Windows Server 2012 (R2): Nicht mehr ansprechbaren Domänen-Controller über das GUI säubern
Wenn der Domain Controller plötzlich ausfällt, ist Panik meist vorprogrammiert. Ein Bluescreen, defekte Hardware – und nichts geht mehr. Doch es gibt einen einfachen Weg, um den Zugriff wiederherzustellen, ohne gleich tief in die Kommandozeile einzutauchen. Dieser Tipp zeigt dir, wie du mit wenigen Klicks über das grafische Interface den Domain Controller bereinigst und dein Active Directory wieder stabil zum Laufen bringst.
Vielleicht warst du als System Engineer schon einmal in der unangenehmen Lage, dass der Domain Controller nicht mehr erreichbar war:
Ein Bluescreen, defekte Hardware – keine Chance, das System wieder zum Laufen zu bringen.
Wer mehrere Umgebungen betreut, kennt dieses Problem nur zu gut und hat sich vielleicht sogar eine eigene Schritt-für-Schritt-Anleitung erstellt. Hier zeige ich dir eine oft übersehene Methode über das Graphical User Interface (GUI), mit der du den Domain Controller wieder funktionsfähig machst.
Die bewährten Tools ADSIEdit und NTDSUTIL werden zwar immer noch verwendet. Seit Windows Server 2008 gibt es aber deutlich einfachere Wege. Das Metadaten-Cleanup kannst du bequem direkt von deinem Client aus durchführen – du brauchst dafür nur die RSAT Tools auf deinem Admin-Rechner. Führe dsa.msc als Administrator aus und folge den nächsten Schritten.
Du kannst die Schritte auch direkt auf dem Server ausführen. Die Konsolen sehen in beiden Fällen gleich aus.
Öffne Active Directory Users auf deinem Computer und klicke unter Domain Controllers auf den betroffenen DC. Wähle Delete.
Bestätige den Löschvorgang mit Yes und setze in der nächsten Anfrage den Haken bei der Option, dass der Server nicht mehr DEMOTED werden kann.
Du erhältst einen Hinweis, dass es sich um einen Global Catalog Server handelt. Bestätige mit Yes. Achte darauf, dass du – je nach Aufbau deiner Active Directory – wieder einen funktionsfähigen Global Catalog Server in Betrieb nimmst.
Das Metadaten-Cleanup ist nun abgeschlossen. Wenn es sich um einen RODC handelt, erscheint ein zusätzliches Fenster, das fragt, ob die zwischengespeicherten Passwörter zurückgesetzt werden sollen.
Wichtig: Diese Abfrage beim RODC erscheint nur über das GUI! Wenn du das Cleanup über NTDSUtil durchführst, wird diese Option nicht angezeigt.
Als Nächstes löschst du den Server im Active Directory Sites and Services. Danach folgt die Bereinigung der DNS-Zone. Prüfe zuerst die Nameserver der Zone und entferne gegebenenfalls den nicht mehr benötigten Eintrag.
Lösche in der Zone alle Verweise auf den alten DC – in jedem Unterordner alle Referenzen.
In der Domain Local Zone zum Beispiel den A-Eintrag und in allen Unterordnern wie folgt:
_sites
_tcp
_udp
domaindnszones
forestdnszones
Wenn du diese Schritte befolgst, entfernst du alle Einträge des verwaisten DC sauber aus deiner Active Directory.