ADMIN 03/14 stellt Erste-Hilfe-Tipps zu Windows-Rettung, Backup und Recovery bei Datenbanken vor und verrät wie man Linux-Systeme vollständig sichert und ... (mehr)

Bereinigung von Active Directory

Wird ein Domänencontroller aus Active Directory entfernt, sollten Sie einige Vorbereitungen treffen, damit die Anwender durch seinen Ausfall nicht betroffen sind. Stellen Sie sicher, dass der Domänencontroller nicht als bevorzugter oder alternativer DNS-Server von einem anderen Rechner der Domäne verwendet wird (auch nicht als DNS-Weiterleitungsserver).

Entfernen Sie – falls möglich – vor der Herabstufung den DNS-Dienst von diesem Domänencontroller. Haben Sie DNS entfernt, überprüfen Sie auf einem anderen DNS-Server in den Eigenschaften der DNS-Zone, dass der Server auf der Registerkarte »Namenserver« nicht mehr aufgeführt wird. Entfernen Sie aber nicht den Hosteintrag des Servers, da er für die Herabstufung noch benötigt wird.

Stellen Sie sicher, dass der Domänencontroller nicht an irgendeiner Stelle als Domänencontroller explizit eingetragen ist, zum Beispiel auf einem Linux-Server oder einem Exchange-Server. Entfernen Sie dann alle Active-Directory-abhängigen Dienste wie VPN, Zertifikatsstelle oder andere Programme, die nach der Herabstufung nicht mehr funktionieren werden. Verschieben Sie vor der Herabstufung zuerst alle FSMO-Rollen auf andere Server.

Wenn es sich bei diesem Server um einen globalen Katalog handelt, konfigurieren Sie einen anderen Server als globalen Katalog und entfernen Sie im Snapin »Active Directory-Standorte- und -Dienste« unter »Sites | Standort des Servers | Servername | Eigenschaften« der NTDS-Settings den Haken bei »Globaler Katalog« .

Um einen Domänencontroller herunterzustufen, verwenden Sie am besten das Powershell-Commandlet »Uninstall-ADDSDomainController« (Abbildung 6). Sie müssen mindestens noch das lokale Kennwort des Administrators über den Befehl festlegen. Dieses müssen Sie als Secure-String in der Powershell definieren. Die Syntax dazu lautet:

Abbildung 6: Domänencontroller lassen sich auch in der Powershell herunterstufen.
Uninstall-ADDSDomainController -LocalAdministratorPassword (Read-Host-Prompt Kennwort -AsSecureString)

Mit »Get-Help Uninstall-ADDSDomainController« erhalten Sie mehr Informationen zu dem Befehl.

Wenn Sie einen Domänencontroller, der die Verbindung mit dem Active Directory verloren hat, nicht neu installieren wollen, können Sie Active Directory trotz fehlender Verbindung entfernen. Verwenden Sie in diesem Fall zusätzlich die Option »-force« . Die Metadaten von Active Directory enthalten alle Einträge und Servernamen, die zu Active Directory gehören. Wenn ein Domänencontroller ausfällt oder erzwungen aus dem Active Directory entfernt wird, sollten die Metadaten nachträglich bereinigt werden.

Für diese Bereinigung benötigen Sie das Befehlszeilentool »Ntdsutil« (Abbildung 7). Um die Metadaten von Active Directory zu bereinigen, starten Sie zunächst »Ntdsutil« in der Eingabeaufforderung und geben »metadata cleanup« ein, gefolgt von »connections« . Verbinden Sie sich per »connect to server Domänencontroller« mit dem Domain Controller und geben Sie »quit« ein, um wieder zum Menü »metadata cleanup« zurückzugelangen.

Abbildung 7: Funktioniert ein Domänencontroller nicht mehr, entfernen Sie ihn aus der Domäne und installieren ihn neu. Das geht meistens schneller als eine Wiederherstellung.

Geben Sie »select operation target« und »list domains« ein, dann sehen Sie alle Domänen der Gesamtstruktur. Wählen Sie mit »select domain Nummer der Domäne« die Nummer der Domäne aus, von der Sie einen Domänencontroller entfernen wollen. Mit »list sites« erhalten Sie alle Standorte der Gesamtstruktur, von denen Sie einen mit »select site Nummer des Standorts« auswählen. Über »list servers in site« sehen Sie alle Domänencontroller, die diesem Standort zugeordnet sind. Der Befehl »select server Nummer des Servers« entfernt einen Server aus der Domäne.

Geben Sie »quit« ein, um wieder zum Menü »metadata cleanup« zurückzukehren. Mit »remove selected server« wird der Server nach einer Bestätigung entfernt.

Nachdem die Metadaten von Active Directory bereinigt wurden, sollten Sie noch die Einträge im DNS aufräumen. Entfernen Sie alle SRV-Records, in denen noch der alte Server steht, aus der DNS-Zone der Domäne. Danach können Sie das Computerkonto des Servers löschen. Löschen Sie das Konto aus der OU »Domain Controllers« im Snapin »Active Directory-Benutzer und -Computer« .

Im nächsten Schritt müssen Sie den Domänencontroller noch aus dem Standort löschen, dem er zugeordnet war. Verwenden Sie dazu das Snapin »Active Directory-Standorte und -Dienste« . Navigieren Sie zum Standort des Domänencontrollers, wählen Sie im zugehörigen Kontextmenü den Befehl »Löschen« aus oder drücken Sie die [Entf]-Taste. Überprüfen Sie als nächstes in den NTDS-Settings jedes Domänencontrollers in Active Directory, ob der Domänencontroller noch als Replikationspartner eingetragen ist, und entfernen Sie in diesem Fall die Verbindung.

Reparieren der AD-Datenbank

Unter manchen Umständen kann es vorkommen, dass die Active-Directory-Datenbank nicht mehr funktioniert. Bevor Sie einen Domänencontroller neu installieren, können Sie versuchen, die AD-Datenbank zu reparieren. Starten Sie dazu den Server im Verzeichnisdienstwiederherstellungsmodus und rufen Sie »Ntdsutil« auf. Geben Sie »activate instance ntds« ein, dann »files« ; es startet die »file maintenance« . Dort geben Sie »integrity« ein und verlassen mit »quit« die »file maintenance« .

Die Datenbankanalyse startet der Befehl »semantic database analysis« . Einen ausführlichen Report schaltet »verbose on« ein. Geben Sie »go fixup« ein, dann startet das Tool die Diagnose und repariert auf Wunsch die Datenbank. Verlassen Sie im Anschluss Ntdsutil und starten Sie den Domänencontroller neu.

comments powered by Disqus

Artikel der Woche

Loadtests ohne Server

Für Loadtests der eigenen Server bietet sich die Cloud an, denn kurz getaktet lassen sich dort viele Rechnerinstanzen starten, die das eigene Budget nur wenig belasten. Noch flexibler, günstiger und besser skalierbar sind Tests mit einer Serverless-Infrastruktur wie AWS Lambda. Wir führen vor, wie Sie dort mit Serverless Artillery eigene Loadtests starten. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Container

Wie setzen Sie Container ein?

  • Gar nicht
  • Docker standalone
  • Docker mit Kubernetes
  • Docker mit Swarm
  • Docker mit anderem Management
  • LXC/LXD
  • Rocket
  • CRI-O auf Kubernetes
  • Container auf vSphere
  • Andere (siehe Kommentare auf der Ergebnisseite)

Google+

Ausgabe /2018