Удаление домена windows 2003
Создание нового домена
Для создания нового домена необходимо запустить утилиту dcpromo (ее можно стартовать также из задачи управления сервером, выбрав в меню пункт создания контроллера домена). В зависимости от ответов на вопросы мастера операции, вы сможете добавить новый контроллер в существующем домене либо создать новый домен. Можно создать новый домен внутри уже существующего, либо создать новое дерево доменов, дав домену уникальное имя. Все операции достаточно просты и обычно выполняются в течение нескольких минут. После чего, перезагрузив компьютер, вы получаете новый контроллер домена.
Перед началом операции следует тщательно обдумать то доменное имя, которое вы дадите вновь создаваемому домену. Если ваша организация имеет уже зарегистрированное в Интернете доменное имя. то имя домена Windows может быть основано на нем. Ничто не запрещает вам избрать для внутреннего домена имя, которое не соответствует реальным доменам Интернета, например дать название myorg.Iocal.
Проследите, чтобы полное доменное имя не являлось именем первого уровня, а обязательно состояло из двух частей. В противном случае необходимо выполнить ряд дополнительных настроек, которые следует уточнить по документации с сайта разработчика.
Создание домена обязательно требует наличия сервера DNS. Если сервер DNS не настроен, по умолчанию программа установки предлагает создать и настроить сервер DNS локально. В общем случае служба каталогов не требует обязательного использования DNS-сервера разработки Microsoft. AD может быть установлена, например, на сервер BIND. При этом следует учесть, что BIND версии 4.9.7 и старше поддерживает возможность создания SRV-записей, которые необходимы для работы службы каталогов, а, начиная с версии 8.2.2, поддерживаются и динамические обновления записей данного типа.
Особенности создания дополнительного удаленного контроллера в домене Windows Server 2003
После создания нового контроллера домена программа пытается выполнить его синхронизацию с другими контроллерами. Объем данных, передаваемый в этой операции по сети, обычно составляет десятки мегабайт, а в средних организациях может превышать и несколько сотен мегабайт. Поэтому установку контроллеров для филиалов, подключенных через медленные каналы связи, лучше производить непосредственно в центральном офисе. После первоначальной синхронизации компьютер можно выключить и перевезти на удаленную площадку. Объем синхронизуемых данных, которые будут переданы после включения компьютера в удаленном офисе, в этом случае будет существенно ниже объема первоначальной синхронизации и не создаст критической нагрузки на каналы связи.
В Windows 2003 введена новая возможность при создании контроллера домена— это выполнение первоначальной синхронизации из файлов резервного копирования.
Для создания нового контроллера в удаленном офисе необходимо сначала выполнить резервное копирование состояния (system state) любого контроллера домена, после чего полученные файлы резервной копии любым способом передать в удаленный офис (например, нарезать на CD-матрицы). В удаленном офисе следует восстановить эти данные утилитой ntbackup в другое место (выбрать данную опцию и указать папку для восстановления). Затем запустить утилиту dcpromo с ключом /adv. При таком варианте ее запуска на одном из шагов появится дополнительная опция, запрашивающая место, откуда следует провести загрузку первичных данных . Вам достаточно указать папку, в которую было проведено восстановление данных с контроллера домена. В завершение операции система проведет синхронизацию последних изменений службы каталогов.
Новая возможность Windows 2003 Server позволяет при создании второго контроллера загрузить большую часть данных из файлов резервного копирования основного контроллера, сократив объем реплицируемых по каналам связи данных.
Удаление контроллера домена
Штатное удаление контроллера домена производится с помощью той же утилиты dcpromo. Ее следует запустить на компьютере, роль которого предполагается понизить до обычного сервера. Указав необходимые параметры операции (например, пароль будущего локального администратора), администратору нужно только дождаться сообщения о требуемой перезагрузке системы. Для успешного завершения операции компьютер должен иметь связь с другими контроллерами (если это не последний контроллер домена).
Бывают ситуации, когда контроллер выходит из строя, например из-за неполадок в оборудовании, и его не планируется восстанавливать из резервной копии. В таком случае необходимо удалить из службы каталогов все записи, которые связаны с этим контроллером. Для этого штатно используется утилита ntdsutil.
В Windows Server 2003 графические утилиты пополнены новыми опциями удаления контроллера, однако в Windows 2000 описываемый в тексте способ является единственным.
Опишем последовательность шагов, которые необходимо выполнить в данной утилите для удаления отсутствующего контроллера домена.
1. После запуска утилиты на экране появится окно ее интерфейса. Вам необходимо перейти к опции metadata cleanup.
2. Теперь нужно подключиться к работающему контроллеру домена (connections | connect to server ) на котором мы будем выполнять операцию удаления метаданных.
3. После подключения к контроллеру снова возвращаемся в режим metadata cleanup. На этом шаге необходимо выбрать тот контроллер, данные о котором предполагается удалить.
4. Набираем команду Select operation target, после перехода в этот режим последовательно подключаемся к ресурсам организации. Например, чтобы указать на конкретный сервер, сначала нужно будет просмотреть список сайтов (List sites), после чего подключиться к нужному сайгу (Select site ). Затем просмотреть список доменов и подключиться к нужному и т. д. В завершение после выполнения команды List servers for domain in site вы увидите нумерованный список серверов. Вам нужно выбрать тот сервер, который предполагается удалить (Select server ), и вернуться в меню metadata cleanup.
5. В меню metadata cleanup дать команду на удаление параметров выбранного сервера (Remove selected server).
Имя домена Windows невозможно сменить для доменов на основе операционных систем Windows NT 4.0 Server/Windows 2000 Server. Для доменов, работающих в режиме Windows 2003, такая возможность появилась, и автору приходилось ее выполнять. Но эта операция весьма ответственна и не всегда в ходе ее осуществления могут быть изменены все наименования. Например, сертификаты, выданные на старые имена, окажутся недействительны, придется менять настройки почтового сервера и т. п.
Операция переименования домена возможна только при условии перевода домена в режим Windows 2003 Server.
Для выполнения операции необходимо загрузить с сервера Microsoft последнюю версию утилиты переименования домена ( Domain rename tool. ). В составе загрузочного комплекта присутствует весьма подробное описание условий и операций, которые необходимо выполнить в процессе подготовки и переименования домена.
Утилиты управления объектами службы каталогов
Иллюстрированный самоучитель по Microsoft Windows 2003
Удаление контроллера домена
Под удалением контроллера домена фактически понимается понижение его до роли обычного сервера. Порой бывает необходимо удалить один или несколько контроллеров из домена или переместить их в другой домен. Нельзя просто вывести контроллер из состава домена, поскольку информация о нем останется в каталоге. Соответственно, этот контроллер домена будет приниматься во внимание при формировании топологии репликации, выполнении аутентификации пользователей и т. п.
Перед выполнением операции понижения контроллера домена необходимо убедиться в том, что контроллер не является сервером глобального каталога или исполнителем специализированных ролей. В последнем случае перед понижением контроллера домена администратор должен передать эти роли другим контроллерам. Необходимо, чтобы после понижения контроллера в домене оставался хотя бы один сервер глобального каталога.
Понижение контроллера, являющегося последним в домене, приводит к удалению домена. Операция удаления домена не может быть осуществлена (соответственно, будет прервана операция понижения последнего контроллера домена), если домен имеет дочерние домены. Запрещается также понижать контроллеры домена, являющиеся последними носителями реплик разделов приложений. Перед выполнением операции понижения администратор должен вручную удалить разделы приложений с помощью утилиты Ntdsutil.exe.
Для выполнения операции понижения необходимо, чтобы контроллер домена был работоспособным. Также должны быть доступны другие контроллеры домена. Это позволит выполнить изменения в каталоге, информирующие об удалении контроллера домена. Операция понижения контроллера домена выполняется мастером установки Active Directory (утилита Dcpromo).
В процессе понижения роли компьютера мастер установки проверит копию каталога понижаемого контроллера домена на предмет наличия реплик разделов приложений. Если будут обнаружены реплики, являющиеся последними, мастер выдаст соответствующее предупреждение (рис. 19.7). В этом случае мастер в следующем окне потребует подтвердить готовность администратора удалить эту реплику.
Рис. 19.7. На понижаемом контроллере домена обнаружены последние реплики разделов приложений
Удаление последней реплики раздела приложения приводит к потере всех хранящихся в ней данных. Как следствие это может привести к отказу или неверной работе приложений.
На заключительном этапе администратор должен будет предоставить информацию о пароле, который будет сопоставлен учетной записи локального администратора. Эта учетная запись будет создана мастером по окончании процедуры удаления компонентов службы каталога.
Удаляем неисправный контроллер домена при помощи утилиты NTDSUTIL
Нередки ситуации, когда системному администратору приходится вручную удалять контроллер домена из Active Directory. Такие ситуации возникают при физическом выходе из строя севера с ролью контроллера домена или другой нештатной ситуации. Естественно, наиболее предпочтительно удалить контроллер домена при помощи команды DCPROMO (подробно DCPROMO и ее параметрах) Однако, что же делать, если контроллер домена недоступен (выключен, сломался, недоступен по сети)?
Естественно, нельзя просто удалить учетную запись контроллера домена при помощи оснастки Active Directory User and Computer.
Для ручного удаления контроллера домена из Active Directory подойдет утилита NTDSUTIL. NTDSUTIL – это утилита командной строки, которая предназначена для выполнения различных сложных операций с ActiveDirectory, в том числе процедур обслуживания, управления и модификации Active Directory. Я уже писал об использовании Ntdsutil для создания снимков (snapshot) Active Directory.
Следующая инструкция позволит вручную удалить неисправный контроллер домена.
Примечание: при использовании NTDSUTIL не обязательно вводит команду целиком, достаточно ввести информацию, позволяющую однозначно идентифицировать команду, например вместо того, чтобы набирать metadata cleanup, можно набрать met cle, или m c
- Откройте командную строку
- Наберите
, где — имя работоспособного контроллера домена, хозяина операций
, где -где – номер неисправного контроллера домена (команда list servers отобразит номер сервера)
, где номер домена, в котором находится неисправный DC (команда list domains отобразит номер домена)
(вернемся в меню metadata cleanup)
( появится предупреждающее окно, следует убедится, что удаляется искомый контроллер домена)
Вот и все, мы полностью удалили из DNS и Active Directory неисправный контроллер домена и все ресурсы, связанные с ним.
Правильное удаление контроллера домена из Active Directory
Бывают различные ситуация, когда необходимо вывести контроллер домена из AD, чаще всего – физический выход из строя сервера с ролью DC. После (правильнее делать перед) установки и настройки нового, необходимо выполнить правильное удаление неактивного DC из Active Directory. В данной заметке представлена инструкция по корректному выполнению этой операции при помощи утилиты NTDSutil :
- необходимо выполнить вход на работающий контролер домена под учетной записью администратора
- запустить командную строку (cmd) и запустить утилиту ntdsutil
- в командной строке ntdsutil необходимо ввести metadata cleanup и нажмите enter (появится приглашение на очистку метаданных)
- далее вводим connections , в результате отработки этой команды будет выведено приглашение на подключение к серверу
- теперь нужно подключиться к нашему исправному контролеру домена командой connect to server server1, где server1 – наш исправный DC
- набираем quit и нажимаем ввод – появляется приглашение на очистку данных
- введите select operation target
- далее – list domains. Здесь необходимо запомнить число, которым обозначается вышедший из строя контролер домена, данное значение нужно будет ввести в следующей команде
- select domain 0 (или ваше число)
- list site и нажмите enter, здесь также необходимо запомнить число, под которым представлен сайт
- select site 0 (или ваше число)
- следующая команда – list servers in site. Необходимо запомнить каким числом представлен неисправный DC и ввести эту цифру в следующей операции
- select server 1 или 0 (т.е. ваше число).
- quit – появится приглашение на очистку метаданных
- remove selected server и нажмите enter. Появится сообщение. Тщательно прочитайте его и примите обдуманное решение (“ДА”).
- введите quit и дважды нажмите ввод – после очистки метаданных вы выйдите из утилиты ntdsutil
Описанным выше образом, мы удалили объект параметров NTDS. Теперь стоит перейти к последующей очистке базы данных – удалим записи из DNS и ADSIEdit.
Откройте консоль DNS. Последовательно раскрывая элементы иерархической структуры, найдите объект вашего домена и щелкните на нем.В правой секции окна найдите запись хоста (А; она должна совпадать с родительской папкой) с IP-адресом сервера Server2 (вышедшего из строя DC). Щелкнув на ней правой кнопкой мыши, выберите пункт “Удалить”. При появлении окна подтверждения щелкните кнопку “ДА”. В той же секции окна щелкните левой кнопкой на записи хоста Server2 (вышедший из строя DC) и выберите пункт “Удалить”. Нажатием кнопки “ДА” подтвердите намерение удалить запись. Теперь запись DNS, соответствующая серверу Server2, удалена. Закройте консоль DNS.
Теперь перейдем к консоли ADSIEdit, запустив ее из командной строки (cmd) командой adsiedit.msc:
- Раскройте структуру Domain\DC=ваш_домен,DC=__\OU=Domain Controllers. Щелкнув на записи объекта CN=Server2 (вышедший из строя DC), нажмите клавишу Delete. В окне подтверждения щелкните “ДА”. Таким образом, объекта Server2 в контексте именования домена на Active Directory больше нет.
- Раскройте структуру Configuration\CN=Configuration,DC=ваш_домен, DC=__\CN=Sites\CN=Default-First-Site-Name\CN=Servers. Щелкнув на записи объекта CN=Server2, нажмите Delete. В окне подтверждение нажмите “ДА”. Теперь в контексте именования для конфигураций нет объекта Server2. Закройте консоль ADSIEdit.
Мы выполнили процедуру по правильному и полному удалению вышедшего из строя контролера домена (или одного из контролеров домена вашей компании). В ходе проделанных операций мы удалили все ссылки в Active Directiry об устаревшем/неисправному контролеру.
*Только после проделанных операций стоит продолжать настройку нового Primary DC!
Нашли ошибку в тексте? Выделите фрагмент текста и нажмите Ctrl+Enter
