Buscar en pantallazos.es.

miércoles, 2 de septiembre de 2015

Textual description of firstImageUrl

Active Directory: Limpiar un DC irrecuperable.

En el laboratorio de hoy seguiremos paso a paso, el muy temido  por muchos, procedimiento de asumir las funciones Flexible Single Master Operation o FSMO de un controlador de dominio de Active Directory que se encuentra en fallo y que es irrecuperable, para posteriormente poder limpiar el Directorio Activo.

Cuando queremos deshacernos de un controlador de dominio, lo mejor es despromocionar el servidor para después poder eliminarlo del dominio y así finalizar apagando dicho servidor, pero la realidad es, que en ocasiones esto no es tan fácil, ya que el servidor puede haber fallado y no es posible una reparación del mismo o simplemente alguna persona, con falta de conocimientos, ha apagado el servidor sin realizar el procedimiento de despromoción y lo ha tirado a la basura.

En nuestro dominio de ejemplo, tendremos dos controladores de dominio, uno con Windows 2008 y otro con Windows 2012. El controlador que tiene instalado Windows 2012 tiene todas las funciones Flexible Single Master Operation y es el servidor que hemos apagado, para simular que ha desaparecido o fallado.

Usuarios y equipos de Active Directory.



En primer lugar, desde el único Controlador de Dominio que tenemos activo, el servidor Windows 2008, comprobaremos cuantos controladores de dominio tenemos en nuestro Active Directory, usando el comando siguiente.

netdom query DC

Comprobaremos, que efectivamente, tenemos dos. Recordemos que hemos apagado el servidor llamado SRV2012, si fuéramos al visor de sucesos del servidor W2008-TS, nos encontraremos con multitud de errores de replica y demás.

netdom query DC

Haciendo uso del comando siguiente

netdom query fsmo

Comprobaremos, que controlador de dominio que tiene las funciones Flexible Single Master Operation en nuestro Active Directory, por desgracia para nosotros, es el Domain Controller que tenemos en fallo el que ostenta  las cinco funciones.

Maestro de esquema
Maestro de nombres de dominio
Maestro de RID
Emulador de PDC
Maestro de infraestructura

netdom query fsmo

Nos pondremos manos a la obra, en primer lugar hemos de asignar las funciones Flexible Single Master Operation o FSMO al único controlador de dominio que tenemos en producción, para ello usaremos el comando ntdsutil.

En una consola de linea de comandos y haciendo uso del comando siguiente.

C:\ntdsutil


Seleccionaremos el servidor llamado W2008-TS para asignarle las funciones. Para ello escribiremos las siguientes respuestas.

ntdsutil: roles
fsmo maintenance: connections
server connections: connect to server w2008-ts
Binding to w2008-ts...
Connected to w2008-ts using credentials of locally logged on user.
server connections: q
fsmo maintenance:

Las respuestas están marcadas en negrita.

ntdsutil

Llegados a este punto, y habiendo seleccionado el servidor que debe tener las funciones FSMO, procederemos a la asignación, usaremos el comando SEIZE, que sirve para apoderarse de la función en cuestión.

Los nombres de cada una de las funciones  Flexible Single Master Operation que usaremos durante la operación serán.

PDC
RID master
schema master
naming master
infrastructure master

Podemos empezar por el que queramos, nosotros lo haremos por la función de Maestro de nombres de dominio y escribiremos lo siguiente.

seize naming master

Al pulsar la tecla enter, nos aparecerá una ventana de confirmación de que, nos queremos apoderar de la función de Maestro de nombres de dominio, presionaremos el botón Yes para proceder.

seize naming master

Aplicara los cambios y nos mostrará de nuevo fsmo maintenace:

fsmo maintenace:

Si ejecutamos el comando siguiente, desde otra ventana de línea de comandos.

netdom query fsmo

Podremos comprobar que la función de Maestro de nombres de dominio ahora la ostenta el controlador de dominio llamado W2008-TS.

netdom query fsmo

Seguidamente, escribiremos la línea siguiente, para apoderarnos de la función de  Maestro de Infraestructura.

seize infrastructure master


seize infrastructure master

Al pulsar la tecla enter, nos aparecerá de nuevo, una ventana de confirmación, avisándonos que queremos apoderarnos de la función de Maestro de Infraestructura, pulsaremos de nuevo el botón Yes para realizar el cambio.

Apoderarnos de la función de Maestro de Infraestructura.

Aplicara los cambios y nos mostrará nuevamente fsmo maintenace:

fsmo maintenace:

Comprobaremos que la acción se ha completado correctamente, ejecutando el comando siguiente.

netdom query fsmo

La función de Maestro de Infraestructura ahora la ostenta nuestro servidor productivo W2008-TS.

Maestro de Infraestructura traspasada.

Continuaremos apoderándonos de las funciones que nos faltan, en este caso le tocará a la función Emulador de PDC, para ello, debemos escribir lo siguiente.

seize PDC

seize PDC

Al pulsar la tecla intro, nos volverá a aparecer la ya conocida ventana de confirmación, de que nos queremos apoderar, en este caso, de la función Emulador de PDC, presionaremos de nuevo el botón Yes como en los casos anteriores y nos apoderarnos de la misma.

Traspaso de la función Emulador de PDC.

Aplicara los cambios y nos mostrará de nuevo fsmo maintenace:

fsmo maintenace:

Ejecutaremos una vez más, el comando.

netdom query fsmo

La función de Emulador de PDC ya la ostentará nuestro servidor productivo.

La función de Emulador de PDC ya la ostentará nuestro servidor productivo.

Solo nos quedan dos funciones a asumir.

Maestro de esquema.
Maestro de RID.

Así pues, vamos a apoderarnos de la función Maestro de RID, para ello escribiremos, como en los casos anteriores.

seize RID master

seize RID master

Al pulsar la tecla enter, sorpresa!!!, aparecerá la ya ultra conocida ventana de confirmación, en este caso nos queremos apoderar de la función Maestro de RID, presionaremos de nuevo el botón Yes como siempre y tomamos posesión de la función.

Apoderar de la función Maestro de RID.

Aplicara los cambios y nos mostrará de nuevo fsmo maintenace:

fsmo maintenace:

Ejecutaremos una vez más el comando

netdom query fsmo

La función Maestro de RID ya no será de SRV2012, la ostentará nuestro servidor productivo W2008-TS.

La función Maestro de RID ya no será de SRV2012, la ostentará nuestro servidor productivo W2008-TS.

Para finalizar, debemos tomar posesión de la función Maestro de esquema, para ello, escribiremos .

seize schema master

seize schema master

Por última vez, nos aparecerá la ventana de confirmación,  presionaremos de nuevo el botón Yes y nos apoderarnos de la función Maestro de esquema.

Yes y nos apoderarnos de la función Maestro de esquema.

Aplicara los cambios y nos mostrará de nuevo fsmo maintenace:

fsmo maintenace:

Ejecutaremos por última vez, el comando siguiente.

netdom query fsmo

La función Maestro de esquema y todas las demás las debe ostentar nuestro servidor productivo llamado W2008-TS, con esto hemos terminado la asignación de funciones.

La función Maestro de esquema y todas las demás las debe ostentar nuestro servidor productivo llamado W2008-TS, con esto hemos terminado la asignación de funciones.

Escribiremos

fsmo maintenance: q
ntdsutil: q

para salir de ntdsutil

fsmo maintenance: q

Habiendo realizado todos los pasos anteriores, estamos a la mitad de nuestro trabajo, todavía tenemos el controlador de dominio SRV2012 en la lista de las cuentas en el dominio, debemos limpiarlo también.

netdom query dc

Para ello, usaremos otra vez el comando ntdsutil de la siguiente manera, las respuestas en nuestro entorno de pruebas están marcadas en negrita, estas son un ejemplo que cada uno tiene que adaptar a su entorno.

La idea general es que primero debemos seleccionar el servidor que deseamos eliminar y después ejecutar el comando para que este sea eliminado.

C:\ntdsutil
ntdsutil: metadata cleanup
metadata cleanup: connections
server connections: connect to server w2008-ts
Binding to w2008-ts...
Connected to w2008-ts using credentials of locally logged on user.
server connections: q


En este momento hemos conectado con el servidor que tenemos en producción, solo tenemos que modificar el nombre del servidor para adecuar la secuencia de comandos anterior a vuestro entorno, en mí ejemplo es el DC se llama w2008-ts, lo debemos sustituir por el nombre del controlador de dominio que tengáis productivo, continuemos con el proceso.

metadata cleanup: select operation target
select operation target: list domain
Found 1 domain(s)
0 - DC=DOM,DC=LOCAL
select operation target: select domain 0
No current site
Domain - DC=DOM,DC=LOCAL
No current server
No current Naming Context

Superado este paso, ya hemos seleccionado el dominio de Active Directory de nuestra organización, en éste paso, deberéis seleccionar vuestro propio dominio.

select operation target: list site
Found 1 site(s)
0 - CN=Default-First-Site-Name, CN=sites,CN=Configuration,DC=DOM,DC=LOCAL
select operation target: select site 0
Site - CN=Default-First-Site-Name, CN=sites,CN=Configuration,DC=DOM,DC=LOCAL
Domain - DC=DOM,DC=LOCAL
No current server
No current Naming Context

Después de los pasos anteriores, tendremos seleccionado el Site.

select operation target: list servers in site
Found 2 server(s)
0 - CN=SRV2012,CN=Default-First-Site-Name, CN=sites,CN=Configuration,DC=DOM,DC=LOCAL
1 - CN=W2008-TS,CN=Default-First-Site-Name, CN=sites,CN=Configuration,DC=DOM,DC=LOCAL
select operation target: select server 0
Site - CN=Default-First-Site-Name, CN=sites,CN=Configuration,DC=DOM,DC=LOCAL
Domain - DC=DOM,DC=LOCAL
Server - CN=SRV2012,CN=Default-First-Site-Name, CN=sites,CN=Configuration,DC=DOM,DC=LOCAL
DSA object - CN=NTDS Settings,CN=SRV2012,CN=Default-First-Site-Name, CN=sites,CN=Configuration,DC=DOM,DC=LOCAL
DNS host name - srv2012.dom.local
Computer object - CN=SRV2012,OU=Domain Controllers,DC=DOM,DC=LOCAL
No current Naming Context


Finalmente, después de todo lo anterior, tendremos seleccionado el servidor que queremos eliminar, en nuestro ejemplo se llama SRV2012.DOM.LOCAL.

Salimos con q

select operation target: q

Seguidamente, eliminamos el servidor que se encuentra en fallo, con el comando siguiente.

metadata cleanup: Remove Selected Server


ntdsutil: metadata cleanup

Nos aparecerá una ventana, donde deberemos confirmar que queremos eliminar el servidor en cuestión. Presionaremos el botón Yes para eliminar definitivamente el servidor.

Presionaremos el botón Yes para eliminar definitivamente el servidor.

Aplicara los cambios y nos mostrará de nuevo metadata cleanup:

Aplicara los cambios y nos mostrará de nuevo metadata cleanup:

Ejecutaremos de nuevo, el comando siguiente.

netdom query DC

Para confirmar que el Controlador de dominio que se encuentra en fallo, ha desaparecido de la lista de cuentas de controladores de dominio de nuestro Active Directory.

netdom query DC

Cuando estemos seguros que todo es correcto, escribiremos.

metadata cleanup: q
ntdsutil: q

Para salir y finalizar.

metadata cleanup: q

Si accedemos a la Unidad Organizativa Domain Controllers, en la ventana usuarios y Equipos de Active Directory, comprobaremos también, que no hay rastro del controlador de dominio que ha fallado.

Unidad Organizativa Domain Controllers

Espeto os sea de utilidad.


Enlaces relacionados


8 comentarios:

  1. Excelente, no tengo palabras para agradecer la ayuda que me han brindado con este post. Saludos desde Costa Rica.

    ResponderEliminar
    Respuestas
    1. No sabes cómo me alegra leer tu comentario, es una inyección directa de ánimo para continuar escribiendo en éste blog. Muchísimas gracias por leer mis post. Un saludo.

      Eliminar
  2. Muchas gracias, me encontraba con una situación similar y este gran aporte me ayudo a solucionarlo !! Saludos

    ResponderEliminar
    Respuestas
    1. Muchísimas gracias a ti por leer mi blog!!!!!

      Eliminar
  3. Muchas gracias por este articulo. Sin duda alguna es una clara referencia de como proceder en una delicada situacion como AD clean up. 100% recomendable!! Excelente trabajo.

    ResponderEliminar
  4. Excelente explicación, solo que mi caso es el siguiente y me podrías orientar, Tengo 5 controladores de dominio remotos, el principal que es el primario y el secundario están operando bien, pero los otros tres perdieron la conexión y replica necesito removerlos. La pregunta es cojo cada uno de esto y voy trasladando todos sus fsmo al secundario y voy removiendo uno a uno o como lo hago. Gracias por tu recomendación. Un abrazo

    ResponderEliminar
    Respuestas
    1. Con netdom query fsmo sabrás que controladores tienen roles y cuáles no. Si uno de los que pretendes eliminar tiene uno o más roles tendrás que hacer un seize del rol en cuestión cuando los tres DC que quieres eliminar no controlen ningún rol y los 5 roles fsmo dependan de alguno de los dos DC operativos, puedes empezar la eliminación de los DC caídos. Gracias por leer pantallazos.es

      Eliminar