Ας υποθέσουμε το εξής σενάριο. Έχουμε έναν Domain Controller στο δίκτυο μιας επιχείρησης ο οποίος σταμάτησε να λειτουργεί ολοκληρωτικά, για κάποιο λόγο που δε θα μας απασχολεί σε αυτό το σημείο. Δεν έχουμε backup, δε πρόκειται να λειτουργήσει ξανά οπότε θα χρειαστεί να τον αφαιρέσουμε εντελώς από την υποδομή.
Για να γίνει αυτό θα χρειαστεί να προβούμε σε εξαναγκαστική αφαίρεση (forced removal) του Domain Controller από το Active Directory. Μάλιστα, λόγω του ότι μία τέτοια ενέργεια αφήνει ορισμένα ορφανά metadata στο AD, θα χρειαστεί έπειτα να προχωρήσουμε και στον καθαρισμό αυτών των metadata. Αν, ωστόσο, έχουμε πρόσβαση στον DC, τότε καλύτερα να προχωρήσουμε στη πιο ‘ασφαλή’ διαδικασία του demote.
Με αυτό το σενάριο θα ασχοληθούμε σε αυτό το άρθρο. Ας προχωρήσουμε.
Εξαναγκαστική αφαίρεση DC και καθαρισμός των metadata
Η εξαναγκαστική αφαίρεση ενός DC μπορεί να γίνει με 3 βασικούς τρόπους. Από την κονσόλα Active Directory Users and Computers, την κονσόλα Active Directory Sites and Services και από το command-line εργαλείο NTDSUtil.
Χρησιμοποιώντας τις δύο κονσόλες, η Microsoft υποστηρίζει ότι γίνεται αυτόματα και ο καθαρισμός των ορφανών metadata. Ωστόσο, όπως θα διαπιστώσετε, ακόμη και έτσι, παραμένουν ορισμένες εγγραφές του διαγραμμένου DC κυρίως στην κονσόλα του DNS και του Sites and Services. Αν και το scavenging του DNS φροντίζει να τις αφαιρέσει, προσωπικά όταν διαγράφω έναν DC ‘περνάω’ ένα γρήγορο έλεγχο όλα τα αντικείμενα του DNS για να επιβεβαιώσω και να διαγράψω εξ ολοκλήρου όλες τις εγγραφές που έχουν μείνει.
Χρησιμοποιώντας την κονσόλα Users and Computers
Ανοίξτε την κονσόλα Active Directory Users and Computers και μεταβείτε στο Domain Controllers OU. Εδώ, πατήστε δεξί κλικ στον DC που πρόκειται να αφαιρέσετε και έπειτα στην επιλογή Delete.
Επιβεβαιώστε την ενέργεια διαγραφής πατώντας στο κουμπί Yes.
Αμέσως μετά, θα εμφανιστεί ένα μήνυμα που σας ενημερώνει ότι πρόκειται να αφαιρέσετε έναν Domain Controller χωρίς την κλασική μέθοδο που έχουμε περιγράψει σε παλαιότερο άρθρο. Εφ΄όσον ο DC δε πρόκειται να έρθει σε λειτουργία ξανά, τικάρετε την επιλογή Delete this Domain Controller anyway. It is permanently offline and can no longer be removed using the removal wizard. και πατήστε στο κουμπί Delete.
Αν ο DC που διαγράφετε ήταν παράλληλα και Global Catalog (GC) server, πατήστε στο κουμπί Yes για να επιβεβαιώσετε τη διαγραφή.
Αν ο DC που διαγράφετε είχε έναν ή περισσότερους FSMO ρόλους, πατήστε στο κουμπί OK για να τους μεταφέρετε σε έναν άλλο DC. Αυτό σε περίπτωση που δεν τους έχετε κάνει ήδη seize μόνοι σας.
Χρησιμοποιώντας την κονσόλα Active Directory Sites and Services
Ανοίξτε την κονσόλα Active Directory Sites and Services, αναπτύξτε το αντίστοιχο site, που βρίσκεται ο μη-λειτουργικός DC, και έπειτα τον DC που πρόκειται να διαγράψετε. Εδώ, πατήστε δεξί κλικ στο εικονίδιο NTDS Settings του DC και έπειτα στην επιλογή Delete.
Επιβεβαιώστε την ενέργεια διαγραφής πατώντας στο κουμπί Yes.
Επιβεβαιώστε ξανά, αποδεχόμενοι τους ‘κινδύνους’, πατώντας στο κουμπί Delete.
Όπως και προηγουμένως, αν ο DC ήταν παράλληλα και Global Catalog ή/και είχε τουλάχιστον έναν από τους FSMO ρόλους, θα χρειαστεί να επιβεβαιώσετε τη διαγραφή.
Στη συνέχεια, μπορείτε να προχωρήσετε στη διαγραφή του DC από το ίδιο σημείο της κονσόλας Active Directory Sites and Services.
Χρησιμοποιώντας το εργαλείο NTDSUtil
Αρχικά, ανοίξτε τη γραμμή εντολών ή το PowerShell με δικαιώματα διαχειριστή.
Πληκτρολογήστε ntdsutil και πατήστε Enter.
Πληκτρολογήστε metadata cleanup και πατήστε Enter.
Πληκτρολογήστε connections και πατήστε Enter.
Πληκτρολογήστε connect to server <-servername> και πατήστε Enter. Όπου <-servername>, το όνομα ενός λειτουργικού DC στο ίδιο domain.
Πληκτρολογήστε quit και πατήστε Enter.
Πληκτρολογήστε select operation target και πατήστε Enter.
Πληκτρολογήστε list domains και πατήστε Enter.
Πληκτρολογήστε select domain <-number> και πατήστε Enter. Όπου <-number>, τον αριθμό που αντιστοιχεί στο domain που ήταν μέλος ο μη-λειτουργικός DC.
Πληκτρολογήστε list sites και πατήστε Enter.
Πληκτρολογήστε select site <-number> και πατήστε Enter. Όπου <-number>, τον αριθμό που αντιστοιχεί στο site που ήταν μέλος ο μη-λειτουργικός DC.
Πληκτρολογήστε list servers in site και πατήστε Enter.
Πληκτρολογήστε select server <-number> και πατήστε Enter. Όπου <-number>, τον αριθμό που αντιστοιχεί στον DC που θέλετε να αφαιρέσετε.
Πληκτρολογήστε quit και πατήστε Enter.
Πληκτρολογήστε remove selected server και πατήστε Enter.
Στο παράθυρο επιβεβαίωσης που θα εμφανιστεί, πατήστε στο κουμπί Yes για να συνεχίσετε τη διαδικασία διαγραφής.
Τέλος, πληκτρολογήστε quit και πατήστε Enter δύο φορές για να εξέλθετε από το περιβάλλον διαχείρισης του NTDSUtil.
Αφού ολοκληρώσατε τα παραπάνω βήματα με τον τρόπο που θέλετε, μη ξεχάσετε να ελέγξετε όλα τα αντικείμενα του DNS για να διαγράψετε τυχόν εγγραφές του DC που αφαιρέσατε.
Αφήστε το πρώτο σχόλιο