Очистка метаданных сервера контроллера домен active directory

PDC Emulator

Третья и последняя FSMO-роль уровня домена – Primary Domain Controller (PDC) Emulator. Пожалуй, самая нагруженная обязанностями.

ДОМЕН ACTIVE DIRECTORY

Сервер с ролью PDC Emulator служит великой задаче обеспечения совместимости с предыдущими версиями Windows. Но не только, и, в последнее время, не столько. Для начала неплохо бы вспомнить, чем занимался PDC в Windows NT 4.0 и 3.51:

Обработка операции “смена пароля” для пользователей и компьютеров

Репликация обновлений на BDC (Backup Domain Controller)

Обозреватель сети (Domain Master Browser)

В смешанной среде, в которой встречаются клиенты Windows NT4.0, Windows 95 и Windows 98 (без установленного клиента Active Directory) и контроллеры домена pre-Windows2000, всем вышеперечисленным занимается как раз PDC Emulator. Только он и только для них.

Когда же все клиенты обновляются до Windows 2000 и выше (либо когда на Windows NT4/95/98 ставится клиент Active Directory), наступает счастье:

Клиенты меняют пароли при помощи первого попавшегося контроллера домена

Запросы на репликацию от BDC перестают отнимать время в силу полного своего отсутствия

Клиенты ищут сетевые ресурсы в AD, и не зависят более от обозревателя сети (эх, как всё хорошо в technet)

После перехода всей инфраструктуры на Windows 2000 и старше, контроллер домена с ролью PDC Emulator причиняет пользу так:

Пароль, измененный любым другим контроллером домена, отправляется на PDC Emulator высокоприоритетной репликацией

Если аутентификация на любом другом контроллере домена не была успешной с признаком “неверный пароль”, запрос повторяется на эмуляторе PDC. Понятно, что, в случае только что произошедшей смены пароля, уж этот-то запрос будет успешным

При успешной аутентификации учетной записи сразу после неудачной попытки, эмулятор PDC о ней уведомляется и сбрасывает счетчик неудачных попыток в ноль. Сущий позитив для пользователя, часто забывающего свой пароль

Здесь важно заметить, что, даже в случае недоступности эмулятора PDC, информация об изменении пароля всё равно расползется по домену. Да, возможны некоторые сложности, пока идет репликация, но, в принципе, ничего страшного.. WELL KNOWN SECURITY PRINCIPALS

WELL KNOWN SECURITY PRINCIPALS

В Active Directory есть такая замечательная штука, как Well Known Security Principals. Это всяческие Local Service, Network Service, Digest Authentication, и т.п. Несложно догадаться, что управление ими всеми (начиная с Windows 2003) осуществляется как раз контроллером домена с ролью PDC Emulator. Конкретно, эмулятор PDC после апгрейда (или переноса данной роли) на более новую версию Windows обновляет содержимое контейнера “CN=WellKnown Security Principals,CN=Configuration,DC=YourDomain”. В этот же момент происходит создание недостающих well-known и built-in групп, а также обновление членства в них.

ADMINSDHOLDER

Следующая нужная фича – AdminSDHolder, владелец административных дескрипторов безопасности. AdminSDHolder защищает административные группы от изменений. Если дескриптор безопасности в какой-либо административной учетной записи не соответствует представлениям AdminSDHolder’а, этот дескриптор будет обновлен в соответствии с его (AdminSDHolder’а) понятиями. К примеру, если исключить well-known пользователя Administrator из группы Builtin\Administrators, AdminSDHolder вернет его на место.

Да, AdminSDHolder, как понятно, выполняется именно на контроллере домена с ролью эмулятора PDC.

DNS

Только для PDC Emulator в DNS регистрируется SRV-запись вида _ldap._tcp.pdc._msdcs.DnsDomainName, она позволяет клиентам быстренько найти сервер эмуляции PDC.

DFS

Изменения, вносимые в пространство имен Distributed File System (DFS), вносятся на контроллере домена с ролью PDC Emulator. Корневые серверы DFS периодически запрашивают с эмулятора PDC обновленные метаданные, сохраняя их у себя в памяти. Очевидно, что недоступность эмулятора PDC влечет за собой неверную работу DFS.

ГРУППОВЫЕ ПОЛИТИКИ

Редактор групповых политик по умолчанию соединяется с сервером PDC Emulator, и изменения политик происходят на нем же. Если PDC Emulator недоступен, тогда редактор ГП не постесняется спросить у администратора, к какому контроллеру домена подключиться.

ВРЕМЯ

Да, по умолчанию именно сервер PDC Emulator является для клиентов сервером точного времени в домене. А эмулятор PDC корневого домена в лесу является по умолчанию сервером точного времени для эмуляторов PDC в дочерних доменах.

Удаляем неисправный домен контроллер из active directory в server 2008r2. | реальные заметки ubuntu & mikrotik

Прочитано: 4 882

Исходная система: dc1.polygon.local – первый домен контроллер.

Dc2.polygon.local – не исправный домен контроллер.

Учётная запись ekzorchik обладающая правами «Domain Admins» (Администратор домена).

Предположим у нас поломался, сервер, на котором поднят dc2 – второй домен контроллер. Причин может быть масса: посыпались диски, неисправное железо, затопило серверную.

Заходим на dc1 из-под учетной записи ekzorchik. Открываем командную строку с правами Администратора и набираем:

NTDSUTIL – это утилита командной строки, которая предназначена для выполнения различных сложных операций с Active Directory, в том числе процедур обслуживания,  управления и модификации Active Directory.

Ntdsutil для перехода в контекст:

C:Usersekzorchik>ntdsutil

ntdsutil: metadata cleanup

metadata cleanup: connections

Подключаемся к работоспособному домен контроллеру:

server connections: connect to server dc1

Binding to dc1 …

Connected to dc1 using credentials of locally logged on user.

server connections: quit

metadata cleanup: select operation target

select operation target: list sites

Found 1 site(s)

0 — CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=polygon,DC=local

select operation target: select site 0

Site — CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=polygon,DC=local

No current domain

No current server

No current Naming Context

, где <> – где  – номер сайта, в котором находился неисправный контроллер домена (команда list sites отобразит номер сайта)

select operation target: list servers in site

Found 2 server(s)

0 — CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=polygon,DC=local

1 — CN=DC2,CN=Servers,CN=Default-First-SiteName,CN=Sites,CN=Configuration,DC=polygon,DC=local

Выбираем неисправный

select operation target: select server 1

Site — CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=polygon,DC=local

No current domain

Server — CN=DC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,

DC=polygon,DC=local

DSA object — CN=NTDS Settings,CN=DC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=polygon,DC=local

DNS host name — DC2.polygon.local

Computer object — CN=DC2,OU=Domain Controllers,DC=polygon,DC=local

No current Naming Context

select operation target: list domains

Found 1 domain(s)

0 — DC=polygon,DC=local

select operation target: select domain 0

Site — CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=polygon,DC=local

Domain — DC=polygon,DC=local

Server — CN=DC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,

DC=polygon,DC=local

DSA object — CN=NTDS Settings,CN=DC2,CN=Servers,CN=Default-First-Site-Na

me,CN=Sites,CN=Configuration,DC=polygon,DC=local

DNS host name — DC2.polygon.local

Computer object — CN=DC2,OU=Domain Controllers,DC=polygon,DC=local

No current Naming Context

select operation target: quit

metadata cleanup: remove selected server

Transferring / Seizing FSMO roles off the selected server.

Removing FRS metadata for the selected server.

Searching for FRS members under «CN=DC2,OU=Domain Controllers,DC=polygon,DC=local».

Deleting subtree under «CN=DC2,OU=Domain Controllers,DC=polygon,DC=local».

The attempt to remove the FRS settings on CN=DC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=polygon,DC=local failed because «Element not

found.»;

metadata cleanup is continuing.

«CN=DC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=polygon,DC=local» removed from server «dc1»

Открываем оснастку Active Directory Sites and Services:

«Start» – «Control Panel» – «Administrative Tools» – «Active Directory Sites and Services».

Выбираем сайт, в котором находился неисправный домен контроллер (dc2) и открыв свойства – удаляем его.

Мастер уведомит ещё раз об выполняемых действиях:

Соглашаемся, нажав “Yes”

Далее открываемоснастку Active Directory Users and Computers:

«Start» – «Control Panel» – «Administrative Tools» – «Active Directory Users and Computers»

Разворачиваем C:Usersekzorchik>dsquery ou -name «Domain Controllers»

«OU=Domain Controllers,DC=polygon,DC=local» и удаляемучётнуюзаписьсервераdc2.

Далее открываем оснастку DNS Manager:

«Start» – «Control Panel» – «Administrative Tools» – «DNS Manager».

Удаляем все оставшиеся записи DNS: HOST (A) или Pointer (PTR).

Ну вот собственно и все, так следует удалять из DNS и ActiveDirectory записи о удаляемой неисправном контроллере домена и всех его ресурсах. Удачи.

Принудительная репликация контроллера домена через графический интерфейс(Force Replication Of Domain Controller Through GUI)

Серверы Windows часто используют графический интерфейс(GUIs) , что хорошо для начинающих системных администраторов(Systems Administrators) . Этому легче учиться, и иногда это помогает визуализировать то, что происходит на самом деле. 

1. Войдите в один из ваших контроллеров домена и откройте сайты и службы Active Directory(Active Directory Sites and Services) .

1. Перейдите на сайт, для которого вы хотите реплицировать контроллеры домена. Разверните его, нажав на стрелку рядом с названием сайта. Разверните Серверы(Servers) . Разверните контроллер домена, который вы хотите реплицировать. Щелкните(Click) Параметры NTDS(NTDS Settings) .

1. На правой панели щелкните правой кнопкой мыши сервер и выберите « Реплицировать сейчас»(Replicate Now) .

1. В зависимости от количества контроллеров домена(DCs) это может занять от секунды до нескольких минут. По завершении вы увидите уведомление «Доменные службы Active Directory реплицировали подключения». Нажмите (Click)OK , чтобы закончить.

Работа над ошибками

DNS не удаётся разрешить IP-адрес

dcdiag выдаёт ошибку DNS:

Выполнение обязательных начальных проверок

   Сервер проверки: Default-First-Site-Name\DC2
    Запуск проверки: Connectivity
       Узел a20970bf-3f73-400a-85ac-69c8f7b34301._msdcs.mydomain.local не удается
       разрешить в IP-адрес. Проверьте DNS-сервер, DHCP, имя сервера и т. д.
       Получена ошибка при проверке подключения LDAP и RPC. Проверьте параметры
       брандмауэра.
       ......................... DC2 - не пройдена проверка Connectivity

Выполнение основных проверок

   Сервер проверки: Default-First-Site-Name\DC2
      Пропуск всех проверок, так как сервер DC2 не отвечает на запросы службы каталогов.

РЕШЕНИЕ:

Нужно проверить существует ли обратная DNS зона и синхронизирована ли она между контроллерами.

Детальная проверка службы DNS (может занять пару минут):

dcdiag /test:dns

Ошибка репликации 8453

repadmin /showrepl выдаёт ошибку:

Процесс DsReplicaGetInfo() завершился ошибкой с кодом состояния 8453 (0x2105):
    Доступ к репликации отвергнут.

РЕШЕНИЕ:

Запустить репликацию вручную и командной строки с административными правами

repadmin /syncall

На контроллере нет сетевых ресурсов NetLogon и SysVol

Эта ошибка означает, что репликация данных с главного контроллера домена (хозяина операций) на проблемный не была произведена до конца.

Доступность сетевых ресурсов можно проверить командой:

net share

Исправность ресурсов SysVol и NetLogon можно проверить командой:

dcdiag /test:netlogons

Перенос роли хозяина операций

Прежде чем начать перенос ролей, желательно добиться отсутствия ошибок в dcdiag!

Алгоритм переноса ролей FSMO (Flexible Single-Master Operations) такой же как и при захвате. В первом случае используется работающий главный контроллер домена (PDC), и переносимые роли на нём отключаются, если же он потерян, то роли захватываются новым контроллером принудительно.

Посмотрим список контроллеров домена mydomain.local:

nltest /dclist:mydomain.local

Выясняем, кто из контроллеров является хозяином операций:

C:\Users\pnm>netdom query FSMO
Хозяин схемы                dc1.mydomain.local
Хозяин именования доменов   dc1.mydomain.local
PDC                         dc1.mydomain.local
Диспетчер пула RID          dc1.mydomain.local
Хозяин инфраструктуры       dc1.mydomain.local
Команда выполнена успешно. 

Перенос ролей можно сделать двумя способами:

1. через оснастку «Active Directory — Домены и доверие», открыв её из Диспетчера серверов — Средства.

C:\Users\pnm>ntdsutil 
ntdsutil: roles
fsmo maintenance: connections 
server connections: connect to server dc2
Привязка к dc2 ...
Подключен к dc2 с помощью учетных данных локального пользователя.
server connections: quit
fsmo maintenance: seize infrastructure master
fsmo maintenance: seize naming master
fsmo maintenance: seize PDC
fsmo maintenance: seize RID master
fsmo maintenance: seize schema master
quit
quit

Находясь в разделе fsmo maintenance можно узнать список всех ролей, послав команду ?.

В случае успешного захвата мы должны увидеть следующее

C:\Users\pnm>netdom query FSMO
Хозяин схемы                dc2.mydomain.local
Хозяин именования доменов   dc2.mydomain.local
PDC                         dc2.mydomain.local
Диспетчер пула RID          dc2.mydomain.local
Хозяин инфраструктуры       dc2.mydomain.local
Команда выполнена успешно. 

Видео

Установка контроллера домена Windows 2012 R2Скачать

Репликация контроллера домена на windows server 2012Скачать

Если основной контроллер домена Windows Server перестал работатьСкачать

Windows server 2019 — добавление и удаление компьютера в доменеСкачать

Как сделать общую папку для группы пользователей Windows server 2012Скачать

Active Directory, учетные записи. Создание домена, групповая политика #2Скачать

Добавление дополнительного контроллера домена в существующий домен ADСкачать

Windows server 2012 — создание пользователя в доменеСкачать

Установить контроллер домена Windows Server 2012 на виртуальную машинуСкачать

Настройка второго сервера DNS, DHCP / MMC / Репликация #4Скачать

Удаляем неисправный контроллер домена при помощи утилиты NTDSUTIL

Нередки ситуации, когда системному администратору приходится вручную удалять контроллер домена из Active Directory. Такие ситуации возникают при физическом выходе из строя севера с ролью контроллера домена или другой нештатной ситуации. Естественно, наиболее предпочтительно удалить контроллер домена при помощи команды DCPROMO (подробно DCPROMO и ее параметрах) Однако, что же делать, если контроллер домена недоступен (выключен, сломался, недоступен по сети)?

Естественно, нельзя просто удалить учетную запись контроллера домена при помощи оснастки Active Directory User and Computer.

Для ручного удаления контроллера домена из Active Directory подойдет утилита NTDSUTIL. NTDSUTIL – это утилита командной строки, которая предназначена для выполнения различных сложных операций с ActiveDirectory, в том числе процедур обслуживания, управления и модификации Active Directory. Я уже писал об использовании Ntdsutil для создания снимков (snapshot) Active Directory.

Следующая инструкция позволит вручную удалить неисправный контроллер домена.

Примечание: при использовании NTDSUTIL не обязательно вводит команду целиком, достаточно ввести информацию, позволяющую однозначно идентифицировать команду, например вместо того, чтобы набирать metadata cleanup, можно набрать met cle, или m c

• Откройте командную строку
• Наберите

, где — имя работоспособного контроллера домена, хозяина операций

, где -где – номер неисправного контроллера домена (команда list servers отобразит номер сервера)

, где номер домена, в котором находится неисправный DC (команда list domains отобразит номер домена)

(вернемся в меню metadata cleanup)

( появится предупреждающее окно, следует убедится, что удаляется искомый контроллер домена)

Yes
Откройте консоль Active Directory Sites and Services
Разверните сайт, в котором находился ненужный DC
Проверьте, что данный контролер не содержит никаких объектов
Щелкните правой кнопкой по контроллеру и выберите Delete

Закройте консоль Active Directory Sites and Services
Откройте оснастку Active Directory Users and Computers

Разверните OU «Domain Controllers»
Удалите учетную запись компьютера неисправного контроллера домена из данной OU
Откройте оснастку DNS Manager
Найдите зону DNS, для которой ваш контроллер домена был DNS сервером
Щелкните правой кнопкой мыши по зоне и выберите Properties

Перейдите на вкладку серверов NameServers

Удалите запись неисправного DC
Нажмите ОК, для того чтобы удалить все оставшиеся DNS записи: HOST (A) или Pointer (PTR
Удостоверьтесь, что в зоне не осталось никаких DNS записей, связанных с удаленным контроллером домена

Вот и все, мы полностью удалили из DNS и Active Directory неисправный контроллер домена и все ресурсы, связанные с ним.

Удаление контроллера домена

Удаление из домена active directory контроллера, который находиться в офлайне происходит в несколько простых и коротких этапов.

NTDSUTIL

• На исправном контролере домена из под администратора запускаем командную строку и вводим ntdsutil . Мы «вошли» в утилиту и должны увидеть приглашение «ntdsutil:» для ввода команд.
• Вводим команду metadata cleanup
• Нам необходимо уточнить что именно нужно удалить. Вводим connections — мы вошли в меню для подключения к серверу. 
  • Вводим connect to server имя_сервера , где имя_сервера — имя исправного сервера с контроллером домена.
  • Вводим команду quit — для возврата в меню Metadata Cleanup.
• Вводим команду select operation target
  • Вводим команду list domains — появиться список доменов. У меня он один.
  • Вводим команду select domain номер — указываем из какого домена мы хотим удалить сервер, где «номер» — номер домена из предыдущего списка.
  • Вводим команду list sites — отобразится список узлов с номерами.
  • Вводим команду select site номер, где номер — номер узла в котором находиться удаляемый сервер.
  • Вводим команду list servers in site — выводим список серверов с номерами в указанном узле
  • Вводим команду select server номер, где номер — номер сервера который мы хотим удалить.
  • Вводим команду quit — выходим в меню metadata cleanup утилиты ntdsutil
• Вводим команду remove selected server — удаляем контроллер домена. Появиться окно с предупреждением, подтверждаем кнопкой «yes».
• Вводим quit — выходим из меню metadata cleanup утилиты ntdsutil
• Вводим quit — выходим из утилиты  ntdsutil

Эта процедура выглядит приблизительно вот так:

Удаление из оснасток:

• Открываем оснастку «Active Directory Sites and Services», разворачиваем сайт (узел) в котором находиться удаляемый контроллер домена, убеждаемся что он не содержит никаких объектов и удаляем его.
• Открываем оснастку  «Active Directory Users and Computers», разворачиваем контейнер «Domain Controllers» и убеждаемся что там нет удаляемого контроллера домена. Если есть — удаляем.
• Открываем оснастку «DNS Manager».
  • Находим зону DNS в которой удаляемый контроллер домена был DNS-сервером.
  • Кликаем правой кнопки мышки по зоне и выбираем Properties
  • Переходим на вкладку Name Servers и удаляем не нужный контроллер домена.
  • Жмем OК, для того чтобы удалить все оставшиеся DNS записи: HOST (A) или Pointer (PTR) и убеждаемся что в зоне не осталось никаких DNS записей связанных с удаляемым контроллером домена.