Metadata Cleanup bei offline DC

(Dieser Beitrag wurda am 31. Oktober 2020 aktualisiert.)

Cleanup einer Domain, nach gestorbenem oder "tombstoned" DC

An einem "lebendigen" DC eine cmd als Administrator öffnen

ntdsutil
metadata cleanup
connections
connect to server
list domains

Im Regelfall werden jetzt die Informationen der Domain angezeigt, uns interessiert hier nur die erste Ziffer der Ausgabe…

Found 1 domain(s)
0 - DC=contoso,DC=com
select operation target: select domain 0
No current site
Domain - DC=contoso,DC=com
No current server
No current Naming Context
List sites
Found 1 site(s)
0 - CN=NewYork,CN=Sites,CN=Configuration,DC=contoso,DC=com

Auch hier kratzt wieder nur die erste Ziffer…

Select site 0
Site - CN=NewYork,CN=Sites,CN=Configuration,DC=contoso,DC=com
Domain - DC=contoso,DC=com
No current server
No current Naming Context
List servers in site
Found 2 server(s)
0 - CN=DC01,CN=Servers,CN=NewYork,CN=Sites,CN=Configuration,DC=contoso,DC=com
1 - CN=DC02,CN=Servers,CN=NewYork,CN=Sites,CN=Configuration,DC=contoso,DC=com

Jetzt müsste man hier den Server sehen, der "gestorben" ist und wählt dessen Ziffer…

Select server 0
Site - CN=NewYork,CN=Sites,CN=Configuration,DC=contoso,DC=com
Domain - DC=contoso,DC=com
Server - CN=DC01,CN=Servers,CN=NewYork,CN=Sites,CN=Configuration,DC=contoso,DC=com
        DSA object - CN=NTDS Settings,CN=DC01,CN=Servers,CN=NewYork,CN=Sites,CN=Configuration,DC=contoso,DC=com
        DNS host name - DC01.contoso.com
        Computer object - CN=DC01,OU=Domain Controllers,DC=contoso,DC=com
No current Naming Context

Nach der Auswahl des Servers, anhand seiner Ziffer, verlassen wir den Verbindungskontext mit einem simplen

q

Die Warnung mit yes bestätigen und wir sind wieder im "Metadata Cleanup" Kontext.

Remove selected server

Sollte hier eine Warnung kommen, kann es sein, dass die AD-DS Dienste bereits vom Server entfernt wurden.
Jetzt aufräumen und den Server entfernen in:

  • Active Directory Sites and Services
  • Active Directory Benutzer und Computer -> OU Domain Controller
  • DNS -> in allen Zonen als Nameserver entfernen
  • DNS -> in allen Zonen den A-Record, CNAMEs etc. entfernen
  • DNS -> in allen Reverse Lookup Zonen den PTR entfernen
  • DNS -> in allen Zonen (TCP Connections) bspw. als LDAP Target entfernen (bspw. in _msdcs.contoso.com -> dc -> _tcp)