Defekten Domain Controller aus einer Active Directory entfernen

Stirbt ein Domain Controller, gibt es unterschiedliche Möglichkeiten, wie man in solch einer Situation reagiert. Eine der Möglichkeiten ist, dass man den Server als defekt kennzeichnet und manuell aus der Active Directory entfernt.
Dieser Prozess sorgt dafür, dass der Server nicht mehr in der AD bekannt ist und sauber entfernt wird. In diesem Beitrag zeige ich die einzelnen Schritte, die notwendig sind. Ist dieser Vorgang abgeschlossen, ist der (kaputte) Server nicht mehr in der AD bekannt und könnte bei Bedarf neu aufgebaut werden.

Die FSMO Rollen

Prüfen Sie im Vorfeld, auf welchen Systemen die FSMO-Rollen betrieben werden. Betreiben Sie nur eine Domain, geht dies mit dem folgenden Befehl.

Befinden sich mehrere Domains in einem Forest, so kann der Forest mit dem folgenden Befehl abgefragt werden.

Wurden auf dem defekten Server eine oder mehrere FSMO-Rollen betrieben, so müssen diese Rollen im Vorfeld auf einen anderen, verbleibenden Server übertragen werden. Am einfachsten geht dies mit Hilfe der PowerShell. Die entsprechenden Rollen werden mit den Zahlen angesprochen.

Zur Info:

  • PDCEmulator == 0
  • RIDMaster == 1
  • InfrastructureMaster == 2
  • SchemaMaster == 3
  • DomainNamingMaster == 4

Computer Objekt entfernen

Der erste Schritt ist die Entfernung von dem Computer Objekt unter Active Directory-Benutzer und -Computer. In der OU Domain Controllers wird sich vermutlich noch das Objekt befinden, welches entfernt werden muss.

Löschen von Computer Objekt

Es erscheint eine Abfrage, ob dieses Objekt wirklich gelöscht werden soll. Diese Frage muss (natürlich) mit Ja beantwortet werden.

Bestätigung der Entfernung

Da es sich um einen Domain Controller handelt, erscheint eine zweite Abfrage, die ebenfalls bestätigt werden muss. Dazu muss im unteren Bereich der Haken bei Diesen Domänencontroller auf jeden Fall entfernen. Er ist ständig offline und kann nicht mehr mit dem Deinstallations-Assistenten entfernt werden gesetzt werden.

Nachfrage, ob das Konto von einem Domänencontroller wirklich gelöscht werden soll

Es erscheint eine weitere Abfrage, dass es sich bei diesem Server um einen AD-Controller handelt, der einen globalen Katalog hält. Stellen Sie sicher, dass es weitere Server in der AD/Site gibt, die ebenfalls einen globalen Katalog halten. Ist dies der Fall, können Sie den Vorgang fortsetzen.

Nachfrage wegen einem vorhandenen Global Catalog

Die Bereinigung der Replikation in Active Directory-Standorte und -Dienste

Nachdem das Computer Objekt entfernt wurde, muss die Replikation überprüft werden. Öffnen Sie dazu die Active Directory-Standorte und -Dienste und wechseln Sie in die korrekte Site. Hier sollte der Eintrag für den defekten AD-Controller sichtbar sein, allerdings ohne NTDS-Einstellungen.

Server-Eintrag ohne NTDS Settings

Falls unterhalb des Server-Objekts doch noch NTDS Settings vorhanden sind, müssen diese im ersten Schritt gelöscht werden. Nachdem keine NTDS Settings mehr vorhanden sind, kann der komplette Server-Eintrag von dem nicht mehr vorhandenen Server entfernt werden.

Löschen von AD Controller in den Replikationseinstellungen
Nachfrage des Lösch-Vorgangs

Nach der Entfernung muss geprüft werden, ob die verbleibenden Einstellungen korrekt sind.

Die Bereinigung per NTDSUTIL

In bestimmten Fällen kann es vorkommen, dass in der Active Directory noch Fragmente vorhanden sind, die ebenfalls bereinigt werden müssen. Diese Überprüfung bzw. Bereinigung kann mit dem NTDSUTIL-Programm durchgeführt werden. Die Befehle zur Entfernung sind die folgenden:

Entfernung von Metadaten per NTDSUTIL

In meinem Fall waren keine veralteten Einträge mehr vorhanden, daher musste die eigentliche Entfernung nicht gemacht werden. Sind bei euch hier veraltete Server-Einträge vorhanden, müssen diese entfernt werden.

Die Bereinigung des DNS

Der nächste Schritt ist eine Bereinigung der/des DNS Server. In den meisten Fällen ist der defekte Server hier noch mit mehreren Einträgen vorhanden, die bereinigt werden müssen.

Die Nameserver

In den Eigenschaften der Forward-Lookupzone muss überprüft werden, ob im Reiter Nameserver der defekte Server eingetragen ist. Wenn dies der Fall ist, wird die IP-Adresse häufig als unbekannt aufgeführt. Dieser Eintrag muss gelöscht werden.

Nameserver in den Eigenschaften einer Forward-Lookupzone

Weitere Einträge

Nun muss noch der Host (A)-Eintrag für den Server entfernt werden, sowohl für die Domain als auch für den Server selbst. Hier sollten folgende Bereiche untersucht und ggf. bereinigt werden:

  • Forward-Lookupzonen
    • _msdsc -> dc -> _sites
    • _msdsc -> dc -> _tcp
  • Reverse-Lookupzonen

Fazit

Wenn Sie einen defekten Domain Controller manuell entfernen müssen, ist dies nicht zwangsläufig ein riesen Drama. Je weniger zusätzliche Rollen und Features auf dem System liefen, desto einfacher lässt sich das System ersetzen und neu aufbauen.

Jan

Jan Kappen arbeitet sein 2005 in der IT. Er hat seine Ausbildung 2008 abgeschlossen und war bis 2018 als IT-Consultant im Bereich Hyper-V, Failover Clustering und Software Defined Storage unterwegs. Seit 2015 wurde er jährlich von Microsoft als Most Valuable Professional (MVP) im Bereich "Cloud & Datacenter Management" ausgezeichnet für seine Kenntnisse und die Weitergabe seines Wissens. Jan ist häufig auf Konferenzen als Sprecher zu finden, weiterhin bloggt er viel. Seit September 2018 ist Jan als Senior Network- und Systemadministrator bei einem großen mittelständischen Unternehmen im schönen Sauerland angestellt. In seiner Freizeit kümmert er sich um das Freifunk-Netzwerk in Winterberg und Umgebung.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.