Czyszczenie metadanych Active Directory po awarii kontrolera domeny

Czyszczenie metadanych Active Directory po awarii kontrolera domeny

Cytując klasyka – „Nie myli się ten kto nie robi niczego”.

Bywają sytuacje nieprzewidziane, gdzie awarii ulega któryś z kontrolerów domeny i nie bardzo jest sposób na przywrócenie mu pełnej funkcjonalności. Pozostaje więc usunięcie kontrolera domeny, posprzątanie bazy Active Directory i wypromowanie nowego kontrolera.

Pamięć często choć dobra – bywa krótka… więc jako przypomnienie procedura sprzątania metadanych Active Directory po awarii kontrolera domeny.

Zakładając, że kontroler, który uległ awarii nie utrzymywał żadnej z ról FSMO (jeśli utrzymywał trzeba je awaryjnie przejąć) procedura powinna wyglądać mniej więcej tak:

1. Zalogowanie się na działający kontroler domeny z uprawnieniami administratora domeny.

2. Uruchomienie jako administrator powershell’a / wiersz poleceń

3. Uruchomienie narzędzia ndtsutil:

4. Przejście do trybu oczyszczania metadanych Active Directory:

5. Wybranie połączenia:

6. Połączenie z działającym (np. lokalnym) kontrolerem domeny:

7. Powrót do wyższej instancji

8. Przejście w tryb wyboru celu

9. Wy listowanie dostępnych domen

10. Wskazanie numery domeny, gdzie znajdował się kontroler domeny, który uległ awarii

11. Wy listowanie dostępnych lokacji

12. Wskazanie numeru lokacji, w której był nasz kontroler domeny:

13. Wy listowanie wszystkich obiektów kontrolerów domeny we wskazanej lokacji Active Directory

14. Wskazanie konkretnego kontrolera domeny

15. Powrót do wyższej instancji (czyszczenia metadanych)

16. Usunięcie metadanych kontrolera domeny, który uległ awarii

Powyższa procedura dla przykładowych danych wygląda tak:

Remove_DC

Czy to już wszystko? Niestety jeszcze nie… należy pamiętać o kolejnych czynnościach, które pozwolą nam mieć 100% pewność, że nie zostawiamy w naszym Active Directory zbędnych śmieci.

Przede wszystkim zacznijmy od wymuszenia replikacji danych w całej domenie o usuniętych metadanych:

Następnie z przystawki Active Directory Sites and Services wybieramy usunięcie obiektu kontrolera domeny:

Remove_DC_2

I na koniec sprzątanie wpisów na serwerach DNS kierujących do nieistniejącego już kontrolera domeny – wszystkie rekordy A, CNAME, PTR, SRV …. 🙂

Mając już „czyste” Active Directory można przystępować do promowania nowego kontrolera. I pamiętajmy – AD to nie śmietnik i śmietnika robić / pozostawiać nie wolno!!! 🙂

3 thoughts on “Czyszczenie metadanych Active Directory po awarii kontrolera domeny

  1. Od wersji 2008 – mozna wykonac ntdsutil / metadata cleanup / remove selected server
    lub nawet ADUC moze posprzatac – https://technet.microsoft.com/en-us/library/cc816907(WS.10).aspx
    I tutaj http://social.technet.microsoft.com/wiki/contents/articles/3984.domain-controller-demotion-and-metadata-cleanup.aspx

    Co do wykonywania polecen natywnych dla OS w powershell to mozna miec dziwne rezultaty tutaj przyklady http://blogs.technet.com/b/josebda/archive/2012/03/03/using-windows-powershell-to-run-old-command-line-tools-and-their-weirdest-parameters.aspx

  2. Grzegorz masz rację, ale „przypominajka” miała dotyczyć sposobu uniwersalnego, działającego na starych i nowych wersjach AD 🙂 Wiele firm jest dalekooo dalekooo z nowinkami technologicznymi i tam nowsze sposoby niekoniecznie zadziałają.

    Co do wykonywania poleceń cmd w Powershellu – faktycznie „sc” nie działa jak powinno, natomiast ntdsutil zawsze działa (a przynajmniej nigdy mi się nie zdarzyło, żeby zadziałało inaczej niż zakładane) 🙂

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *