giovedì 18 novembre 2021

Rimozione forzata di un domain controller

Puo succedere che DCpromo, per rimuovere un domain controller fallisca, soprattutto nel caso in cui lo si voglia rimuovere per problemi di replica.

In questo caso occorre procedere con un DCPROMO /forceremoval, che pero lasciera AD "sporca".

Infatti dopo aver fatto questa operazione sara' necessario pulire i metadati e d il DNS.

Supponiamo che il nostro dominio casa.local abbia 3 DC, DC1, DC2 e DC3 e che il nostro obiettivo sia rimuovere DC3.


Collegarsi a DC3 ed eseguire da cmd (come admin): dcpromo /forceremoval (bisognera impostare una nuova pwd e fare un riavvio)


Questo dovrebbe permetterci di riuscire a completare il demotion.


A questo punto dobbiamo usare ntdsutil per pulire i metadati:


Collegarsi a DC1 o DC2 ed eseguire da cmd (come admin) ntdsutil.exe


All'interno di ntdsutil dovremo collegarci ad un dc e successivamente definire un operation target.

Siccome il DC3 non e' stato rimosso correttamente, sara ancora visibile tra i DC disponibili.

Per effettuare lì'operazione possiamo collegarci a DC1 (o DC2) ed impostare DC3 (ovvero il DC da rimuovere) come operation target.



Al primo prompt di NTDSUTIL.exe digitare:

ntdsutil:

Comando: metadata cleanup e premere invio 

Comando: connections e premere invio 

Comando: connect to server DC1

Comando: q (quit, per tornare al menu precedente)

Comando: select operation target e premere invio 

Comando: list domains e premere invio (verrano mostrati i domini presenti in ordine numeri partendo da 0)

Comando: Select domain 0 (supponendo che il dominio dove era ppresente il DC fosse lo 0)

Comando: List sites

Comando: Select site 0

Comando: List servers in site


La risposta a questo comando sara' la lista dei DC presenti compreso quello rimosso forzatamente. ES:

0-CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=dorg,DC=net

1-CN=DC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=dorg,DC=net

2-CN=DC3,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=dorg,DC=net

DC3 (che corrisponde al 2 nella nostra lista)


Comando: Select server 2

Comando: remove selected server


Siamo riusciti a togliere DC3 


A questo punto occorre pulire il DNS. Togliere i riferimenti al server demotato dal tab name servers dei domini, e da tutti i record.



REFERENCE:

https://www.manageengine.com/products/active-directory-audit/kb/how-to/how-to-remove-a-domain-controller-that-no-longer-exists.html


on
Etichette: , , , , ,

Nessun commento:

Posta un commento

Iscriviti a: Commenti sul post (Atom)