Compartilhar via

Active Directory: Metadata Cleanup

  • Artigo

A promoção e despromoção de Domain Controllers (DC´s), é algo para área de infra normal, mas quando estas ações começam apresentar uma série de problemas e por diversos motivos falham, é o grande momento do especialista entender os caminhos que deve percorrer para resolver os problemas.

Obs: Quando isso acontece com subdomínio, árvores isso pode agravar muito mais, e ser necessário outros métodos de intervenção.

O processo de promoção e despromoção que antes era via comando DCPROMO, hoje é realizado via Server Manager, até de certa forma simples, e sua limpeza é automática no AD (base de dados e binários).

Mas quando um servidor de controlador de domínio está crashed e ainda existe em uma configuração de diretório ativo (chaves no banco de dados do AD - ntds.dit), ele pode causar problemas, desta forma é crucial para a saúde de todo o ambiente sua despromoção via metadata (limpeza mais profunda), que requer maiores cuidados de quem está executando.

Quando você tenta remover um controlador de domínio do domínio do Active Directory usando Dcpromo.exe e falha, ou quando você começou a promover um servidor membro para ser um controlador de domínio e falhou, você ficará com restos do objeto DC’s no Active Directory. Como falado mais acima, uma parte de um processo de rebaixamento bem-sucedido, o assistente Dcpromo remove os dados de configuração do controlador de domínio do Active Directory, mas e agora? uma tentativa que está com problema. Acredite irá ficar uma série de objetos e lixos no lugar.

Ponto de Atenção: Os efeitos de deixar tais restos dentro do Active Directory podem variar, mas uma coisa é certa: sempre que você tentar reinstalar o servidor com o mesmo nome de computador e tentar promovê-lo para se tornar um Controlador de Domínio, você falhará porque o processo Dcpromo ainda encontrará o objeto antigo e, portanto, se recusará a recriar os objetos para o novo servidor antigo.

No caso de o objeto Configurações NTDS não ser removido corretamente, você deverá usar o utilitário Ntdsutil.exe para remover manualmente o objeto Configurações NTDS.

Se você atribuir um novo nome ao novo controlador de domínio, será necessário executar todos os quatros procedimentos abaixo:

  • Limpar metadados;
  • Remover o objeto de servidor com falha do site;
  • Remover o objeto de computador do contêiner de controladores de domínio;
  • Limpar no Dns;

Ferramentas necessárias:

Você precisará da seguinte ferramenta: Ntdsutil.exe, Serviços e Sites do Active Directory, Usuários e Computadores do Active Directory + Dns.

Este guia foi escrito para ajudá-lo a limpar sua configuração de forma completa.

Procedimento de Remoção de DC´s em um Domínio:

Para efetuar a limpeza dos metadados, utiliza-se a ferramenta “NTDSUTIL”, esta ferramenta ao ser executada com sucesso, realiza as seguintes remoções:

  1. Remove Configuração do NTDS ou NTDSA;
  2. Remove objetos de conexões de entrada do AD que existiam no Domain Controllers de destino, usados para replicar do DC de origem que foi deletado;
  3. Remove a conta de computador;
  4. Remove o objeto membro FRS;
  5. Remove objetos de assinante FRS;
  6. Tenta executar as funções FSMO (flexible single master operations) no controlador de domínio que estejam sendo removidas;
  7. Para remover as entradas órfãs, siga o seguinte procedimento:
  8. Inicie o prompt de comando (CMD.EXE);
  9. Digite ntdsutil e pressione ENTER;
  10. Digite metadata cleanup e pressione ENTER;

Digite connections e pressione ENTER (Este menu é usado para se conectar ao servidor específico no qual ocorrerem as mudanças. Se o usuário conectado no momento não tiver permissões administrativas, podem ser fornecidas credenciais diferentes especificando quais deverão ser usadas antes de fazer a conexão. Para fazer isso, digite define NomedoDomínioNomedoUsuárioSenha e pressione ENTER. Para uma senha em branco, digite null no parâmetro de senha);

Digite connect to server nomedoservidor e pressione ENTER.  A confirmação de que a conexão foi estabelecida com êxito será exibida. Se ocorrer um erro, verifique se o controlador de domínio usado na conexão está disponível e se as credenciais fornecidas têm permissões administrativas no servidor;

Digite quit e pressione ENTER. O menu metadata cleanup irá aparecer;

Digite select operation target e pressione ENTER;

Digite list domains e pressione ENTER. É exibida uma lista de domínios na floresta, cada uma com um número associado;

Digite select domain número e pressione ENTER. E Número é o número associado ao domínio do qual o servidor membro está sendo removido. O domínio selecionado será usado para determinar se o servidor que está sendo removido é o último controlador de domínio desse domínio;

Digite list sites e pressione ENTER. Uma lista de sites, cada um associado a um número, é exibida;

Digite select site número e pressione ENTER. Número é o número associado ao site do qual o servidor membro está sendo removido. Uma confirmação listando o site e o domínio escolhidos será exibida;

Digite list servers in site e pressione ENTER. É exibida uma lista de servidores no site, cada qual com um número associado;

Digite select server número e pressione ENTER. Número é o número associado ao servidor que deseja remover. Uma confirmação listando o servidor selecionado, o nome do seu host DNS e o local da conta de computador do servidor que deseja remover é exibida;

Digite quit e pressione ENTER. O menu metadata cleanup irá aparecer;

Digite remove selected server e pressione ENTER. A confirmação de que a remoção foi concluída com êxito é exibida;

Digite quit e pressione ENTER;

Remova o registro cname e A no domínio raíz _msdcs.da zona da floresta no DNS;

Caso necessário use o Serviços e sites do Active Directory para remover o controlador de domínio. Para fazer isto, execute as seguintes etapas:

  1. Inicie o Serviços e sites do Active Directory;
  2. Expanda Sites;
  3. Expanda o site do servidor. O site padrão é Primeiro-Nome-Site-Padrão;
  4. Expanda Server;
  5. Clique com o botão direito do mouse no controlador de domínio e clique em Excluir.

Procedimento de Remoção de DC´s em Sub-Domínio, Árvores:

Click Start, click Run, type ntdsutil, and then press ENTER.

At the Ntdsutil command prompt, type partition management, and then press ENTER.

Type connections, and then press ENTER.

Type connect to server Domain_Controller_Name, and then press ENTER.

After the following message appears, type quit, and then press ENTER:

Connected to Domain_Controller_Name using credentials of locally logged on user

At the domain management prompt, type list, and then press ENTER.

Note the following entry:

DC=DomainDnsZones,DC=Child_Domain, DC=extension

For example, if the child domain is Contoso.com, note the following entry:

DC=DomainDnsZones,DC=contoso,DC=com

Type the following command, and then press ENTER.

delete nc dc=domaindnszones,dc=Child_Domain,dc=extension

Note In this command, Child_Domain represents the name of the child domain that you want to remove. For example, if the child domain is Contoso.com, type the following command, and then press ENTER:

delete nc dc=domaindnszones,dc=contoso,dc=com

Quit Ntdsutil.

metadata cleanup

metadata cleanup: connections

server connections: connect to server nome_del_server_naming_master

quit

Outra forma2:

Ntdsutil

  1. metadata cleanup: select operation target
  2. select operation target: list domains
  3. select operation target: select domain numero_delchild_domain_da_eliminare
  4. select operation target: list naming contexts
  5. select operation target: select naming context numero_del_naming_context_da_eminare
  6. quit
  7. metadata cleanup: remove selected naming context