Как удалить active directory windows server 2016

Как правильно удалить контроллер домена из AD?

В ситуации, когда необходимо вывести контроллер домена из AD, а к таким относятся — физический выход из строя сервера или его изъятие, необходимо выполнить правильное удаление неактивного DC из Active Direcroty. В данной заметке представлена инструкция по корректному удалению вышедшего из строя контроллера домена из Active Directory при помощи утилиты NTDSutil.

Итак, приступим:

1. необходимо выполнить вход на работающий контролер домена (по RDP или локально — как вам будет удобнее) под учетной записью администратора домена.
2. запустить PowerShell(PS) от имени администратора (она удобнее чем CMD) и запустить утилиту ntdsutil.exe

 PS C:> ntdsutil.exe
 C:Windowssystem32ntdsutil.exe:

3. в утилите ntdsutil необходимо ввести metadata cleanup и нажмите enter (появится приглашение на очистку метаданных)

 C:Windowssystem32ntdsutil.exe: metadata cleanup
 metadata cleanup:

4. далее вводим команду connections, в результате отработки этой команды будет выведено приглашение на подключение к серверу:»server connections:«

 metadata cleanup: connections
 server connections:

5. далее необходимо подключиться к исправному контролеру домена командой: connect to server ServerName, где ServerName — имя исправного DC с которого будет производиться процедура удаления

 server connections: connect to server ServerName
 Binding to ServerName...
 Connected to ServerName using credentials of locally logged on user.

6. После успешного подключения к работоспособному DC выходим из server connections командой quit и нажимаем ввод — появляется приглашение metadata cleanup

 server connections: quit
 metadata cleanup:

7. Вводим команду: select operation target

 metadata cleanup: select operation target
 select operation target:

8. Смотрим список доменов командой: list domains, где «0» — порядковый номер домена, в котором находится неисправный DC; «DomainName» — имя вашего домена. В моем примере в лесу имеется единственны домен под номером «0»

 select operation target: list domain
 Found 1 domain(s)
 0 - DC=DomainName,DC=ru

9. Выбираем интересующий нас домен командой: select domain 0

 select operation target: select domain 0
 No current site
 Domain - DC=DomainName,DC=ru
 No current server
 No current Naming Context

10. Смотрим список сайтов выбранного домена командой: list site

 select operation target: list sites
 Found 2 site(s)
 0 - CN=Site1,CN=Sites,CN=Configuration,DC=DomainName,DC=ru
 1 - CN=Site2,CN=Sites,CN=Configuration,DC=DomainName,DC=ru

11. Действуем по аналогии с п.9 выбирая сайт, в котором состоит неисправный DC командой: select site 0 (в моем случае это Site1, если у вас неисправный DС находится в другом сайте – выберите его номер)

 select operation target: select site 0
 Site - CN=Site1,CN=Sites,CN=Configuration,DC=DomainName,DC=ru
 Domain - DC=DomainName,DC=ru
 No current server

12. Команда list servers in site – выводит список DC в выбранном нами сайте. Необходимо запомнить каким числом представлен неисправный DC и ввести эту цифру в следующей операции

 select operation target: list servers in site
 Found 2 server(s)
 0 - CN=DC01,CN=Servers,CN=Site1,CN=Sites,CN=Configuration,DC=DomainName,DC=ru
 1 - CN=DC02,CN=Servers,CN=Site1,CN=Sites,CN=Configuration,DC=DomainName,DC=ru

13. Выбираем неисправный DC командой: select server 1 (где «1» номер неисправного DC, который необходимо удалить).

 select operation target: select server 1
 Site - CN=Site1,CN=Sites,CN=Configuration,DC=DomainName,DC=ru
 Domain - DC=DomainName,DC=ru
 Server - CN=DC02,CN=Servers,CN=Site1,CN=Sites,CN=Configuration,DC=DomainName,DC=ru
 DSA object - CN=NTDS Settings,CN=DC-02,CN=Servers,CN=Site1,CN=Sites,CN=Configuration,DC=DomainName,DC=ru
 DNS host name – DC02.DomainName.ru
 Computer object - CN=DC02,OU=Domain Controllers,DC=DomainName,DC=ru
 No current Naming Context

14. Командой quit — выходим из приглашения select operation target и попадаем в metadata cleanup

 select operation target: quit
 metadata cleanup:

15. Командой remove selected server мы вызовем диалоговое сообщение, которое предупредит вас об выбранной операции удаления неисправного DC. Прочтите его и если уверены в решении удалить выбранный DC – нажмите «YES»

 metadata cleanup: Remove selected server

16. Командой quit выйдите из утилиты ntdsutil

 metadata cleanup: quit
 C:Windowssystem32ntdsutil.exe: quit
 PS C:>

17. Откройте оснастку Active Directory Users and Computers и убедитесь в отсутствии объекта неисправного контроллера домена (того, что мы только что удалили) в OU Domain Controllers
18. Откройте оснастку Active Directory Sites and Services выберите сайт, из которого мы удаляли неисправный DC, раскройте контейнер Servers и ПКМ удалите объект неисправного DC.
19. Откройте оснастку DNS и удалите всю оставшуюся информацию об уделенном нами неисправном DC во всех зонах и вложенных в них контейнерах, где найдете.
На этом процедура ручного удаления неисправного DC средствами утилиты NTDSUTIL завершена. Всем удачи и будьте аккуратнее 🙂

P.S.: Советую посмотреть прекрасный пример демонстрирующий подобную ситуацию.

Удаление из домена active directory контроллера, который находиться в офлайне происходит в несколько простых и коротких этапов.

NTDSUTIL

• На исправном контролере домена из под администратора запускаем командную строку и вводим ntdsutil . Мы «вошли» в утилиту и должны увидеть приглашение «ntdsutil:» для ввода команд.
• Вводим команду metadata cleanup
• Нам необходимо уточнить что именно нужно удалить. Вводим connections — мы вошли в меню для подключения к серверу. 
  • Вводим connect to server имя_сервера , где имя_сервера — имя исправного сервера с контроллером домена.
  • Вводим команду quit — для возврата в меню Metadata Cleanup.
• Вводим команду select operation target
  • Вводим команду list domains — появиться список доменов. У меня он один.
  • Вводим команду select domain номер — указываем из какого домена мы хотим удалить сервер, где «номер» — номер домена из предыдущего списка.
  • Вводим команду list sites — отобразится список узлов с номерами.
  • Вводим команду select site номер, где номер — номер узла в котором находиться удаляемый сервер.
  • Вводим команду list servers in site — выводим список серверов с номерами в указанном узле
  • Вводим команду select server номер, где номер — номер сервера который мы хотим удалить.
  • Вводим команду quit — выходим в меню metadata cleanup утилиты ntdsutil
• Вводим команду remove selected server — удаляем контроллер домена. Появиться окно с предупреждением, подтверждаем кнопкой «yes».
• Вводим quit — выходим из меню metadata cleanup утилиты ntdsutil
• Вводим quit — выходим из утилиты  ntdsutil

Эта процедура выглядит приблизительно вот так:

Удаление из оснасток:

• Открываем оснастку «Active Directory Sites and Services», разворачиваем сайт (узел) в котором находиться удаляемый контроллер домена, убеждаемся что он не содержит никаких объектов и удаляем его.
• Открываем оснастку  «Active Directory Users and Computers», разворачиваем контейнер «Domain Controllers» и убеждаемся что там нет удаляемого контроллера домена. Если есть — удаляем.
• Открываем оснастку «DNS Manager».
  • Находим зону DNS в которой удаляемый контроллер домена был DNS-сервером.
  • Кликаем правой кнопки мышки по зоне и выбираем Properties
  • Переходим на вкладку Name Servers и удаляем не нужный контроллер домена.
  • Жмем OК, для того чтобы удалить все оставшиеся DNS записи: HOST (A) или Pointer (PTR) и убеждаемся что в зоне не осталось никаких DNS записей связанных с удаляемым контроллером домена.

Предварительные требования к развертыванию контроллера домена только для чтения указаны ниже.

• Контроллер домена только для чтения должен перенаправлять запросы проверки подлинности доступному для записи контроллеру домена с ОС Windows Server 2008. На этом контроллере домена должна быть задана политика репликации паролей, определяющая необходимость репликации учетных данных в филиале для перенаправленных запросов от контроллера домена только для чтения.
• Домен должен работать в режиме Windows Server 2003 или более высоком, чтобы можно было использовать ограниченное делегирование Kerberos. Ограниченное делегирование используется для обработки вызовов безопасности, которые должны олицетворяться в контексте вызывающей стороны.
• Лес должен работать в режиме Windows Server 2003 или более высоком, чтобы можно было использовать репликацию связанного значения. Это обеспечивает более высокую согласованность репликации.
• В лесу необходимо однократно выполнить команду adprep /rodcprep для обновления разрешений во всех разделах каталога приложений DNS в лесу. Это позволяет всем контроллерам домена только для чтения, которые также являются DNS-серверами, успешно реплицировать разрешения.

Передача ролей fsmo через оснастки самый быстрый и наглядный метод.

Передача PDC, Диспетчер пула RID, Хозяин инфраструктуры.

Открываем оснастку Active Directory Пользователи и компьютеры, это можно сделать через пуск набрав dsa.msc.

Как передать fsmo роли другому контроллеру домена Active Directory — 1 часть-02

Видим 3 DC контроллера, у dc3 стоит windows Server 2012 R2

Как передать fsmo роли другому контроллеру домена Active Directory — 1 часть-03

Щелкаем правым кликом на уровне домена и выбираем Хозяева операций

Как передать fsmo роли другому контроллеру домена Active Directory — 1 часть-04

Видим, что реально PDC, Диспетчер пула RID, Хозяин инфраструктуры держит DC01

Как передать fsmo роли другому контроллеру домена Active Directory — 1 часть-05

Как передать fsmo роли другому контроллеру домена Active Directory — 1 часть-06

Как передать fsmo роли другому контроллеру домена Active Directory — 1 часть-07

Если вы нажмете кнопку изменить, то выскочит ошибка:

Данный контроллер домена является хозяином операций. Чтобы передать роль хозяина операций другому компьютеру, необходимо сначала подключиться к нему.

Как передать fsmo роли другому контроллеру домена Active Directory — 1 часть-08

Из этого следует что для захвата нужно выбрать контроллер куда мы будем передавать роли, у меня это dc3.

Переходим на dc3 и открываем тоже ADUC

Как передать fsmo роли другому контроллеру домена Active Directory — 1 часть-09

Выбираем хозяева операций

Как передать fsmo роли другому контроллеру домена Active Directory — 1 часть-10

Видим текущий хозяин RID это dco1 и кому передаем это dc3, жмем изменить.

Как передать fsmo роли другому контроллеру домена Active Directory — 1 часть-11

Подтверждаем

Как передать fsmo роли другому контроллеру домена Active Directory — 1 часть-12

Роль успешна передана

Как передать fsmo роли другому контроллеру домена Active Directory — 1 часть-13

Видим, что теперь хозяин RID dc3.msk.pyatilistnik.org

Как передать fsmo роли другому контроллеру домена Active Directory — 1 часть-14

Тоже самое проделаем с PDC мастером

Как передать fsmo роли другому контроллеру домена Active Directory — 1 часть-15

Как передать fsmo роли другому контроллеру домена Active Directory — 1 часть-16

и с Инфраструктурой

Как передать fsmo роли другому контроллеру домена Active Directory — 1 часть-17

Как передать fsmo роли другому контроллеру домена Active Directory — 1 часть-18

Посмотрим кто хозяин ролей, делается это с помощью команды в командной строке:

netdom query fsmo

и видим три роли fsmo принадлежат dc3

Как передать fsmo роли другому контроллеру домена Active Directory — 1 часть-19

Передача Schema master (мастера схемы)

Открываем оснастку Active Directory Схема, как ее добавить Active Directory Схема читаем тут.

правым кликом по корню и выбираем Хозяин операций

Как передать fsmo роли другому контроллеру домена Active Directory — 1 часть-20

Мы подключимся к dc01. Нажимаем сменить

Как передать fsmo роли другому контроллеру домена Active Directory — 1 часть-21

и получаем предупреждение: Текущий контроллер домена Active Directory является хозяином операций. Чтобы передать роль хозяина операций другому DC, нужно нацелить на этот DC схему AD,

Как передать fsmo роли другому контроллеру домена Active Directory — 1 часть-22

Закрываем его. Щелкаем правым кликом опять по корню и выбираем Сменить контроллер домена Active Directory.

Как передать fsmo роли другому контроллеру домена Active Directory — 1 часть-23

Вылезет окно с сообщением Оснастка схемы AD не подключена к хозяину операций схемы. Выполнение изменений невозможно. Изменения схемы могут быть сделаны только в схеме владельца FSMO.

Как передать fsmo роли другому контроллеру домена Active Directory — 1 часть-24

Снова выбираем хозяина схемы и видим, что теперь сменить дает.

Как передать fsmo роли другому контроллеру домена Active Directory — 1 часть-25

Да.

Как передать fsmo роли другому контроллеру домена Active Directory — 1 часть-26

передана успешно.

Как передать fsmo роли другому контроллеру домена Active Directory — 1 часть-27

Посмотрим кто хозяин ролей, делается это с помощью команды в командной строке:

netdom query fsmo

и видим уже 4 роли у dc3

Как передать fsmo роли другому контроллеру домена Active Directory — 1 часть-28

Очистка метаданных сервера с помощью Active Directory пользователей и компьютеровClean up server metadata using Active Directory Users and Computers

1. Откройте оснастку Пользователи и компьютеры Active Directory.Open Active Directory Users and Computers.
2. Если вы определили партнеров репликации при подготовке к этой процедуре и не подключены к партнеру репликации удаленного контроллера домена, чьи метаданные будут удалены, щелкните правой кнопкой мыши узел Active Directory пользователи и компьютеры . , а затем выберите пункт изменить контроллер домена.If you have identified replication partners in preparation for this procedure and if you are not connected to a replication partner of the removed domain controller whose metadata you are cleaning up, right-click Active Directory Users and Computers node, and then click Change Domain Controller. Щелкните имя контроллера домена, из которого необходимо удалить метаданные, а затем нажмите кнопку ОК.Click the name of the domain controller from which you want to remove the metadata, and then click OK.
3. Разверните домен контроллера домена, который был принудительно удален, и выберите пункт контроллеры домена.Expand the domain of the domain controller that was forcibly removed, and then click Domain Controllers.
4. В области сведений щелкните правой кнопкой мыши объект компьютера контроллера домена, метаданные которого необходимо очистить, и выберите команду Удалить.In the details pane, right-click the computer object of the domain controller whose metadata you want to clean up, and then click Delete.
5. В диалоговом окне домен Active Directory службы убедитесь, что отображается имя контроллера домена, который вы хотите удалить, и нажмите кнопку Да , чтобы подтвердить удаление объекта компьютера.In the Active Directory Domain Services dialog box, confirm the name of the domain controller you wish to delete is shown, and click Yes to confirm the computer object deletion.
6. В диалоговом окне Удаление контроллера домена выберите этот контроллер домена постоянно в автономном режиме, и его нельзя будет понизить с помощью мастер установки доменных служб Active Directory (Dcpromo) , а затем нажать кнопку Удалить.In the Deleting Domain Controller dialog box, select This Domain Controller is permanently offline and can no longer be demoted using the Active Directory Domain Services Installation Wizard (DCPROMO), and then click Delete.
7. Если контроллер домена является сервером глобального каталога, в диалоговом окне Удаление контроллера домена нажмите кнопку Да , чтобы продолжить удаление.If the domain controller is a global catalog server, in the Delete Domain Controller dialog box, click Yes to continue with the deletion.
8. Если контроллер домена в настоящее время содержит одну или несколько ролей хозяина операций, нажмите кнопку ОК , чтобы переместить роль или роли на отображаемый контроллер домена.If the domain controller currently holds one or more operations master roles, click OK to move the role or roles to the domain controller that is shown. Этот контроллер домена нельзя изменить.You cannot change this domain controller. Если вы хотите переместить роль на другой контроллер домена, необходимо переместить роль после завершения процедуры очистки метаданных сервера.If you want to move the role to a different domain controller, you must move the role after you complete the server metadata cleanup procedure.

Очистка метаданных сервера с помощью командной строкиClean up server metadata using the command line

В качестве альтернативы можно очищать метаданные с помощью программы Ntdsutil. exe, программы командной строки, устанавливаемой автоматически на всех контроллерах домена и серверах, на которых установлены службы Active Directory облегченного доступа к каталогам (AD LDS).As an alternative, you can clean up metadata by using Ntdsutil.exe, a command-line tool that is installed automatically on all domain controllers and servers that have Active Directory Lightweight Directory Services (AD LDS) installed. Ntdsutil. exe также доступен на компьютерах с установленным RSAT.Ntdsutil.exe is also available on computers that have RSAT installed.

Удаление и переназначение исходного сервераRemove and repurpose the Source Server

Выключите исходный сервер и отключите его от сети.Turn off the Source Server and disconnect it from the network. Рекомендуется хотя бы одну неделю не выполнять переформатирование исходного сервера, чтобы убедиться, что все необходимые данные перенесены на конечный сервер.We recommend that you do not reformat the Source Server for at least one week to ensure that all the necessary data migrated to the Destination Server. После подтверждения переноса всех данных можно переустановить этот сервер в сети в качестве дополнительного сервера для других задач.After you have verified that all the data has migrated, you can reinstall this server on the network as a secondary server for other tasks, if required.

Примечание

Перезапустите конечный сервер после понижения уровня и удаления исходного сервера.After you demote and remove the Source Server, restart the Destination Server.

После понижения уровня исходного сервера он находится в неработоспособном состоянии.After you demote the Source Server, it is not in a healthy state. Если требуется перепрофилировать исходный сервер, проще всего отформатировать его, установить серверную операционную систему и затем настроить для использования в качестве дополнительного сервера.If you want to repurpose the Source Server, the simplest way is to reformat it, install a server operating system, and then set it up for use as an additional server.

Под удалением контроллера домена фактически понимается понижение его до роли обычного сервера. Порой бывает необходимо удалить один или несколько контроллеров из домена или переместить их в другой домен. Нельзя просто вывести контроллер из состава домена, поскольку информация о нем останется в каталоге

Соответственно, этот контроллер домена будет приниматься во внимание при формировании топологии репликации, выполнении аутентификации пользователей и т. п

Перед выполнением операции понижения контроллера домена необходимо убедиться в том, что контроллер не является сервером глобального каталога или исполнителем специализированных ролей. В последнем случае перед понижением контроллера домена администратор должен передать эти роли другим контроллерам. Необходимо, чтобы после понижения контроллера в домене оставался хотя бы один сервер глобального каталога.

Понижение контроллера, являющегося последним в домене, приводит к удалению домена. Операция удаления домена не может быть осуществлена (соответственно, будет прервана операция понижения последнего контроллера домена), если домен имеет дочерние домены. Запрещается также понижать контроллеры домена, являющиеся последними носителями реплик разделов приложений. Перед выполнением операции понижения администратор должен вручную удалить разделы приложений с помощью утилиты Ntdsutil.exe.

Для выполнения операции понижения необходимо, чтобы контроллер домена был работоспособным. Также должны быть доступны другие контроллеры домена. Это позволит выполнить изменения в каталоге, информирующие об удалении контроллера домена. Операция понижения контроллера домена выполняется мастером установки Active Directory (утилита Dcpromo).

В процессе понижения роли компьютера мастер установки проверит копию каталога понижаемого контроллера домена на предмет наличия реплик разделов приложений. Если будут обнаружены реплики, являющиеся последними, мастер выдаст соответствующее предупреждение (рис. 19.7). В этом случае мастер в следующем окне потребует подтвердить готовность администратора удалить эту реплику.

Рис. 19.7. На понижаемом контроллере домена обнаружены последние реплики разделов приложений

Удаление последней реплики раздела приложения приводит к потере всех хранящихся в ней данных. Как следствие это может привести к отказу или неверной работе приложений.

На заключительном этапе администратор должен будет предоставить информацию о пароле, который будет сопоставлен учетной записи локального администратора. Эта учетная запись будет создана мастером по окончании процедуры удаления компонентов службы каталога.

Удаление объектов CA из Active Directory

При установке центра сертификации в структуре Active Directory создается ряд служебных объектов CA, которые не удаляются при удалении роли ADCS. Удаляется только объект pKIEnrollmentService, благодаря чему клиенты не пытаются запрашивать новые сертификат у выведенного из эксплуатации CA.

Выведем список доступных центров сертификации (он пуст):

certutil

Откроем консоль Active Directory Site and Services и включим отображение сервисных веток, выбрав в верхнем меню пункт View ->Show Services Node.

Затем последовательно удалим следующие объекты AD:

1. Центр сертификации в разделе Services -> Public Key Services -> AIA.
2. Контейнер с именем сервера CA в разделе Services -> Public Key Services -> CDP.
3. CA  в разделе Services > Public Key Services > Certification Authorities.
4. Проверьте, что в разделе Services -> Public Key Services -> Enrollment Services отсутствует объект pKIEnrollmentService (он должен удалиться во время процесса деинсталляции CA). Если он присутствует, удалите его вручную.
5. Удалите шаблоны сертификатов, расположенные в разделе Services -> Public Key Services > Certificate Templates (выбелить все шаблоны CTRL+A).

1. Чтобы открыть оснастку «Active Directory — пользователи и компьютеры», нажмите кнопку Пуск, выберите Панель управления, дважды щелкните Администрирование, а затем дважды щелкните Active Directory — пользователи и компьютеры.

2. В дереве консоли щелкните пункт Компьютеры.

   Местонахождение

   Active Directory — пользователи и компьютерыdomain nodeКомпьютеры

   Или щелкните папку, которая содержит нужный компьютер.

3. В области сведений щелкните правой кнопкой мыши компьютер, а затем выберите команду Удалить.

Дополнительная информация

• Для выполнения этой процедуры необходимо быть членом группы «Операторы учета», «Администраторы домена» или «Администраторы предприятия» в доменных службах Active Directory либо должны быть делегированы соответствующие полномочия. По соображениям безопасности для выполнения этой процедуры рекомендуется использовать команду Запуск от имени.
• Чтобы открыть оснастку «Active Directory — пользователи и компьютеры» другим способом, нажмите кнопку Пуск, выберите пункт Выполнить, а затем введите dsa.msc.
• Учетную запись компьютера также можно удалить, исключив компьютер из домена.
• Если удалить учетную запись компьютера, все связанные с ней разрешения и членства удаляются без возможности восстановления. Поскольку каждая учетная запись имеет уникальный идентификатор безопасности (SID), при создании новой учетной записи компьютера с таким же именем, как и у ранее удаленной учетной записи, новая запись не наследует те же разрешения и членства. Чтобы дублировать удаленную учетную запись компьютера, необходимо вручную заново создать все разрешения и членства.
• Задачу этой процедуры можно также выполнить, используя Модуль Active Directory для Windows PowerShell. Чтобы открыть Модуль Active Directory, нажмите кнопку Пуск и последовательно выберите пункты Администрирование и Модуль Active Directory для Windows PowerShell. Дополнительные сведения см. в статье «Удаление учетной записи компьютера» (страница может быть на английском языке) (https://go.microsoft.com/fwlink/?LinkId=138386). Дополнительные сведения о Windows PowerShell см. в статье о Windows PowerShell (страница может быть на английском языке) (https://go.microsoft.com/fwlink/?LinkId=102372).

1. Чтобы открыть командную строку, нажмите кнопку Пуск, выберите пункт Выполнить, введите cmd, а затем нажмите кнопку ОК.

2. Введите указанную ниже команду и нажмите клавишу ВВОД.

   dsrm computer 

Для просмотра полного синтаксиса данной команды и сведений о вводе в командную строку информации учетной записи пользователя введите следующую команду, а затем нажмите клавишу ВВОД.

dsrm computer /? 

Дополнительная информация

• Для выполнения этой процедуры необходимо быть членом группы «Операторы учета», «Администраторы домена» или «Администраторы предприятия» в доменных службах Active Directory либо должны быть делегированы соответствующие полномочия. По соображениям безопасности для выполнения этой процедуры рекомендуется использовать команду Запуск от имени.
• Учетную запись компьютера также можно удалить, исключив компьютер из домена.
• Если удалить учетную запись компьютера, все связанные с ней разрешения и членства удаляются без возможности восстановления. Поскольку каждая учетная запись имеет уникальный SID, при создании новой учетной записи компьютера с таким же именем, как и у ранее удаленной учетной записи, новая запись не наследует те же разрешения и членства. Чтобы дублировать удаленную учетную запись компьютера, необходимо вручную заново создать все разрешения и членства.
• Задачу этой процедуры можно также выполнить, используя Модуль Active Directory для Windows PowerShell. Чтобы открыть Модуль Active Directory, нажмите кнопку Пуск и последовательно выберите пункты Администрирование и Модуль Active Directory для Windows PowerShell. Дополнительные сведения см. в статье «Удаление учетной записи компьютера» (страница может быть на английском языке) (https://go.microsoft.com/fwlink/?LinkId=138386). Дополнительные сведения о Windows PowerShell см. в статье о Windows PowerShell (страница может быть на английском языке) (https://go.microsoft.com/fwlink/?LinkId=102372).

Очистка метаданных сервера с помощью программы NtdsutilTo clean up server metadata by using Ntdsutil

1. Откройте командную строку от имени администратора: В меню Пуск щелкните правой кнопкой мыши пункт Командная строкаи выберите команду Запуск от имени администратора.Open a command prompt as an administrator: On the Start menu, right-click Command Prompt, and then click Run as administrator. Если откроется диалоговое окно контроль учетных записей пользователей , укажите учетные данные администратора предприятия, если это необходимо, а затем нажмите кнопку продолжить.If the User Account Control dialog box appears, provide credentials of an Enterprise Administrator if required, and then click Continue.

2. В командной строке введите следующую команду и нажмите клавишу ВВОД:At the command prompt, type the following command, and then press ENTER:

3. В командной строке введите следующую ниже команду, а затем нажмите клавишу ВВОД.At the prompt, type the following command, and then press ENTER:

4. В командной строке введите следующую ниже команду, а затем нажмите клавишу ВВОД.At the prompt, type the following command, and then press ENTER:

5. В диалоговом окне Конфигурация удаления серверапросмотрите сведения и предупреждение, а затем нажмите кнопку Да , чтобы удалить объект сервера и метаданные.In Server Remove Configuration Dialog, review the information and warning, and then click Yes to remove the server object and metadata.

   На этом этапе программа Ntdsutil подтверждает, что контроллер домена был успешно удален.At this point, Ntdsutil confirms that the domain controller was removed successfully. Если появится сообщение об ошибке, указывающее, что объект не найден, возможно, контроллер домена был удален ранее.If you receive an error message that indicates that the object cannot be found, the domain controller might have been removed earlier.

6. В приглашении введитеи нажмите клавишу ВВОД. At the and prompts, type , and then press ENTER.

7. Чтобы подтвердить удаление контроллера домена, выполните следующие действия.To confirm removal of the domain controller:

   Откройте Active Directory пользователи и компьютеры.Open Active Directory Users and Computers. В домене удаленного контроллера домена щелкните контроллеры домена.In the domain of the removed domain controller, click Domain Controllers. В области сведений не должен отображаться объект для удаляемого контроллера домена.In the details pane, an object for the domain controller that you removed should not appear.

   Откройте Active Directory сайты и службы.Open Active Directory Sites and Services. Перейдите к контейнеру серверы и убедитесь, что объект сервера для контроллера домена, который вы удалили, не содержит объект параметров NTDS.Navigate to the Servers container and confirm that the server object for the domain controller that you removed does not contain an NTDS Settings object. Если под объектом сервера не отображаются дочерние объекты, можно удалить объект сервера.If no child objects appear below the server object, you can delete the server object. Если отображается дочерний объект, не удаляйте серверный объект, так как этот объект используется другим приложением.If a child object appears, do not delete the server object because another application is using the object.

Схема сети с неработающим контроллером в AD

У меня есть инфраструктура Active Directory, есть домен msk.pyatilistnik.org и три контроллера: dc6, dc7, dc10. Последний как раз вышел из строя и находится вообще в другом сайте и его необходимо удалить, давайте я покажу как это правильно делать, так как просто нет возможности воспользоваться стандартной утилитой dcpromo,

dc10 будет удален, но перед этим, нам нужно удостовериться, что все FSMO роли у нас будут доступны на работающих контроллерах домена. Узнать держателя FSMO ролей можно командой:

netdom query fsmo

Как видите в моем случае первые две роли схемы и именования доменов, находятся на корневом контроллере домена в другом домене, а вот нужные мне три роли, располагаются на неисправном DC, до которого я не могу достучаться, в таком случае нам необходимо будет захватить с него все роли и передать их работающим контроллерам домена, после чего удалить о нем всю информацию в Active Directory.

Теперь, когда все роли захвачены или переданы, то можно производить удаление всех старых данных.

Если у вас уровень леса и домена Windows Server 2008 R2 и выше, то самый простой способ это удалить, объект компьютера из контейнера Domain Controllers, все старые метаданные будут удалены автоматически и вам не придется делать описанные ниже манипуляции. Но я хочу вам показать ручной способ, чтобы вы более глубоко понимали, что именно происходит и откуда удаляются данные о недоступном контроллере домена

Очистка метаданных сервера с помощью Active Directory сайтов и службClean up server metadata using Active Directory Sites and Services

1. Откройте компонент «Active Directory — сайты и службы».Open Active Directory Sites and Services.
2. Если вы определили партнеров репликации в процессе подготовки к этой процедуре и если вы не подключены к партнеру репликации удаленного контроллера домена, чьи метаданные удаляются, щелкните правой кнопкой мыши Active Directory сайты и службы, а затем затем щелкните изменить контроллер домена.If you have identified replication partners in preparation for this procedure and if you are not connected to a replication partner of the removed domain controller whose metadata you are cleaning up, right-click Active Directory Sites and Services, and then click Change Domain Controller. Щелкните имя контроллера домена, из которого необходимо удалить метаданные, а затем нажмите кнопку ОК.Click the name of the domain controller from which you want to remove the metadata, and then click OK.
3. Разверните узел контроллера домена, который был принудительно удален, разверните узел серверы, разверните имя контроллера домена, щелкните правой кнопкой мыши объект Параметры NTDS и выберите команду Удалить.Expand the site of the domain controller that was forcibly removed, expand Servers, expand the name of the domain controller, right-click the NTDS Settings object, and then click Delete.
4. В диалоговом окне Active Directory сайты и службы нажмите кнопку Да , чтобы подтвердить удаление параметров NTDS.In the Active Directory Sites and Services dialog box, click Yes to confirm the NTDS Settings deletion.
5. В диалоговом окне Удаление контроллера домена выберите этот контроллер домена постоянно в автономном режиме, и его нельзя будет понизить с помощью мастер установки доменных служб Active Directory (Dcpromo) , а затем нажать кнопку Удалить.In the Deleting Domain Controller dialog box, select This Domain Controller is permanently offline and can no longer be demoted using the Active Directory Domain Services Installation Wizard (DCPROMO), and then click Delete.
6. Если контроллер домена является сервером глобального каталога, в диалоговом окне Удаление контроллера домена нажмите кнопку Да , чтобы продолжить удаление.If the domain controller is a global catalog server, in the Delete Domain Controller dialog box, click Yes to continue with the deletion.
7. Если контроллер домена в настоящее время содержит одну или несколько ролей хозяина операций, нажмите кнопку ОК , чтобы переместить роль или роли на отображаемый контроллер домена.If the domain controller currently holds one or more operations master roles, click OK to move the role or roles to the domain controller that is shown.
8. Щелкните правой кнопкой мыши контроллер домена, который был принудительно удален, и выберите команду Удалить.Right-click the domain controller that was forcibly removed, and then click Delete.
9. В диалоговом окне домен Active Directory службы нажмите кнопку Да , чтобы подтвердить удаление контроллера домена.In the Active Directory Domain Services dialog box, click Yes to confirm the domain controller deletion.

Установка контроллера домена Windows Server 2019 с помощью Powershell

Для начала я приведу вам пример работы скрипта PowerShell, который буквально за несколько минут установит доменные службы Active Directory, вам в нем лишь нужно будет вбить свои данные.

# Импорт модуля ServerManager Import-Module ServerManager # Установка роли AD DS со всеми зависимыми компонентами Add-WindowsFeature –Name AD-Domain-Services –IncludeAllSubFeature –IncludeManagementTools # Импорт модуля ADDSDeployment Import-Module ADDSDeployment # Установка нового леса Install-ADDSForest ` # Не включать делегирование -CreateDnsDelegation:$false ` # Путь к базе данных AD -DatabasePath «C:WindowsNTDS» ` # Режим работы домена -DomainMode «WinThreshold» ` # Задаем имя домена -DomainName «partner.pyatilistnik.info» ` # Задаем короткое NetBIOS имя -DomainNetbiosName «PARTNER» ` # Задаем режим работы леса -ForestMode «WinThreshold» ` # Указываем, что будем устанавливать DNS-сервер -InstallDns:$true ` # Задаем путь к NTDS -LogPath «C:WindowsNTDS» ` # Если требуется перезагрузка, то перезагружаемся -NoRebootOnCompletion:$false ` # Задаем путь до папки SYSVOL -SysvolPath «C:WindowsSYSVOL» ` -Force:$true

Скачать скрипт установки доменных служб Active Directory

Когда вы в скрипте подставите все свои данные, то запускаете его. У вас начнется сбор данных и установка AD DS.

Единственное, что у вас будет запрошено, так это задание пароля восстановления SafeModeAdministratorPassword, указываем его дважды, с точки зрения безопасности он должен быть отличный от пароля для доменного администратора.

Предварительная проверка.

Создание нового леса Active Directory. Далее последует перезагрузка. Не забываем поправить сетевой интерфейс и DNS на нем.

1. Обычно операцию вывода из домена (Unjoin Windows) производят в ситуациях, когда компьютер может вылетать из домена, пример он не был активен более одного месяца, был банальный ремонт, а потом его решили ввести в эксплуатацию, в таких ситуациях люди ловят ошибку «отсутствуют серверы, которые могли бы обработать запрос».
2. Просто для правильного соблюдения рекомендаций Microsoft, чтобы у вас не оставались лишние, ненужные объекты в AD, в противном случае, вам придется производить самостоятельный поиск неактивных компьютеров в Active Directory и вычищать все вручную.
3. Третья причина, это переустановка сервера, например, обновление редакции, и если до этого вы правильно не вывели компьютер из домена, то при попытке ввести в домен Windows Server вы получите ошибку, что такой компьютер уже есть.