Ein Domänencontroller der aus der Domäne entfernt werden soll, wird ordnungsgemäß mit Ausführen von DCPROMO
(Start – Ausführen – DCPROMO) zu einem Mitgliedsserver heruntergestuft. Ordnungsgemäß heißt, dass aus den Metadaten des
Active Directory (AD) die Informationen bzgl. des Domänencontrollers (DC) automatisch während dem DCPROMO-Vorgang entfernt werden.
Dazu muss natürlich der DC funktionstüchtig sein und Verbindung zur Gesamtstruktur haben.


Beim Herunterstufen eines DCs werden während des normalen DCPROMO-Vorgangs, folgende Änderungen durchgeführt:




  • Falls der DC der Träger der FSMO-Rollen sein sollte, werden diese auf einen anderen DC verschoben.


  • Das NTDS Settings Objekt wird samt Querverweisen entfernt.


  • Das Verzeichnis …\NTDS in der sich die Verzeichnisdatenbank (Ntds.dit) samt Logs befinden, wird vom DC entfernt.


  • Abhängige Dienste des AD werden auf dem DC deinstalliert, wie z.B. der „Kerberos-Schlüsselverteilungscenter“
    oder der „Standortübergreifender Messagingdienst“.


  • Das SYSVOL-Verzeichnis wird samt Inhalt vom DC entfernt.


  • Die lokale SAM-Datenbank wird auf dem Server erstellt.


  • Der Typ des Computerkontos wird von Domänencontroller zu Mitgliedsserver geändert. Dabei ändert sich der Wert
    im Attribut userAccountControl, das sich in den Eigenschaften des Computerkontos befindet, von Hex=0x82000 (Dezimal=532480)
    zu Hex=1000 (Dezimal=4096).


  • Das Computerkonto wird von der OU Domain Controllers in den Container Computers verschoben.


  • Das DNS wird weitestgehend bereinigt, in dem die SRV- sowie CNAME-Records des DCs entfernt werden.


Die Deinstallation der beiden Serverrollen Active Directory-Domänendienste und DNS-Server (falls installiert) unter Windows Server 2008,
muss der Administrator noch nachträglich im Server-Manager manuell durchführen.


Wenn man den DC einfach abschalten und neu installieren würde, wären in den Metadaten des Active Directory noch alle
Informationen des DCs enthalten. Die Daten des DCs wären weiterhin im AD gespeichert, falls dieser ausfallen (z.B. bei einem Hardwarecrash)
oder erzwungen aus dem AD entfernt werden sollte. Die unnötigen Daten des DCs die im Active Directory bestehen bleiben, sind z.B.
das DC-Objekt, das NTDS Settings Objekt, das FRS-Mitgliedsobjekt, die Verbindungsobjekte und die DNS-Informationen
(bei AD-integrierter Forward Lookup Zone).


Bevor jedoch ein anderer Server mit demselben Computernamen zum DC heraufgestuft werden kann, muss sichergestellt sein,
dass die Daten des DCs vollständig aus dem AD entfernt wurden. Abgesehen davon würden die Replikationspartner des ausgeschalteten
oder defekten DCs Warnungen im Verzeichnisdienstprotokoll und im Dateireplikationsdienstprotokoll (bei der SYSVOL-FRS Replikation) melden,
da sie mit ihm keine AD- bzw. SYSVOL-Replikation durchführen konnten. Daher sollten stets die Informationen eines nicht mehr existierenden
DCs aus dem AD entfernt werden.




Die erzwungene Herabstufung eines Domänencontrollers


Befindet sich ein DC an einem entfernten Standort der temporär keine WAN/VPN-Verbindung zur Zentrale und somit zur Gesamtstruktur hat,
ist das Herunterstufen eines DCs durch die erzwungene Herabstufung trotzdem möglich. Andere Ursachen die das herkömmliche Entfernen
eines DCs nicht zulassen könnten, wären z.B. Probleme mit der Konnektivität, Namensauflösung (DNS), Authentifizierung,
AD-Replikation (Stichwort: Tombstone Lifetime) oder ein Hardwaredefekt. Auch in solchen Situationen ist das herunterstufen eines DCs möglich,
dabei aber nicht so komfortabel wie sonst üblich. Die AD-Informationen können dann zum einen auf dem DC selbst entfernt werden und zum anderen,
müssen die Metadaten des ADs bereinigt werden. Diese Vorgehensweise besteht bereits seit Windows 2000.


Im ersten Schritt kann das erzwungene Herabstufen eines DCs mit dem Befehl DCPROMO /Forceremoval durchgeführt werden.
Dazu müssen die DCs die unter Windows 2000 und Windows Server 2003 betrieben werden, im normalen Modus gestartet sein!


Der Vorgang bei einer erzwungenen Herabstufung eines DCs ist die gleiche, als wenn der letzte DC einer Domäne deinstalliert werden würde.
Die Änderungen die lokal auf dem DC durchgeführt werden, sind die gleichen wie bei einem herkömmlichen DCPROMO-Vorgang. Das bedeutet,
nach dem Ausführen von DCPROMO /Forceremoval werden auf dem DC die Änderungen die zu Beginn dieses Artikels aufgezählt wurden durchgeführt.
Jedoch ist der DC nach der erzwungenen Herabstufung nicht mehr ein Mitgliedsserver der Domäne, sondern ist nun Mitglied einer Arbeitsgruppe.


Die Rolle AD-DS befindet sich (neben der Rolle des DNS-Servers) auch nach diesem Vorgang auf dem Server und kann nachträglich
manuell deinstalliert werden. Im Systemprotokoll des Servers wird unter Windows 2000 die EventID 29234 und unter Windows Server 2003
sowie Windows Server 2008 die EventID 29239 protokolliert.



 


Eine Neuheit ab Windows Server 2008 wäre, das sich die erzwungene Herabstufung sogar im Modus Verzeichnisdienste wiederherstellen
durchführen lässt. So können auch dann die AD-Informationen lokal vom DC entfernt werden, falls der DC nicht normal starten sollte.
Dies war unter den früheren Serverversionen nicht möglich! Die erzwungene Herabstufung funktioniert auch wenn der Dienst
Active Directory-Domänendienste gestoppt ist. Natürlich spielt es dabei keine Rolle, ob es sich um einen beschreibbaren
oder Windows Server 2008 RODC handelt.


Wenn der DC unter Windows 2000 und Windows Server 2003 nicht im normalen Modus startet, so gibt es noch eine weitere Möglichkeit
die AD-Informationen lokal vom DC zu entfernen. Das sei der Vollständigkeitshalbe erwähnt. Wie das funktioniert, wird in diesem Artikel erläutert:


Das Active Directory gewaltsam vom DC entfernen


 


Die Vorgehensweise bei einer erzwungenen Herabstufung eines DCs sieht folgendermaßen aus:




  1. In einer Kommandozeile oder unter Start-Ausführen gilt es die erzwungene Herabstufung, mit dem Befehl DCPROMO /Forceremoval einzuleiten.


  2. Seit Windows Server 2003 SP1 erhält dabei der Administrator nach Ausführen des Befehls für die folgenden Funktionen Warnhinweise. Jedoch können die Warnmeldungen bzgl. der FSMO-Rollen unterdrückt werden, wenn der Parameter /demotefsmo:yes angegeben wird.

    - Wenn auf dem herunterzustufenden DC einer der FSMO-Rollen (oder alle) liegen sollte, erhält der Administrator für jede Rolle einen Warnhinweis.

     


    - Ist das DNS auf dem DC installiert, wird ebenfalls ein Warnhinweis angezeigt.
    - Auch wenn der globale Katalog (GC) auf dem DC aktiviert ist, erscheint ein weiterer Warnhinweis.

    Alle diese Warnungen müssen mit Ja bestätigt werden. Andernfalls bricht der Vorgang ab. Mit den Warnungen wird der
    Administrator darauf hingewiesen, diese Funktionen auf anderen DCs in der Gesamtstruktur sicherzustellen.


  3. Es folgt die Willkommensseite des DCPROMO-Assistenten.


  4. Im nächsten Schritt werden dem Administrator Informationen über die erzwungene Herabstufung und der Hinweis,
    dass die Metadaten der Gesamtstruktur nicht aktualisiert werden angezeigt.


  5. Ist der DNS-Server auf dem DC installiert, erscheint ein weiterer Hinweis.


  6. Im nächsten Fenster muss das lokale Administratorkennwort vergeben werden.


  7. Anschließend folgt die Zusammenfassung und mit einem letzten Klick auf Weiter beginnt nun das Herabstufen des DCs.


  8. Ist der Vorgang abgeschlossen, verlangt der Assistent einen Neustart. Anschließend befindet sich der Server in einer Arbeitsgruppe


  9. Das primäre DNS-Suffix der Domäne hat der Server nach diesem Vorgang noch weiterhin gespeichert,
    was natürlich geändert werden kann.
     


Domain controllers do not demote gracefully when you use the Active Directory Installation Wizard to force demotion in Windows Server 2003 and in Windows 2000 Server



 


Mit NTDSUTIL die Gesamtstrukturmetadaten bereinigen


Im zweiten Schritt müssen die Metadaten des Active Directory bereinigt und somit die Daten des nicht mehr existierenden DCs
aus dem AD entfernt werden. Das bereinigen der Metadaten kann seit Windows 2000 mit NTDSUTIL oder ADSIEdit durchgeführt werden.
Die NTDSUTIL Version die ab Windows Server 2003 SP1 enthalten ist, führt dabei weiterreichende Aufgaben durch,
wie z.B. das seizen der FSMO-Rollen falls der zu entfernende DC der Rolleninhaber war. Im Anschluss daran bleibt noch das DNS zu bereinigen.


Die Metadaten werden mit NTDSUTIL ab dem Windows Server 2003 SP1 und somit auch unter Windows Server 2008 wie folgt bereinigt,
wozu Domänen-Administratoren Rechte notwendig sind:

Hinweis: Die Vorgehensweise mit NTDSUTIL unter Windows 2000 und Windows Server 2003 RTM sind identisch.
Jedoch weichen die Nacharbeiten unter Windows 2000 etwas ab.




  1. Zuerst gilt es in einer Kommandozeile oder unter Start-Ausführen NTDSUTIL aufzurufen.


  2. Als nächstes gibt man den Befehl Metadata cleanup ein.


  3. Nun ist der Befehl Connections einzugeben.


  4. Jetzt ist der Befehl Connect to Server <Servername> einzugeben. Einige machen an dieser Stelle den Fehler und versuchen sich
    auf den nicht mehr existierenden DC zu verbinden, was natürlich fehlschlägt. Es muss ein DC ausgewählt werden,
    der online und erreichbar ist.


  5. Im fünften Schritt muss man mit dem Befehl Quit zum Menü Metadata cleanup zurückkehren.


  6. Es folgt die Eingabe Select operation target.


  7. Mit der Eingabe von List domains werden alle Domänen der Gesamtstruktur angezeigt.


  8. Daraufhin ist mit dem Befehl Select domain <Domänennummer> die Domäne auszuwählen, aus der der DC entfernt werden soll.


  9. Danach lässt man sich mit List sites alle AD-Standort der Gesamtstruktur anzeigen.


  10. Mit dem Befehl Select site <Standortnummer> wählt man den Standort, aus dem der DC entfernt werden soll.


  11. Dann lässt man sich mit dem Befehl List servers in site alle DCs des ausgewählten Standorts anzeigen.


  12. Anschließend muss mit der Eingabe des Befehls Select server <DC-Nummer> der DC angegeben werden,
    der aus dem AD entfernt werden soll.


  13. Mit der Eingabe von Quit muss man erneut in die Ebene Metadata cleanup zurückkehren.


  14. Zu guter letzt wird mit der Eingabe von Remove selected server der DC nun endlich aus den Metadaten des AD entfernt.


  15. Es folgt eine Sicherheitsabfrage ob der DC tatsächlich entfernt werden soll.






  16. Falls der zu entfernende DC der Rolleninhaber einer der FSMO-Rollen sein sollte, wird für jede Rolle das Popup
    Bestätigung der Funktionenübernahme mit der entsprechenden Rolle angezeigt. Mit Ja oder Nein kann bestimmt werden,
    ob der angezeigte DC die Rollen übertragen bekommen soll.






  17. Mit einem genauen Blick auf die Anzeige sollte sichergestellt werden, dass – falls FSMO-Rollen zu übertragen sind -
    auch tatsächlich alle Rollen übertragen wurde.


  18. Wenn dem Administrator bei dem übertragen der FSMO-Rollen ein Fehler unterlaufen ist und dieser aus Versehen auf Nein geklickt hat,
    kann jederzeit im Nachgang die FSMO-Rolle wie gewohnt entweder durch die GUI (ausgeschlossen ist hier der RID-Master,
    dieser muss durch NTDSUTIL geseized werden) oder durch NTDSUTIL – seize auf einen anderen DC übertragen werden.

    Die FSMO-Rollen verschieben


  19. Mit Quit kann man nun NTDSUTIL beenden.


  20. Weiterhin ist noch das DC-Objekt aus dem Snap-In Active Directory-Standorte und -Dienste (dssite.msc) zu entfernen.
    Dieses DC-Objekt bleibt auch beim normalen herunterstufen bestehen und muss zusätzlich noch entfernt werden.
    Unterhalb des DC-Objekts wurde bereits das NTDS Settings-Objekt entfernt, es existiert aber weiterhin noch das DC-Objekt.
    Nach dem entfernen des DC-Objekts verschwinden auch evtl. bestehende Verbindungsobjekte bei den Replikationspartnern.


  21. Nach dem bereinigen der Metadaten sind noch die Einträge aus dem DNS zu löschen. Dabei sind die SRV-Einträge sowie
    der CNAME-Eintrag des DCs aus der Forward Lookup Zone der Domäne und aus der Zone “_msdcs.Root-Domäne“ zu entfernen.
    Falls eine Reverse-Lookup Zone existiert, dann sind auch dort die Einträge des DCs zu entfernen. Zusätzlich sollte der DC aus
    dem Reiter Namenserver, welches in den Eigenschaften der Forward Lookup Zone zu finden ist, entfernt werden.
     

    Die Einträge im DNS können auch mit Hilfe von NLTEST entfernt werden. Das Tool befindet sich unter Windows 2000 sowie
    Windows Server 2003/2003 R2 in den Windows Support Tools und ist im Windows Server 2008 “on Bord”. Die DC-spezifischen
    SRV-Einträge werden mit dem Befehl nltest /DSDEREGDNS:DomCon01.Domäne.TLD entfernt. Damit auch d
    ie GUID-Einträge des DCs
    entfernt werden, sind die Parameter /DOMGUID sowie /DSAGUID hilfreich.



Eine weitere und kürzere Variante mit NTDSUTIL die Metadaten zu bereinigen,
die aber erst ab dem Windows Server 2003 SP1 zur Verfügung steht, wäre die folgende:




  1. Es gilt zuerst das NTDSUTIL in der Befehlszeile oder unter Start-Ausführen zu starten.


  2. Dann muss in die Ebene Metadata cleanup gewechselt werden.


  3. Nun muss der Befehl remove selected server <DN des DCs aus der Konfigurationspartition> eingegeben werden.
    Der Befehl würde so aussehen:
    remove selected server CN=<DC-Name>,CN=Servers,CN=<Standortname>,CN=Sites,CN=Configuration,DC=<Root-Domäne>.

    Wenn sich der DC mit dem Namen MZDCON01 im AD-Standort Mainz befindet und der FQDN der Root-Domäne „intra.dikmenoglu.de“ lautet,
    würde der Befehl zum entfernen so aussehen:
    remove selected server CN=MZDCON01,CN=Servers,CN=Mainz,CN=Sites,CN=Configuration,DC=intra,DC=dikmenoglu,DC=de.


  4. Die Sicherheitsabfrage Bestätigung des Entfernens des Servers erscheint, die mit Ja zu bestätigen ist.


  5. Befinden sich FSMO-Rollen auf dem zu entfernenden DC, wird für jede Rolle die Sicherheitsfrage
    Bestätigung der Funktionenübernahme gestellt. Es muss dann mit
    Ja oder Nein bestätigt werden,
    ob die entsprechende Rolle übertragen werden soll.


  6. Die FSMO-Rollen können auch zu einem späteren Zeitpunkt in gewohnter Weise, mit NTDSUTIL – seize oder durch die GUI
    (bis auf den RID-Master) auf einen anderen DC übertragen werden.


  7. Danach muss noch das DC-Objekt aus dem Snap-In Active Directory-Standorte und -Dienste entfernt werden.


  8. Die SRV- sowie CNAME-Einträge aus den beiden Forward Lookup Zonen <Domäne> und <_msdcs.Root-Domäne>,
    sind ebenfalls noch zu löschen. Deise können manuell oder einfacher mit NLTEST entfernt werden. Der Befehl
    dazu lautet: nltest /DSDEREGDNS:DomCon01.Domäne.TLD. Zum entfernen der DC-GUID Einträge im DNS
    helfen die Parameter /DOMGUID sowie /DSAGUID.


Die genaue Vorgehensweise für ältere Server-Versionen wird in diesem Artikel erläutert:
How to remove data in Active Directory after an unsuccessful domain controller demotion



War das der letzte DC einer Domäne, muss noch die Domäne aus den Metadaten entfernt werden.
How to remove orphaned domains from Active Directory



 


Das bereinigen der Metadaten nach einer erzwungenen Herabstufung oder eines defekten
beschreibbaren Windows Server 2008 DCs


Unter Windows Server 2008 wurde wie vieles andere, auch das bereinigen der Metadaten verbessert und für den Administrator erleichtert.
Nun kann man das bereinigen der Metadaten, neben NTDSUTIL und ADSIEdit, zusätzlich in der MMC Active Directory-Benutzer und -Computer
oder Active Directory-Standorte und -Dienste durchführen. Das bereinigen der Metadaten kann nun alleine
durch die grafische Oberfläche durchgeführt werden.


Dazu sind in der MMC Active Directory-Benutzer und -Computer (ADBuC) die folgenden Schritte durchzuführen:




  1. Im ersten Schritt ruft man das Snap-In ADBuC, entweder unter Start-Programme-Verwaltung oder durch Start-Ausführen-dsa.msc auf.


  2. Danach wählt man in der OU Domain Controllers, worin sich standardmäßig die DCs befinden, den entsprechenden DC aus.


  3. Mit einem Rechtsklick auf das Icon des DC-Objekts wählt man nun aus dem Kontextmenü die Option Löschen aus.
    Zum Löschen kann auch das rote „X“ auf der Symbolleiste gewählt werden.


  4. Wie üblich unter Windows folgt eine Sicherheitsabfrage die es zu bestätigen gilt.







  5. Im nächsten Schritt folgt erneut ein Warnhinweis. Der Administrator wird darauf hingewiesen, dass er versucht einen DC aus
    dem AD zu löschen, obwohl das DCPROMO für das ordnungsgemäße Herunterstufen noch nicht ausgeführt wurde. Für das
    ordnungsgemäße Herunterstufen solle man das DCPROMO auf dem DC ausführen.


    Da z.B. bei einem Hardwarecrash des DCs das DCPROMO eben nicht ausgeführt werden kann, muss an dieser Stelle der Haken
    bei der folgenden Option gesetzt werden:
    Dieser Domänencontroller ist ständig offline und kann nicht mehr mit dem Installations-Assistenten für
    die Active Directory-Domänendienste (DCPROMO) herabgestuft werden
    .


    Anschließend ist auf die Schaltfläche Löschen zu klicken.







  6. Wenn auf dem zu löschenden DC der globale Katalog (GC) aktiviert sein sollte, erscheint ein weiterer Hinweis.
    Es sollte natürlich sichergestellt werden, dass die Funktion des GC weiterhin in der Gesamtstruktur zur Verfügung steht.







  7. Falls der zu entfernende DC der Träger einer der FSMO-Rollen sein sollte, erscheint ein weiterer Hinweis mit der Frage,
    ob die Rollen auf den neuen DC übertragen werden sollen. Mit einem Klick auf OK werden die Rollen dann übertragen.







  8. Des Weiteren ist noch das DC-Objekt aus der MMC Active Directory-Standorte und -Dienste zu entfernen.
    Spätestens danach verschwinden bestehende Verbindungsobjekte bei den Replikationspartnern.



Somit wurden endgültig die Metadaten des AD bereinigt.
Leider erscheint bei dieser Vorgehensweise zum bereinigen der Metadaten am Ende kein Hinweis, dass der Vorgang abgeschlossen wurde.


Zum Schluss sollten noch die Informationen des DCs aus dem DNS entfernt werden. Das wären die SRV-Einträge sowie der CNAME Eintrag
aus der Domänen-Forward Lookup Zone und aus der Zone „_msdcs.Root-Domäne“. Aus dem Reiter Namenserver in den Eigenschaften der
Forward Lookup Zone ist der DC ebenfalls noch zu löschen. Mit NLTEST können die Einträge einfach entfernt werden:
nltest /DSDEREGDNS:DomCon01.Domäne.TLD. Zum entfernen der DC-GUID Einträge im DNS helfen die Parameter /DOMGUID sowie /DSAGUID.



Hinweis für Windows Server 2008 DCs (und höher): Beim Bereinigen der AD-Metadaten durch den Domänen-Admin kann es unter Umständen
vorkommen, dass man die Fehlermeldung Zugriff verweigert erhält. Die Ursache in den meisten Fällen ist, dass das NTDS Settings- und/oder DC-Objekt
vor dem zufälligen Löschen geschützt ist! Entfernt man anschließend in der MMC Active Directory-Standorte und -Dienste diesen Schutz,
können anschließend die Metadaten erfolgreich bereinigt werden.


Siehe auch: Wer hat das Objekt gelöscht?



 


Das bereinigen der Metadaten nach einer erzwungenen Herabstufung oder eines defekten
Windows Server 2008 Read-Only Domänencontroller


Die Daten eines Read-Only Domänencontrollers (RODC) werden aus dem AD, auf ähnliche Weise wie ein beschreibbarer
Windows Server 2008 entfernt. Das Verfahren durch die MMC Active Directory-Benutzer und -Computer (dsa.msc) sieht folgendermaßen aus:




  1. Nach dem öffnen der MMC dsa.msc gilt es das RODC-Objekt in der OU Domain Controllers mit einem Rechtklick auszuwählen und aus dem
    Kontextmenü die Option Löschen zu wählen. In der Symbolleiste kann auch das rote „X“ zu löschen des RODC-Objekts gewählt werden.


  2. Es folgt eine Sicherheitsabfrage, ob der ausgewählte RODC gelöscht werden soll.


  3. Als nächstes hat man die Möglichkeit auszuwählen, ob die Kennwörter der Benutzer- und/oder Computerkonten die auf dem
    RODC gespeichert wurden, zurückgesetzt werden sollen. Im Fall der Computerkonten müssen nach dem zurücksetzen
    der Computerkontokennwörter die Clients erneut zur Domäne hinzugefügt werden. Zusätzlich wird die Option angeboten,
    die Konten die auf dem RODC gespeichert wurden (sei es Benutzer- oder Computerkonten) sich anzeigen oder in eine Datei exportieren zu lassen.

    Diese Optionen werden beim Entfernen eines RODCs durch NTDSUTIL nicht angeboten!
    Dem Administrator stehen diese Optionen ausschließlich beim entfernen eines RODCs über die grafische Oberfläche (dsa.msc und dssite.msc) zur Verfügung.






  4. Es folgt eine Übersicht über die im vorherigen Schritt gewählten Optionen.






  5. Ist der GC auf dem RODC aktiviert, erscheint ein weiterer Hinweis mit der Frage, ob der Löschvorgang fortgesetzt werden soll.






  6. Zum Schluss muss noch das RODC-Objekt aus dem Snap-In Active Directory-Standorte und -Dienste entfernt werden.


Anschließend muss im DNS nichts durchgeführt werden. Die Einträge in der Domänen-Forward Lookup Zone
sowie „_msdcs.Root-Domäne“ sind automatisch gelöscht.



 


Einen beschreibbaren Windows Server 2008 DC oder RODC aus
Active Directory-Standorte und -Dienste entfernen


Neben der MMC Active Directory-Benutzer und -Computer können die Daten eines beschreibbaren Windows Server 2008 DC
oder RODC auch durch die MMC Active Directory-Standorte und -Dienste entfernt werden. Die Vorgehensweise ist die gleiche
wie in der MMC ADBuC. Allerdings muss das NTDS Settings Objekt gelöscht werden und nicht etwa das DC-Objekt!

Der Versuch direkt das DC-Objekt in dssite.msc zu löschen schlägt fehl,
solange nicht zuerst das NTDS Settings Objekt unterhalb des DC-Objekts gelöscht wurde.



 


Weitere Informationen:
How to use the UserAccountControl flags to manipulate user account properties
Active Directory-Domänendienste (AD-DS)

Comments are closed, but trackbacks and pingbacks are open.