Удаление недоступного домен-контроллера с помощью ntdsutil Дневник Максим Боголепов

Удаление недоступного домен-контроллера с помощью ntdsutil

Posted by Makc - 8 ноября 2016 г.

В предыдущей статье описывается алгоритм принудительного захвата ролей FSMO единственно оставшимся домен-контроллером в сети при физическом отсутствии остальных бывших партнёров по репликации. Если такие «соседи» домен-контроллеры больше не будут фигурировать в нашей сети, есть резон зачистить AD от следов их присутствия. В данной статье я опишу этот процесс.

Исходные данные:

srv-krasnodar – оставшийся единственным домен-контроллер (Windows Server 2003 R2);
srv-moscow – вышестоящий не доступный домен-контроллер;
Moskva – не доступный сайт (сегмент сети) головной компании;
Krasnodar – сайт оставшегося сегмента сети;
domain.ru – наименование домена,
все команды выполняются от имени администратора домена.

Команды выполняются на srv-krasnodar:

C:\>ntdsutil
ntdsutil: metadata cleanup
metadata cleanup: connections
server connections: connect to server srv-krasnodar
Привязка к srv-krasnodar ...
Подключен к srv-krasnodar с помощью учетных данных локального пользователя.
server connections: q

Выбираем сайт, в котором необходимо удалить несуществующий более домен-контроллер:

metadata cleanup: select operation target
select operation target: list sites
Найдено сайтов: 2
0 - CN=Moskva,CN=Sites,CN=Configuration,DC=domain,DC=ru
1 - CN=Krasnodar,CN=Sites,CN=Configuration,DC=domain,DC=ru
select operation target: select site 0
Сайт - CN=Moskva,CN=Sites,CN=Configuration,DC=domain,DC=ru
Нет текущего домена
Нет текущего сервера
Нет текущего контекста именования

Выбираем сервер для удаления из AD:

select operation target: list servers in site
Найдено серверов: 1
0 - CN=SRV-MOSCOW,CN=Servers,CN=Moskva,CN=Sites,CN=Configuration,DC=domain,DC=ru
select operation target: select server 0
Сайт - CN=Moskva,CN=Sites,CN=Configuration,DC=domain,DC=ru
Нет текущего домена
Сервер - CN=SRV-MOSCOW,CN=Servers,CN=Moskva,CN=Sites,CN=Configuration,DC=domain,DC=ru
        Объект DSA - CN=NTDS Settings,CN=SRV-MOSCOW,CN=Servers,CN=Moskva,CN=Sites,CN=Configuration,DC=domain,DC=ru
        Имя DNS-узла - srv-moscow.domain.ru
        Объект-компьютер - CN=SRV-MOSCOW,OU=Domain Controllers,DC=domain,DC=ru
Нет текущего контекста именования

Выбираем домен в котором необходимо удалить несуществующий более домен-контроллер:

select operation target: list domains
Найдено доменов: 1
0 - DC=domain,DC=ru
select operation target: select domain 0
Сайт - CN=Moskva,CN=Sites,CN=Configuration,DC=domain,DC=ru
Домен - DC=domain,DC=ru
Сервер - CN=SRV-MOSCOW,CN=Servers,CN=Moskva,CN=Sites,CN=Configuration,DC=domain,DC=ru
        Объект DSA - CN=NTDS Settings,CN=SRV-MOSCOW,CN=Servers,CN=Moskva,CN=Sites,CN=Configuration,DC=domain,DC=ru
        Имя DNS-узла - srv-moscow.domain.ru
        Объект-компьютер - CN=SRV-MOSCOW,OU=Domain Controllers,DC=domain,DC=ru
Нет текущего контекста именования
select operation target: q

Пытаемся удалить выбранный сервер:

metadata cleanup: remove selected server
Передача ролей FSMO от выбранного сервера.
Удаление метаданных FRS для выбранного сервера.
Поиск членов FRS в "CN=SRV-MOSCOW,OU=Domain Controllers,DC=domain,DC=ru".
Удаление члена FRS "CN=SRV-MOSCOW,CN=Domain System Volume (SYSVOL share),CN=File Replication Service,CN=System,DC=domain,DC=ru".
Удаление поддерева в "CN=SRV-MOSCOW,CN=Domain System Volume (SYSVOL share),CN=File Replication Service,CN=System,DC=domain,DC=ru".
Удаление поддерева в "CN=SRV-MOSCOW,OU=Domain Controllers,DC=domain,DC=ru".
Ошибка при попытке удалить параметры FRS на CN=SRV-MOSCOW,CN=Servers,CN=Moskva,CN=Sites,CN=Configuration,DC=domain,DC=ru: "Элемент не найден.";
очистка метаданных продолжается.
DsRemoveDsServerW ошибка 0x5(Отказано в доступе.)

В моём случае выскочила ошибка DsRemoveDsServerW ошибка 0x5(Отказано в доступе.), которая означает, что объект AD – удаляемый сервер, в соответствии с рекомендациями защищён от случайного удаления.

Чтобы снять данную защиту, на домен контроллере под управлением Windows Server 2008 и выше в оснастке Active Directory – пользователи и компьютеры в меню Вид необходимо выбрать пункт Дополнительные компоненты:

Тогда на появившейся вкладке Объект свойств удаляемого домен-контроллера вы можете снять галочку Защитить объект от случайного удаления:

В нашем случае, на контроллере домена под управлением Windows Server 2003 R2 такой вкладки с помощью GUI мы не увидим. Чтобы всё-таки снять данную защиту, необходимо в оснастке Active Directory – пользователи и компьютеры в свойствах удаляемого сервера зайти на вкладку Безопасность -> Дополнительно -> Выбрать разрешения для Все -> нажать Изменить… -> Снять галочки с запрета на Удаление и Удалить поддерево -> Нажать ОК:

После выполнения данной операции удаление несуществующего домен-контроллера произойдёт без ошибки:

metadata cleanup: remove selected server
Передача ролей FSMO от выбранного сервера.
Удаление метаданных FRS для выбранного сервера.
Не удалось найти ссылку сервера на "CN=SRV-MOSCOW,CN=Servers,CN=Moskva,CN=Sites,CN=Configuration,DC=domain,DC=ru".
LDAP ошибка 0x5e(94 (В сообщении отсутствует результат).
)
Ошибка при попытке удалить параметры FRS на CN=SRV-MOSCOW,CN=Servers,CN=Moskva,CN=Sites,CN=Configuration,DC=domain,DC=ru: "Элемент не найден.";
очистка метаданных продолжается.

"CN=SRV-MOSCOW,CN=Servers,CN=Moskva,CN=Sites,CN=Configuration,DC=domain,DC=ru" удалена с сервера "srv-krasnodar"
metadata cleanup: q
ntdsutil: q
Отключение от srv-krasnodar...

Теперь в оснастке Active Directory – сайты и службы вы можете удалить более не нужные подсети и сайты. Если вы столкнётесь с ошибкой, что у вас нет достаточных привилегий для удаления того или иного объекта (Сайта, NTDS settings) – то с большой долей вероятности можно говорить о том, что он тоже защищён от случайного удаления. Для устранения таких ошибок вам следует выполнить те же операции по снятию данной защиты, которые мы произвели при удалении недоступного домен-контроллера…

Нам осталось внимательнейшим образом просмотреть DNS с помощью соответствующей оснастки на предмет очистки данной службы от теперь уже устаревших записей, после чего нашу задачу по удалению более не существующего в сети домен-контроллера можно считать выполненной. В завершении, конечно, необходимо провести аудит доменных политик, служб DFS и т.д. (всего того, где мог быть задействован удалённый сервер).