Blog Agility

Limpando metadata do Active Directory após falha na despromoção

Limpando metadata do Active Directory após falha na despromoção

Este documento descreve como remover completamente um controlador de domínio após uma despromoção sem sucesso, usando a console “dcpromo.exe”.

Para efetuar a limpeza dos metadados, utiliza-se a ferramenta “NTDSUTIL”, esta ferramenta ao ser executada com sucesso, realiza as seguintes remoções:


  • Remove o assunto Configuração do NTDS ou NTDSA;
  • Remove objetos de conexões de entrada do AD que existiam no Domain Controllers de destino, usados para replicar do DC de origem que foi deletado;
  • Remove a conta de computador;
  • Remove o objeto membro FRS;
  • Remove objetos de assinante FRS;
  • Tenta executar as funções FSMO (flexible single master operations) no controlador de domínio que estejam sendo removidas;

Para remover as entradas órfãs, siga o seguinte procedimento:

  1. Inicie o prompt de comando (CMD.EXE);
  2. Digite ntdsutil e pressione ENTER;
  3. Digite metadata cleanup e pressione ENTER;
  4. Digite connections e pressione ENTER (Este menu é usado para se conectar ao servidor específico no qual ocorrerem as mudanças. Se o usuário conectado no momento não tiver permissões administrativas, podem ser fornecidas credenciais diferentes especificando quais deverão ser usadas antes de fazer a conexão. Para fazer isso, digite define creds NomedoDomínioNomedoUsuárioSenha e pressione ENTER. Para uma senha em branco, digite null no parâmetro de senha);
  5. Digite connect to server nomedoservidor e pressione ENTER.  A confirmação de que a conexão foi estabelecida com êxito será exibida. Se ocorrer um erro, verifique se o controlador de domínio usado na conexão está disponível e se as credenciais fornecidas têm permissões administrativas no servidor;
  6. Digite quit e pressione ENTER. O menu metadata cleanup irá aparecer;
  7. Digite select operation target e pressione ENTER;
  8. Digite list domains e pressione ENTER. É exibida uma lista de domínios na floresta, cada uma com um número associado;
  9. Digite select domain número e pressione ENTER. eNúmero é o número associado ao domínio do qual o servidor membro está sendo removido. O domínio selecionado será usado para determinar se o servidor que está sendo removido é o último controlador de domínio desse domínio;
  10. Digite list sites e pressione ENTER. Uma lista de sites, cada um associado a um número, é exibida;
  11. Digite select site número e pressione ENTER. Número é o número associado ao site do qual o servidor membro está sendo removido. Uma confirmação listando o site e o domínio escolhidos será exibida;
  12. Digite list servers in site e pressione ENTER. É exibida uma lista de servidores no site, cada qual com um número associado;
  13. Digite select server número e pressione ENTER. Número é o número associado ao servidor que deseja remover. Uma confirmação listando o servidor selecionado, o nome do seu host DNS e o local da conta de computador do servidor que deseja remover é exibida;
  14. Digite quit e pressione ENTER. O menu metadata cleanup irá aparecer;
  15. Digite remove selected server e pressione ENTER. A confirmação de que a remoção foi concluída com êxito é exibida;
  16. Digite quit e pressione ENTER;
  17. Remova o registro cname e A no domínio raíz _msdcs.da zona da floresta no DNS;
  18. Caso necessário use o Serviços e sites do Active Directory para remover o controlador de domínio. Para fazer isto, execute as seguintes etapas:
    1. Inicie o Serviços e sites do Active Directory;
    2. Expanda Sites;
    3. Expanda o site do servidor. O site padrão é Primeiro-Nome-Site-Padrão;
    4. Expanda Server;
    5. Clique com o botão direito do mouse no controlador de domínio e clique em Excluir.

 

Pronto! Não existe referência do Domain Controller despromovido no MetaData e DNS.