Windows Server 2012 (R2): Nicht mehr ansprechbaren Domänen-Controller über das GUI säubern
Wie bei allen anderen Servern kann es auch beim Domain Controller dazu kommen, dass dieser nicht mehr startet oder wiederherstellbar ist. In solch einem Fall müssen die alten Einträge manuell bereinigt werden. Unser Kursleiter Rinon Belegu zeigt, wies geht.
Vielleicht waren Sie als System Engineer schon einmal in der prekären Lage, dass der Domain Controller nicht mehr erreichbar war: Einzig ein Bluescreen ist sichtbar oder die Hardware war defekt — also keine Chance, ihn wieder in einen lauffähigen Zustand zu bringen.
Wer viele Umgebungen verwaltet, trifft dieses Problem öfter an und hat sich vielleicht sogar eine Anleitung für das Vorgehen zusammengestellt. Ich möchte hier eine wenig genutzte Methode über das Graphical User Interface (GUI) zeigen, mit der der Domain Controller wieder erreichbar wird.
Die altgedienten Tools ADSIEdit und NTDSUTIL sind heute noch im Einsatz. Seit Windows Server 2008 gibt es allerdings sehr viel einfachere Methoden. Den Metadaten-Cleanup kann man z.B. bequem von seinem Client durchführen. Dazu benötigt man nur die RSAT Tools auf dem Admin-Rechner. Man führt das dsa.msc als Administrator aus und schon kann man den nächsten Schritten folgen.
Analog kann man die Schritte auch direkt auf dem Server durchführen, wie folgend beschrieben. Dabei sehen die Konsolen, einst geöffnet, identisch aus.
Man öffnet die Active Directory Users am Computer und klickt unter Domain Controllers auf dem entsprechenden DC auf Delete.
Man bestätigt den Löschvorgang mit Yes und setzt in der nächsten Anfrage den Haken, dass der Server nicht mehr DEMOTED werden kann.
Hier erhält man noch einen Hinweis, dass es sich um einen Global Catalog Server handelt. Man bestätigt mit Yes. Dabei sollte beachtet werden, dass man je nach Aufbau der Active Directory wieder einen Global Catalog Server in Betrieb nimmt!
Das Metadaten-Cleanup ist jetzt durchgeführt. Würde es sich hier um einen RODC handeln, käme noch ein weiteres Abfragefenster, ob die Cached Passwörter etc. zurückgesetzt werden sollen.
Achtung: Diese Abfrage beim RODC erscheint nur über das GUI! Führt man das Cleanup über das NTDSUtil durch, erhält man diese Option nicht!
Als Nächstes löscht man den Server noch im Active Directory Sites and Services. Nun geht es an die Bereinigung der DNS-Zone. Als Erstes schauen wir uns die Nameserver für die Zone an und entfernen allenfalls den «überflüssigen» Server.
Nun löscht man in der Zone alle Verweise auf den «alten» DC – in jedem Unterorder alle Referenzen.
In der Domain Local Zone z.B. den A-Eintrag und in allen Subfoldern wie folgt:
_sites
_tcp
_udp
domaindnszones
forestdnszones
Befolgt man diese Anleitung, so hat man die Einträge des verwaisten DC erfolgreich aus seiner Active Directory entfernt. Das Wissen um die Active Directory ist immer wieder sehr gefragt. Microsoft ist dem nachgegangen und hat auf Basis von 2012 einen neuen Kurs auf den Markt gebracht, den ich jedem Administrator empfehlen kann, der die AD verwaltet oder solche aufbauen möchte.