Defekten Domain Controller aus einer Active Directory entfernen

Stirbt ein Domain Controller, gibt es unterschiedliche Möglichkeiten, wie man in solch einer Situation reagiert. Eine der Möglichkeiten ist, dass man den Server als defekt kennzeichnet und manuell aus der Active Directory entfernt.
Dieser Prozess sorgt dafür, dass der Server nicht mehr in der AD bekannt ist und sauber entfernt wird. In diesem Beitrag zeige ich die einzelnen Schritte, die notwendig sind. Ist dieser Vorgang abgeschlossen, ist der (kaputte) Server nicht mehr in der AD bekannt und könnte bei Bedarf neu aufgebaut werden.

Die FSMO Rollen

Prüfen Sie im Vorfeld, auf welchen Systemen die FSMO-Rollen betrieben werden. Betreiben Sie nur eine Domain, geht dies mit dem folgenden Befehl.

Get-ADDomain | Select-Object DistinguishedName, SchemaMaster, DomainNamingMaster, InfrastructureMaster, PDCEmulator, RIDMaster

Befinden sich mehrere Domains in einem Forest, so kann der Forest mit dem folgenden Befehl abgefragt werden.

Get-ADForest | Select-Object Name, SchemaMaster, DomainNamingMaster, InfrastructureMaster, PDCEmulator, RIDMasterall

Wurden auf dem defekten Server eine oder mehrere FSMO-Rollen betrieben, so müssen diese Rollen im Vorfeld auf einen anderen, verbleibenden Server übertragen werden. Am einfachsten geht dies mit Hilfe der PowerShell. Die entsprechenden Rollen werden mit den Zahlen angesprochen.

Move-ADDirectoryServerOperationMasterRole -Identity "DC1" -OperationMasterRole 0,1,2,3,4 -Force

Zur Info:

  • PDCEmulator == 0
  • RIDMaster == 1
  • InfrastructureMaster == 2
  • SchemaMaster == 3
  • DomainNamingMaster == 4

Computer Objekt entfernen

Der erste Schritt ist die Entfernung von dem Computer Objekt unter Active Directory-Benutzer und -Computer. In der OU Domain Controllers wird sich vermutlich noch das Objekt befinden, welches entfernt werden muss.

Löschen von Computer Objekt

Es erscheint eine Abfrage, ob dieses Objekt wirklich gelöscht werden soll. Diese Frage muss (natürlich) mit Ja beantwortet werden.

Bestätigung der Entfernung

Da es sich um einen Domain Controller handelt, erscheint eine zweite Abfrage, die ebenfalls bestätigt werden muss. Dazu muss im unteren Bereich der Haken bei Diesen Domänencontroller auf jeden Fall entfernen. Er ist ständig offline und kann nicht mehr mit dem Deinstallations-Assistenten entfernt werden gesetzt werden.

Nachfrage, ob das Konto von einem Domänencontroller wirklich gelöscht werden soll

Es erscheint eine weitere Abfrage, dass es sich bei diesem Server um einen AD-Controller handelt, der einen globalen Katalog hält. Stellen Sie sicher, dass es weitere Server in der AD/Site gibt, die ebenfalls einen globalen Katalog halten. Ist dies der Fall, können Sie den Vorgang fortsetzen.

Nachfrage wegen einem vorhandenen Global Catalog

Die Bereinigung der Replikation in Active Directory-Standorte und -Dienste

Nachdem das Computer Objekt entfernt wurde, muss die Replikation überprüft werden. Öffnen Sie dazu die Active Directory-Standorte und -Dienste und wechseln Sie in die korrekte Site. Hier sollte der Eintrag für den defekten AD-Controller sichtbar sein, allerdings ohne NTDS-Einstellungen.

Server-Eintrag ohne NTDS Settings

Falls unterhalb des Server-Objekts doch noch NTDS Settings vorhanden sind, müssen diese im ersten Schritt gelöscht werden. Nachdem keine NTDS Settings mehr vorhanden sind, kann der komplette Server-Eintrag von dem nicht mehr vorhandenen Server entfernt werden.

Löschen von AD Controller in den Replikationseinstellungen
Nachfrage des Lösch-Vorgangs

Nach der Entfernung muss geprüft werden, ob die verbleibenden Einstellungen korrekt sind.

Die Bereinigung per NTDSUTIL

In bestimmten Fällen kann es vorkommen, dass in der Active Directory noch Fragmente vorhanden sind, die ebenfalls bereinigt werden müssen. Diese Überprüfung bzw. Bereinigung kann mit dem NTDSUTIL-Programm durchgeführt werden. Die Befehle zur Entfernung sind die folgenden:

ntdsutil
metadata cleanup
connections
connect to server SERVERNAME
quit
select operation target
list domains
select domain NUMMER
list sites
select site NUMMER
list servers in site
select server NUMMER
quit
remove selected server
Entfernung von Metadaten per NTDSUTIL

In meinem Fall waren keine veralteten Einträge mehr vorhanden, daher musste die eigentliche Entfernung nicht gemacht werden. Sind bei euch hier veraltete Server-Einträge vorhanden, müssen diese entfernt werden.

Die Bereinigung des DNS

Der nächste Schritt ist eine Bereinigung der/des DNS Server. In den meisten Fällen ist der defekte Server hier noch mit mehreren Einträgen vorhanden, die bereinigt werden müssen.

Die Nameserver

In den Eigenschaften der Forward-Lookupzone muss überprüft werden, ob im Reiter Nameserver der defekte Server eingetragen ist. Wenn dies der Fall ist, wird die IP-Adresse häufig als unbekannt aufgeführt. Dieser Eintrag muss gelöscht werden.

Nameserver in den Eigenschaften einer Forward-Lookupzone

Weitere Einträge

Nun muss noch der Host (A)-Eintrag für den Server entfernt werden, sowohl für die Domain als auch für den Server selbst. Hier sollten folgende Bereiche untersucht und ggf. bereinigt werden:

  • Forward-Lookupzonen
    • _msdsc -> dc -> _sites
    • _msdsc -> dc -> _tcp
  • Reverse-Lookupzonen

Fazit

Wenn Sie einen defekten Domain Controller manuell entfernen müssen, ist dies nicht zwangsläufig ein riesen Drama. Je weniger zusätzliche Rollen und Features auf dem System liefen, desto einfacher lässt sich das System ersetzen und neu aufbauen.


Sie benötigten persönliche Unterstützung oder haben nicht die richtige Lösung für Ihr Problem gefunden?

Dieser Blog wird von mir, Jan Kappen, in seiner Freizeit betrieben, hier beschreibe ich Lösungen für Probleme aller Art oder technische Anleitungen mit Lösungsansätzen.

Die berufliche Unabhängigkeit

Ich bin seit Januar 2020 vollständig selbstständig und habe meine eigene Firma gegründet, die Building Networks mit Sitz in Winterberg im schönen Sauerland. Hier stehe ich als Dienstleister gerne für Anfragen, Support oder Projekte zur Verfügung.

Die Firma Building Networks bietet Ihnen:

  • Hilfe und Support per Telefon, Fernwartung oder persönlich vor Ort
  • Projekt-Unterstützung
  • Ausgezeichnete Kompetenz zu den Themen
    • Microsoft Hyper-V
    • Microsoft Failover Clustering & HA
    • Storage Spaces Direct (S2D) & Azure Stack HCI
    • Veeam Backup & Recovery
    • Microsoft Exchange
    • Microsoft Exchange Hybrid Infrastruktur
    • Microsoft Active Directory
    • Microsoft Office 365
    • Ubiquiti
    • 3CX VoIP PBX
    • Fortinet Network Security
    • Baramundi Software
    • ...

Ich freue mich über Ihren Kontakt, weitere Informationen finden Sie auf der Webseite meiner Firma unter Building-Networks.de

Jan

Jan Kappen arbeitet seit 2005 in der IT. Er hat seine Ausbildung 2008 abgeschlossen und war bis 2018 als IT-Consultant im Bereich Hyper-V, Failover Clustering und Software Defined Storage unterwegs. Seit 2015 wurde er jährlich von Microsoft als Most Valuable Professional (MVP) im Bereich "Cloud & Datacenter Management" ausgezeichnet für seine Kenntnisse und die Weitergabe seines Wissens. Jan ist häufig auf Konferenzen als Sprecher zu finden, weiterhin bloggt er viel. Von September 2018 bis Dezember 2019 war Jan als Senior Network- und Systemadministrator bei einem großen mittelständischen Unternehmen im schönen Sauerland angestellt. Im Januar 2020 hat er den Sprung in die Selbstständigkeit gewagt und ist seitdem Geschäftsführer der Firma Building Networks in Winterberg. In seiner Freizeit kümmert er sich um das Freifunk-Netzwerk in Winterberg und Umgebung.

5 Kommentare:

  1. Eine sehr gute Anleitung, reduziert auf alle wesentlichen, aber notwendigen Schritte. Genauso soll es sein!
    Vielen Dank

  2. Perfekte Anleitung!!!

    Danke

  3. Auch ich habe dies gerade benötigt. Danke!

  4. Vielen Dank! Tolle Anleitung.

  5. Super Anleitung.
    Ich danke dir.
    LG Peter

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert