Cleanup einer Domain, nach gestorbenem oder „tombstoned“ DC
An einem „lebendigen“ DC eine cmd als Administrator öffnen
ntdsutil
metadata cleanup
connections
connect to server
list domains
Im Regelfall werden jetzt die Informationen der Domain angezeigt, uns interessiert hier nur die erste Ziffer der Ausgabe…
Found 1 domain(s) 0 - DC=contoso,DC=com select operation target: select domain 0 No current site Domain - DC=contoso,DC=com No current server No current Naming Context
List sites
Found 1 site(s) 0 - CN=NewYork,CN=Sites,CN=Configuration,DC=contoso,DC=com
Auch hier kratzt wieder nur die erste Ziffer…
Select site 0
Site - CN=NewYork,CN=Sites,CN=Configuration,DC=contoso,DC=com Domain - DC=contoso,DC=com No current server No current Naming Context
List servers in site
Found 2 server(s) 0 - CN=DC01,CN=Servers,CN=NewYork,CN=Sites,CN=Configuration,DC=contoso,DC=com 1 - CN=DC02,CN=Servers,CN=NewYork,CN=Sites,CN=Configuration,DC=contoso,DC=com
Jetzt müsste man hier den Server sehen, der „gestorben“ ist und wählt dessen Ziffer…
Select server 0
Site - CN=NewYork,CN=Sites,CN=Configuration,DC=contoso,DC=com Domain - DC=contoso,DC=com Server - CN=DC01,CN=Servers,CN=NewYork,CN=Sites,CN=Configuration,DC=contoso,DC=com DSA object - CN=NTDS Settings,CN=DC01,CN=Servers,CN=NewYork,CN=Sites,CN=Configuration,DC=contoso,DC=com DNS host name - DC01.contoso.com Computer object - CN=DC01,OU=Domain Controllers,DC=contoso,DC=com No current Naming Context
Nach der Auswahl des Servers, anhand seiner Ziffer, verlassen wir den Verbindungskontext mit einem simplen
q
Die Warnung mit yes bestätigen und wir sind wieder im „Metadata Cleanup“ Kontext.
Remove selected server
Sollte hier eine Warnung kommen, kann es sein, dass die AD-DS Dienste bereits vom Server entfernt wurden.
Jetzt aufräumen und den Server entfernen in:
- Active Directory Sites and Services
- Active Directory Benutzer und Computer -> OU Domain Controller
- DNS -> in allen Zonen als Nameserver entfernen
- DNS -> in allen Zonen den A-Record, CNAMEs etc. entfernen
- DNS -> in allen Reverse Lookup Zonen den PTR entfernen
- DNS -> in allen Zonen (TCP Connections) bspw. als LDAP Target entfernen (bspw. in _msdcs.contoso.com -> dc -> _tcp)