Правильное удаление вышедшего из строя контроллера домена из Active Directory

Windows / Active Directory

Бывают различные ситуация, когда необходимо вывести контроллер домена из AD, чаще всего — физический выход из строя сервера с ролью DC. После (правильнее делать перед)установки и настройки нового, необходимо выполнить правильное удаление неактивного DC из Active Direcroty. В данной заметке представлена инструкция по корректному выполнению этой операции при помощи утилиты NTDSutil :

• необходимо выполнить вход на работающий контролер домена под учетной записью администратора
• запустить командную строку (cmd) и запустить утилиту ntdsutil
• в командной строке ntdsutil необходимо ввести metadata cleanup и нажмите enter (появится приглашение на очистку метаданных)
• далее вводим connections , в результате отработки этой команды будет выведено приглашение на подключение к серверу
• теперь нужно подключиться к нашему исправному контролеру домена командой connect to server server1, где server1 — наш исправный DC
• набираем quit и нажимаем ввод — появляется приглашение на очистку данных
• введите select operation target
• далее — list domains. Здесь необходимо запомнить число, которым обозначается вышедший из строя контролер домена, данное значение нужно будет ввести в следующей команде
• select domain 0 (или ваше число)
• list site и нажмите enter, здесь также необходимо запомнить число, под которым представлен сайт
• select site 0 (или ваше число)
• следующая команда — list servers in site. Необходимо запомнить каким числом представлен неисправный DC и ввести эту цифру в следующей операции
• select server 1 или 0 (т.е. ваше число).
• quit — появится приглашение на очистку метаданных
• remove selected server и нажмите enter. Появится сообщение. Тщательно прочитайте его и примите обдуманное решение («ДА»).
• введите quit и дважды нажмите ввод — после очистки метаданных вы выйдите из утилиты ntdsutil

Описанным выше образом, мы удалили объект параметров NTDS. Теперь стоит перейти к последующей очистке базы данных — удалим записи из DNS и ADSIEdit.
Откройте консоль DNS. Последовательно раскрывая элементы иерархической структуры, найдите объект вашего домена и щелкните на нем.В правой секции окна найдите запись хоста (А; она должна совпадать с родительской папкой) с IP-адресом сервера Server2 (вышедшего из строя DC). Щелкнув на ней правой кнопкой мыши, выберите пункт «Удалить». При появлении окна подтверждения  щелкните кнопку «ДА». В той же секции окна щелкните левой кнопкой на записи хоста Server2 (вышедший из строя DC) и выберите пункт «Удалить». Нажатием кнопки «ДА» подтвердите  намерение удалить запись. Теперь запись DNS, соответствующая серверу Server2, удалена. Закройте консоль DNS.
Теперь перейдем к консоли ADSIEdit, запустив ее из командной строки (cmd) командой adsiedit.msc:

• Раскройте структуру Domain\DC=ваш_домен,DC=__\OU=Domain Controllers. Щелкнув на записи объекта CN=Server2 (вышедший из строя DC), нажмите клавишу Delete. В окне подтверждения щелкните «ДА». Таким образом, объекта Server2 в контексте именования домена на Active Directory больше нет.
• Раскройте структуру Configuration\CN=Configuration,DC=ваш_домен, DC=__\CN=Sites\CN=Default-First-Site-Name\CN=Servers. Щелкнув на записи объекта  CN=Server2, нажмите Delete. В окне подтверждение нажмите «ДА». Теперь в контексте именования для конфигураций нет объекта Server2. Закройте консоль ADSIEdit.

Мы выполнили процедуру по правильному и полному удалению вышедшего из строя контролера домена (или одного из контролеров домена вашей компании). В ходе проделанных операций мы удалили все ссылки в Active Directiry об устаревшем/неисправному контролеру.
*Только после проделанных операций стоит продолжать настройку нового Primary DC!

Источник: https://www.gotoadm.ru/removal-of-the-failed-domain-controller-from-active-directory/