cn=sistema. 2
2. Nella console DNS utilizzare DNS MMC per eliminare il record cname (definito anche Alias) nel contenitore _msdcs. 3. Nella console DNS utilizzare DNS MMC per eliminare il record A (definito anche Host) in DNS. Rimozione delle repliche in Active directory sites and services 1. Aprite lo snap-in Active directory sites and services e visualizzate la lista dei servers dove dovrebbe ancora comparire il server non funzionante. 2. Cliccate con il tasto destro e selezionate delete. 3
Originale Microsoft. ATTENZIONE: se si utilizza uno snap-in ADSI Edit, l'utilità LDP o qualsiasi altro client LDAP versione 3 e si modificano erroneamente gli attributi degli oggetti di Active Directory, è possibile causare seri problemi che potrebbero richiedere la reinstallazione di Microsoft Windows 2000 Server e/o Microsoft Exchange 2000 Server. Microsoft non garantisce che i problemi derivanti dall'errata modifica degli attributi di oggetti di Active Directory possano essere risolti. La modifica di tali attributi è a rischio e pericolo dell'utente. L'utilità DCPROMO (Dcpromo.exe) viene utilizzata per alzare di livello un server a controller di dominio e per abbassare di livello un controller di dominio a server membro oppure a server autonomo in un gruppo di lavoro se il controller di dominio è l'ultimo del dominio. Nell'ambito del processo di abbassamento di livello l'utilità DCPROMO consente di rimuovere da Active Directory i dati di configurazione relativi al controller di dominio. Questi dati assumono la forma di un oggetto "Impostazioni NTDS" presente come figlio dell'oggetto server in Gestione siti e servizi di Active Directory. Le informazioni sono memorizzate nella seguente posizione in Active Directory: CN=Impostazioni NTDS,CN=<nome server>,cn=server,cn=<nomesito>,cn=siti,cn=configurazione,dc=<dominio>... Gli attributi dell'oggetto Impostazioni NTDS includono i dati che rappresentano la modalità di identificazione del controller di dominio in relazione ai partner di replica, i contesti dei nomi mantenuti nel computer, se il controller di dominio è un server di catalogo globale e i criteri di ricerca predefiniti. L'oggetto Impostazioni NTDS è inoltre un contenitore nel quale possono essere inclusi oggetti figlio che rappresentano i partner di replica diretti del controller di dominio. Questi dati sono richiesti per il funzionamento del controller di dominio nell'ambiente, ma vengono rimossi dopo l'abbassamento di livello. Se l'oggetto Impostazioni NTDS non viene rimosso correttamente, ad esempio a seguito di un tentativo di abbassamento di livello, l'amministratore potrà impiegare l'utilità Ntdsutil.exe per rimuovere manualmente questo oggetto. Di seguito è illustrata la procedura per rimuovere l'oggetto Impostazioni NTDS da Active Directory per un determinato controller di dominio. In ogni menu di NTDSUTIL è possibile digitare help per visualizzare ulteriori informazioni sulle opzioni disponibili. ATTENZIONE: prima di rimuovere manualmente l'oggetto Impostazioni NTDS per qualsiasi server, l'amministratore dovrà inoltre verificare che dopo l'abbassamento di livello sia stata eseguita l'operazione di replica. L'uso improprio dell'utilità NTDSUTIL può causare la perdita parziale o totale delle funzionalità di Active Directory. 4
1. Fare clic sul pulsante Start, scegliere Programmi, Accessori, quindi fare clic su Prompt dei comandi. 2. Al prompt dei comandi digitare ntdsutil. 3. Digitare metadata cleanup, quindi premere INVIO. A seconda delle opzioni fornite, l'amministratore potrà procedere alla rimozione, tuttavia prima di completare l'operazione sarà necessario specificare ulteriori parametri di configurazione. 4. Digitare connections e premere INVIO. Questo menu viene utilizzato per stabilire la connessione al server specifico sul quale vengono eseguite le modifiche. Se l'utente attualmente connesso non dispone di privilegi amministrativi, prima di stabilire la connessione è possibile fornire credenziali alternative specificando quali si desidera utilizzare. A questo scopo digitare set creds nome dominio nomeutente password e premere INVIO. Se non si desidera immettere una password, digitare null come parametro per la password. 5. Digitare connect to server nomeserver, quindi premere INVIO. Verrà visualizzato un messaggio per confermare che la connessione è stata stabilita. Se si verifica un errore, assicurarsi che il controller di dominio utilizzato durante la connessione sia disponibile e che le credenziali fornite dispongano di privilegi amministrativi sul server. NOTA: se si stabilisce la connessione allo stesso server che si desidera rimuovere, quando si tenta di procedere all'eliminazione del server specificato nel passaggio 15, è possibile che venga visualizzato un messaggio di errore simile al seguente: Errore 2094. Impossibile eliminare l'oggetto DSA0x2094 6. Digitare quit e premere INVIO. Verrà visualizzato il menu Metadata Cleanup. 7. Digitare select operation target e premere INVIO. 8. Digitare list domains e premere INVIO. Verrà visualizzato un elenco dei domini nell'insieme di strutture, ognuno con un numero associato. 9. Digitare select domain numero e premere INVIO, dove numero è il numero associato al dominio di cui è membro il server che si desidera rimuovere. Il dominio selezionato viene utilizzato per determinare se il server in fase di rimozione è l'ultimo controller di dominio presente nel dominio. 10. Digitare list sites e premere INVIO. Verrà visualizzato un elenco di siti, ognuno con un numero associato. 11. Digitare select site numero e premere INVIO, dove numero è il numero associato al sito di cui è membro il server che si desidera rimuovere. Verrà visualizzato un messaggio di conferma con l'indicazione del sito e del dominio scelti. 12. Digitare list servers in site e premere INVIO. Verrà visualizzato un elenco dei server nel sito, ognuno con un numero associato. 13. Digitare select server numero, dove numero è il numero associato al server che si desidera rimuovere. Verrà visualizzato un messaggio di conferma con l'indicazione del server selezionato, il 5
relativo nome host DNS (Domain Name Server) e il percorso dell'account computer del server che si desidera rimuovere. 14. Digitare quit e premere INVIO. Verrà visualizzato il menu Metadata Cleanup. 15. Digitare remove selected server e premere INVIO. Verrà visualizzato un messaggio per confermare che la rimozione è stata completata. Se viene visualizzato il seguente messaggio d'errore: Errore 8419 (0x20E3) Impossibile trovare l'oggetto DSA. è possibile che l'oggetto Impostazioni NTDS sia già stato rimosso da Active Directory a seguito di un'operazione di rimozione eseguita da un altro amministratore o della replica della rimozione dell'oggetto tramite l'utilità DCPROMO. NOTA: questo messaggio di errore potrebbe essere visualizzato anche quando si tenta di eseguire il binding al controller di dominio in fase di rimozione. Il binding tramite Ntdsutil deve essere eseguito a un controller di dominio diverso da quello che si sta per rimuovere con il comando metadata cleanup. 16. Digitare quit in ognuno dei menu per uscire dall'utilità NTDSUTIL. Verrà visualizzato un messaggio per confermare che la connessione è stata terminata. 17. Rimuovere il record cname nella zona _msdcs. dominio principale dell'insieme di strutture in DNS. Presupponendo che il controller di dominio verrà reinstallato e alzato nuovamente di livello, viene creato un nuovo oggetto Impostazioni NTDS con un nuovo GUID (Globally Unique Identifier) e un record cname corrispondente in DNS. Non è opportuno utilizzare il vecchio record cname per i controller di dominio esistenti. La soluzione migliore è quella di eliminare il nomehost e altri record di DNS. Se viene superata la durata del lease rimanente per l'indirizzo DHCP (Dynamic Host Configuration Protocol) assegnato al server non in linea, un altro client potrà ottenere l'indirizzo IP del controller di dominio sul quale si è verificato il problema. Dopo avere eliminato l'oggetto Impostazioni NTDS, è possibile procedere alla rimozione dei seguenti oggetti: 1. Utilizzare ADSIEdit per eliminare l'account computer in OU=Controller di dominio,dc=dominio... NOTA: l'oggetto Sottoscrittore FRS viene eliminato quando si elimina l'oggetto Computer, essendo figlio dell'account computer. 2. Utilizzare ADSIEdit per eliminare l'oggetto Membro FRS in CN=Volume di sistema del dominio (condivisione SYSVOL),CN=servizio Replica file,cn=sistema... 6
3. Nella console DNS utilizzare DNS MMC per eliminare il record cname (definito anche Alias) nel contenitore _msdcs. 4. Nella console DNS utilizzare DNS MMC per eliminare il record A (definito anche Host) in DNS. 5. Se il computer eliminato era l'ultimo controller di dominio in un dominio figlio ed è stato eliminato anche quest'ultimo, utilizzare ADSIEdit per eliminare l'oggetto trustdomain dal dominio figlio in CN=Sistema, DC=dominio, DC=dominio, Contesto dei nomi di dominio. 7