Active-Directory-Tipp: So entfernen Sie nicht mehr vorhandene Domänen-Controller
Unvollständiges Hinzufügen oder Entfernen eines Domänen-Controllers kann zu Inkonsistenzen in den Daten führen, da zwar ein Domänen-Controller vorhanden ist, aber nicht vollständig funktioniert. Da dies andere Prozesse behindert, ist eine vollständige Bereinigung erforderlich.
In diesem Tipp zeigen wir Ihnen, wie Sie die Metadaten bereinigen und nicht mehr vorhandene Domain Controller so vollständig entfernen.
1. Geben Sie in der Eingabeaufforderung „ntdsutil“ ein und drücken Sie die Eingabetaste.
C:\WINDOWS -> ntdsutil
Folgendes wird im Fenster der Eingabeaufforderung angezeigt:
ntdsutil:
2. Geben Sie in der Eingabeaufforderung „ntdsutil:“ den Begriff „metadata cleanup“ ein.
ntdsutil: metadata cleanup
Anschließend erscheint die Eingabeaufforderung für die Metadaten-Bereinigung, die folgendermaßen aussieht:
metadata cleanup:
3. Geben Sie in der Eingabeaufforderung „metadata cleanup:“ den Begriff „connections“ ein und drücken Sie die Eingabetaste.
metadata cleanup: connections
Jetzt ist der Modus „Server-Verbindungen“ aktiv, wie hier beschrieben:
server connections:
4. Unter „server connections:“ geben Sie folgenden Text ein:
An dieser Stelle steht „<Server-Name>“ für den Domänen-Controller (ein beliebiger funktionsfähiger Domänen-Controller in derselben Domäne), von dem Sie die Metadaten des ausgefallenen Domänen-Controllers bereinigen möchten. Drücken Sie nach Eingabe des Server-Namens die Eingabetaste. In unserem Fall nehmen wir an, dass der Servername „server100“ lautet. Sie sehen den folgenden Eintrag:
server connections: connect to server server100
Binding to
server100 …
Connected to server100 using credentials of locally logged on user.
5. Zum Verlassen geben Sie „q“ in Server-Verbindungen ein und drücken die Eingabetaste, um zur Eingabeaufforderung für die Metadaten-Bereinigung zurückzukehren.
server connections: q
Sie sehen folgendes im Fenster der Eingabeaufforderung:
metadata cleanup:
6. Unter „metadata cleanup“ geben Sie „select operation target“ ein und drücken Sie die Eingabetaste.
metadata cleanup: Select operation target
Jetzt wird der Modus "Select Operation Target" angezeigt:
select operation target:
7. Geben Sie „list domains“ ein und drücken Sie die Eingabetaste.
select operation target: list domains
Dies listet alle Domänen der Gesamtstruktur mit einer Nummer auf, die den einzelnen Domänen zugeordnet ist.
Found 1 domain(s)
0 - DC=dorg,DC=net
8. Geben Sie „select domain <nummer>“ ein.
„<nummer>“ steht dabei für die Domäne, in der sich der ausgefallene Server befand. Drücken Sie die Eingabetaste.
select operation target: Select domain 0
Wir geben hier die Nummer „0“ ein, da wir im vorherigen Schritt erfahren haben, dass 0 die Nummer ist, die der Domäne „dorg.net“ zugeordnet wurde. Nun erscheint folgendes:
No current site
Domain - DC=dorg,DC=net
No current server
No current Naming Context
9. Geben Sie „list sites“ ein und drücken Sie die Eingabetaste.
select operation target: List sites
Die zu dieser Domäne gehörenden Sites werden wie folgt gelistet:
Found 1 site(s)
0-CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=dorg,DC=net
10. Geben Sie „select site <nummer>“ ein.
Dabei steht „<nummer>“ für die Nummer der Site, bei der der Domänen-Controller Mitglied war. Drücken Sie die Eingabetaste.
select operation target: Select site 0
Wir geben hier „0“ an, da wir zuvor erfahren haben, dass 0 die Nummer ist, die der verfügbaren Site zugeordnet ist. Nun erscheint folgendes:
Site-CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=dorg,zC=net
Domain - DC=dorg,DC=net
No current server
No current Naming Context
11. Geben Sie „list servers in sites“ ein und drücken Sie die Eingabetaste.
select operation target: List servers in site
Dies listet alle Server in dieser Site mit einer entsprechenden Nummer auf.
Found 1 site(s)
0-CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=dorg,DC=net
1-CN=SERVER100,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=dorg,DC=net
12. Geben Sie „select server <nummer>“ ein und drücken Sie die Eingabetaste.
„<nummer>“ steht hier für den Domänen-Controller, der entfernt werden soll.
select operation target: Select server 0
Auch hier ist die Nummer 0, da wir den Server mit dem Namen „server200“ entfernen möchten. Sie sehen folgendes:
Site-CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=dorg,DC=net
Domain - DC=dorg,DC=net Server-CN=SERVER200,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=dorg,DC=net
DSA-object-CN=NTDSSettings,CN=SERVER200,CN=Servers, CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=dorg, DC=net DNS host name - server200.dorg.net
Computer object-CN=SERVER200,OU= Domain Controllers,DC=dorg,DC=net
13. Zum Beenden geben Sie „q“ ein und bestätigen mit der Eingabetaste.
Das Menü für die Metadatenbereinigung erscheint.
select operation target: q
Sie sehen folgendes in der Eingabeaufforderung:
metadata cleanup:
14. Geben Sie „remove selected server“ ein und drücken Sie die Eingabetaste.
Eine Warnmeldung erscheint. Lesen Sie diese durch und klicken Sie auf „Yes“, wenn Sie einverstanden sind.
metadata cleanup: Remove selected server
"CN=SERVER200,CN=Servers,CN=Default-First-Site-Name,
CN=Sites,CN=Configuration,DC=dorg,DC=net" removed from server "server100"
15. Geben Sie „quit“ ein und bestätigen Sie mit der Eingabetaste.
Diesen Schritt wiederholen Sie, bis Sie wieder bei der Eingabeaufforderung zum Entfernen des fehlgeschlagenen Servers aus den Sites angelangt sind.
16. Erweitern Sie den Domänen-Controller-Container unter Active-Directory-Benutzer und -Computer.
Löschen Sie das mit dem fehlgeschlagenen Domänen-Controller verknüpfte Computerobjekt.
17. Windows Server 2003 AD zeigt Ihnen eventuell ein neues Fenster an.
Hier werden Sie gefragt, ob Sie das Serverobjekt ohne Ausführen eines DCPROMO-Vorgangs löschen möchten. Wählen Sie „Dieser DC ist ständig offline …“, klicken Sie dann auf die Löschen-Schaltfläche.
18. AD zeigt ein weiteres Bestätigungsfenster an.
Wenn Sie sicher sind, dass Sie das ausgefallene Objekt wirklich löschen möchten, klicken Sie auf „Ja“, um das ausgefallene Serverobjekt aus dem DNS zu entfernen.
19. Erweitern Sie im DNS-Snap-In die Zone, die zur Domäne gehört, aus der der Server entfernt wurde.
Entfernen Sie den CNAME-Eintrag in der _msdcs.root-Domäne aus der Forest-Zone im DNS. Zusätzlich sollten Sie den HOSTNAME-Eintrag und weitere DNS-Einträge löschen. Wenn es Reverse-Lookup-Zonen gibt, entfernen Sie den Server auch aus diesen Zonen.
Active-Directory-Auditing leicht gemacht!
Mit dem Active-Directory-Auditing-Werkzeug ADAudit Plus von ManageEngine können Sie alle Aktivitäten auf den Domänen-Controllern wie An- und Abmeldungen, GPO-Änderungen oder Benutzerverwaltungsaktivitäten in der gesamten Domäne einfach und komfortabel überwachen.
Weitere Active-Directory-Tipps: