Rimuovere da Active Directory un Domain Controller Off-Line



Puo' capitare (spero non spesso!) che in un dominio Active Directory un Domain Controller vada in crash, e per un qualsiasi motivo si decida di non reintegrarlo o sostituirlo con un altro.

A questo punto si pone il problema di rimuovere il DC da AD, senza pero' poter richiamare dcpromo ed effettuare il declassamento direttamente dal Domain Controller interessato (si presume che non si avvii).

A questa problematica si puo' ovviare rimuovendo da AD i meta-data del Domain Controller 'morto'.

La procedura e' la seguente:

• Autenticarsi con un account avente diritti Enterprise Admins.
• Aprire una sessione Command Prompt ed eseguire il comando NTDSUTIL.
• Al prompt di NTDSUTIL, inserire il comando Metadata cleanup (o le iniziali m c).
• Dal prompt “Metadata cleanup” inserire il comando “connections”.
• Dal prompt “Connections” inserire il comando “connect to server <nomeDC>” (e.g.: connect to server ls-mi-dc-01).
• Digitare quit per uscire dal contesto “Connections”.
• Dal prompt “Metadata cleanup” inserire il comando “Select operation target”.
• Dal prompt “Select operation target” inserire il comando “List domains”.
• Identificare il numero del dominio di cui faceva parte il DC da rimuovere ed inserire il comando: select domain <NumeroDominio> (e.g.: select domain 0).
• Dal prompt “Select operation target” inserire il comando “List sites”.
• Identificare il numero del site di cui faceva parte il DC da rimuovere ed inserire il comando: select site <NumeroSite> (e.g.: select site 0).
• Dal prompt “Select operation target” inserire il comando “List servers in site”.
• Identificare il numero del server/DC da rimuovere ed inserire il comando: select server <NumeroServer> (e.g.: select server 1).
• Uscire dal contesto “Select operation target” inserendo il comando quit.
• Dal prompt “Metadata cleanup” inserire il comando “Remove selected server” e confermare l’operazione cliccando sul bottone Yes all’interno della finestra “Server Remove Confirmation Dialog”.
• Uscire dal contesto “Metadata cleanup” inserendo il comando quit.
• Digitare quit per uscire dal comando NTDSUTIL.
• Mediante lo snap-in ADSI Edit rimuovere tutte le entry relative al DC in questione dai seguenti container (corrispondenti al dominio ed al site di appartenenza del DC che sono stati utilizzati nella procedura NTDSUTIL)
     OU=Domain Controllers,<DominioCheContenevaDC>.
     CN=Servers,CN=<SiteCheContenevaDC>,CN=Sites,CN=Configuration,<DN-ForestRootDomain>
• Mediante lo snap-in DNS eliminare da tutte le zone (compreso la zona _msdcs.<FQDN-Dominio>) gli eventuali resource record DNS SRV, A e PTR riferiti al DC eliminato da AD.


Published: February 21 2006

  • category: