Czyszczenie metadanych Active Directory po awarii kontrolera domeny

16 kwietnia 2015 at 13:37

Cytując klasyka – „Nie myli się ten kto nie robi niczego”.

Bywają sytuacje nieprzewidziane, gdzie awarii ulega któryś z kontrolerów domeny i nie bardzo jest sposób na przywrócenie mu pełnej funkcjonalności. Pozostaje więc usunięcie kontrolera domeny, posprzątanie bazy Active Directory i wypromowanie nowego kontrolera.

Pamięć często choć dobra – bywa krótka… więc jako przypomnienie procedura sprzątania metadanych Active Directory po awarii kontrolera domeny.

Zakładając, że kontroler, który uległ awarii nie utrzymywał żadnej z ról FSMO (jeśli utrzymywał trzeba je awaryjnie przejąć) procedura powinna wyglądać mniej więcej tak:

1. Zalogowanie się na działający kontroler domeny z uprawnieniami administratora domeny.

2. Uruchomienie jako administrator powershell’a / wiersz poleceń

3. Uruchomienie narzędzia ndtsutil:

4. Przejście do trybu oczyszczania metadanych Active Directory:

5. Wybranie połączenia:

6. Połączenie z działającym (np. lokalnym) kontrolerem domeny:

7. Powrót do wyższej instancji

8. Przejście w tryb wyboru celu

9. Wy listowanie dostępnych domen

10. Wskazanie numery domeny, gdzie znajdował się kontroler domeny, który uległ awarii

11. Wy listowanie dostępnych lokacji

12. Wskazanie numeru lokacji, w której był nasz kontroler domeny:

13. Wy listowanie wszystkich obiektów kontrolerów domeny we wskazanej lokacji Active Directory

14. Wskazanie konkretnego kontrolera domeny

15. Powrót do wyższej instancji (czyszczenia metadanych)

16. Usunięcie metadanych kontrolera domeny, który uległ awarii

Powyższa procedura dla przykładowych danych wygląda tak:

Remove_DC

Czy to już wszystko? Niestety jeszcze nie… należy pamiętać o kolejnych czynnościach, które pozwolą nam mieć 100% pewność, że nie zostawiamy w naszym Active Directory zbędnych śmieci.

Przede wszystkim zacznijmy od wymuszenia replikacji danych w całej domenie o usuniętych metadanych:

Następnie z przystawki Active Directory Sites and Services wybieramy usunięcie obiektu kontrolera domeny:

Remove_DC_2

I na koniec sprzątanie wpisów na serwerach DNS kierujących do nieistniejącego już kontrolera domeny – wszystkie rekordy A, CNAME, PTR, SRV …. :)

Mając już „czyste” Active Directory można przystępować do promowania nowego kontrolera. I pamiętajmy – AD to nie śmietnik i śmietnika robić / pozostawiać nie wolno!!! :)