Удаление данных из Active Directory после неудачного понижения роли контроллера домена
Второй метод: Windows 2000 (все версии) Windows Server 2003 RTM
1.
Нажмите кнопку Пуск и последовательно выберите пункты Программы, Стандартные и Командная строка.
2.
В командной строке введите ntdsutil и нажмите клавишу ВВОД.
3.
Введите metadata cleanup и нажмите клавишу ВВОД. Для фактического выполнения удаления необходимо указать дополнительные параметры.
4.
Введите команду connections и нажмите клавишу ВВОД. Это меню предназначено для подключения к серверу, на котором происходят изменения. Если текущий пользователь не обладает правами администратора, перед подключением следует указать другую учетную запись. Для этого введите команду set creds имя_доменаимя_пользователяПароль и нажмите клавишу ВВОД. В случае использования пустого пароля введите null.
5.
Введите команду connect to server имя_сервераи нажмите клавишу ВВОД. Появится сообщение о подключении к серверу. При возникновении ошибки убедитесь, что доступен контроллер домена, который используется для подключения, а текущая учетная запись обладает правами администратора на сервере.
Примечание. Если выполняется подключение к удаляемому серверу, то при попытке его удаления (действие 15) может появиться следующее сообщение об ошибке:
Ошибка 2094. Невозможно удалить объект DSA0x2094
6.
Введите команду quit и нажмите клавишу ВВОД. Появится меню Metadata Cleanup.
7.
Введите команду select operation target и нажмите клавишу ВВОД.
8.
Введите команду list domains и нажмите клавишу ВВОД. Появится список доменов леса с номерами.
9.
Введите команду select domain номер и нажмите клавишу ВВОД, где номер – номер домена, которому принадлежит удаляемый сервер. Выбранный домен используется для проверки того, является ли удаляемый сервер последним контроллером в этом домене.
10.
Введите команду list sites и нажмите клавишу ВВОД. Появится список узлов с номерами.
11.
Введите команду select site номер и нажмите клавишу ВВОД, где номер – номер узла, которому принадлежит удаляемый сервер. Появится подтверждение выбранного домена и узла.
12.
Введите команду list servers in site и нажмите клавишу ВВОД. Появится список серверов узла с номерами.
13.
Введите команду select server номер, где номер – номер удаляемого сервера. Появится подтверждение, которое содержит имя выбранного сервера, его DNS-имя и местонахождение учетной записи.
14.
Введите команду quit и нажмите клавишу ВВОД. Появится меню Metadata Cleanup.
15.
Введите команду remove selected server и нажмите клавишу ВВОД. Должно появиться сообщение об успешном удалении сервера. Если появляется следующее сообщение об ошибке:
Ошибка 8419 (0x20E3) Не удается найти объект DSA.
Это значит, что объект NTDS Settings был удален ранее другим администратором или в результате репликации удаления объекта после запуска программы Dcpromo.
Примечание. Это сообщение об ошибке также может появиться при подключении к удаляемому контроллеру домена. Программа Ntdsutil не должна подключаться к контроллеру домена, который будет удаляться при очистке метаданных.
16.
Введите во всех меню команду quit, чтобы завершить работу Ntdsutil. Появится сообщение об отключении от сервера.
17.
Удалите запись типа cname в зоне _msdcs.корневой_домен_леса на сервере DNS. Предположим, контроллер домена будет установлен повторно и его роль будет повышена. В этом случае создается новый объект NTDS Settings с новым идентификатором GUID и новой записью типа cname в DNS. Если не удалить старую запись, то она может быть использована существующими контроллерами домена.
Кроме того, рекомендуется удалять имя компьютера и другие связанные с ним записи DNS. По истечении срока аренды адреса DHCP, выделенного данному серверу, другой компьютер может получить этот IP-адрес.
После удаления объекта NTDS Settings можно удалить учетную запись компьютера, объект FRS, запись типа cname (Alias) в контейнере _msdcs, запись A (Host) в DNS, объект trustDomain удаленного дочернего домена и контроллер домена.
Средство Adsiedit входит в состав пакета средств поддержки для Windows 2000 Server и Windows Server 2003. Чтобы установить пакет средств поддержки, выполните следующие действия:
•
Windows 2000 Server: Перейдите в папку Support\Tools, находящуюся на компакт-диске Windows 2000 Server, дважды щелкните файл Setup.exe и следуйте инструкциям, появляющимся на экране.
•
Windows Server 2003: Перейдите в папку Support\Tools, находящуюся на компакт-диске Windows 2003 Server, дважды щелкните файл Suptools.msi, нажмите кнопку Установить и следуйте инструкциям мастера установки.
1.
Для удаления учетной записи компьютера с помощью ADSIEdit Для этого выполните следующие действия:
a.
Выберите в меню Пуск пункт Выполнить, введите в поле Открыть команду adsiedit.msc и нажмите кнопку ОК.
Щелкните правой кнопкой мыши CN=имя контроллера домена и выберите команду Удалить.
Если появится сообщение об ошибке «Невозможно удалить объект DSA», измените значение параметра UserAccountControl. Для этого щелкните правой кнопкой мыши контроллер домена в ADSIEdit и выберите команду Properties. В списке Select a property to view выберите параметр UserAccountControl. Нажмите кнопку Clear, введите значение 4096 и нажмите кнопку Set. Теперь объект можно удалить.
Примечание. Объект подписчика FRS является дочерним объектом учетной записи компьютера и удаляется одновременно с объектом-компьютером.
2.
Для удаления объекта FRS с помощью средства ADSIEdit Для этого выполните следующие действия:
a.
Выберите в меню Пуск пункт Выполнить, введите в поле Открыть команду adsiedit.msc и нажмите кнопку ОК.
Разверните узел CN=Domain System Volume (SYSVOL share).
g.
Правой кнопкой мыши щелкните подлежащий удалению контроллер домена и выберите команду Удалить.
3.
С помощью консоли управления DNS удалите в DNS запись A. Запись А также называют записью узла. Для удаления записи типа А щелкните ее правой кнопкой мыши и выберите команду Удалить. Кроме того, необходимо удалить запись типа cname (Alias) в контейнере _msdcs. Для этого разверните контейнер _msdcs, правой кнопкой мыши щелкните запись cname и выберите команду Удалить.
Внимание! Если удаляется сервер DNS, необходимо удалить ссылку на данный контроллер домена на вкладке Серверы имен. Для этого в консоли DNS выберите имя домена в списке Зоны прямого просмотра и удалите сервер на вкладке Серверы имен.
Примечание. Кроме того, сервер необходимо удалить из зон обратного просмотра (если они используются).
4.
Если удаленный компьютер был последним контроллером в дочернем домене, который также удаляется, следует с помощью средства ADSIEdit удалить объект trustDomain дочернего домена. Для этого выполните следующие действия:
a.
Выберите в меню Пуск пункт Выполнить, введите в поле Открыть команду adsiedit.msc и нажмите кнопку ОК.
