Удаляя контроллер умершей дочки по
инструкции Microsoft-а, столкнулись с проблемой.
Ниже приведена последовательность операций по удалению потерянного дочернего домена из Active Directory с описанием возникшей проблемы.
Сначала действуем по указанной выше инструкции. Единственное отличие - выбираем не только домен как в инструкции, а все operation target-ы. С необходимостью указания всех operation target я так и не смог разобраться - в форумах пишут, что без их указания ничего не получится, в инструкции MS же об этом ни слова. А первые ошибки возможно были вызваны не указанием operation target, но я их к сожалению не записал.
Листинг операции:
C:\>ntdsutil
ntdsutil: metadata cleanup
metadata cleanup: connections
server connections: connect to server dc
Привязка к dc ...
Подключен к dc с помощью учетных данных локального пользователя.
server connections: q
metadata cleanup: select operation target
select operation target: list domains
Найдено доменов: 2
0 - DC=firma,DC=local
1 - DC=branch1,DC=firma,DC=local
select operation target: List Naming Contexts
Найдено 7 контекстов именования
0 - CN=Configuration,DC=firma,DC=local
1 - CN=Schema,CN=Configuration,DC=firma,DC=local
2 - DC=DomainDnsZones,DC=firma,DC=local
3 - DC=ForestDnsZones,DC=firma,DC=local
4 - DC=firma,DC=local
5 - DC=branch1,DC=firma,DC=local
6 - DC=DomainDnsZones,DC=branch1,DC=firma,DC=local
select operation target: Select Naming Contex 1
Нет текущего сайта
Нет текущего домена
Нет текущего сервера
Контекст именования - CN=Schema,CN=Configuration,DC=firma,DC=local
select operation target: list domains
Найдено доменов: 2
0 - DC=firma,DC=local
1 - DC=branch1,DC=firma,DC=local
select operation target: select domain 1
Нет текущего сайта
Домен - DC=branch1,DC=firma,DC=local
Нет текущего сервера
Контекст именования - CN=Schema,CN=Configuration,DC=firma,DC=local
select operation target: list sites
Найдено сайтов: 2
0 - CN=mainoffice,CN=Sites,CN=Configuration,DC=firma,DC=local
1 - CN=branch1,CN=Sites,CN=Configuration,DC=firma,DC=local
select operation target: select site 1
Сайт - CN=branch1,CN=Sites,CN=Configuration,DC=firma,DC=local
Домен - DC=branch1,DC=firma,DC=local
Нет текущего сервера
Контекст именования - CN=Schema,CN=Configuration,DC=firma,DC=local
select operation target: list servers in site
Найдено серверов: 1
0 - CN=KDC,CN=Servers,CN=branch1,CN=Sites,CN=Configuration,DC=firma,DC=local
select operation target: select server 0
Сайт - CN=branch1,CN=Sites,CN=Configuration,DC=firma,DC=local
Домен - DC=branch1,DC=firma,DC=local
Сервер - CN=KDC,CN=Servers,CN=branch1,CN=Sites,CN=Configuration,DC=firma,DC=local
Объект DSA - CN=NTDS Settings,CN=KDC,CN=Servers,CN=branch1,CN=Sites,CN=Configuration,DC=firma,DC=local
Имя DNS-узла - kdc.branch1.firma.local
Объект-компьютер - CN=KDC,OU=Domain Controllers,DC=branch1,DC=firma,DC=local
Контекст именования - CN=Schema,CN=Configuration,DC=firma,DC=local
select operation target: q
metadata cleanup: remove selected server
Передача ролей FSMO от выбранного сервера.
Не удалось определить владельца FRS для роли "PDC".
Не удалось определить владельца FRS для роли "Rid Master".
Не удалось определить владельца FRS для роли "Infrastructure Master".
"CN=KDC,CN=Servers,CN=branch1,CN=Sites,CN=Configuration,DC=firma,DC=local" удалена с сервера "dc"
metadata cleanup:
В результате удалился только сервер с сайта, а не домен. В инструкции ни слова нету о том, что нужно выполнить команду удаления домена (remove selected domain). Но мы попробуем удалить домен опять по той же инструкции, только в конце указав удалить не сервер, а домен.
C:\>ntdsutil
ntdsutil: metadata cleanup
metadata cleanup: connections
server connections: connect to server dc
Привязка к dc ...
Подключен к dc с помощью учетных данных локального пользователя.
server connections: q
metadata cleanup: select operation target
select operation target: list domain
Найдено доменов: 2
0 - DC=firma,DC=local
1 - DC=branch1,DC=firma,DC=local
select operation target: list naming context
Найдено 7 контекстов именования
0 - CN=Configuration,DC=firma,DC=local
1 - CN=Schema,CN=Configuration,DC=firma,DC=local
2 - DC=DomainDnsZones,DC=firma,DC=local
3 - DC=ForestDnsZones,DC=firma,DC=local
4 - DC=firma,DC=local
5 - DC=branch1,DC=firma,DC=local
6 - DC=DomainDnsZones,DC=branch1,DC=firma,DC=local
select operation target: select naming contex 5
Нет текущего сайта
Нет текущего домена
Нет текущего сервера
Контекст именования - DC=branch1,DC=firma,DC=local
select operation target: list domains
Найдено доменов: 2
0 - DC=firma,DC=local
1 - DC=branch1,DC=firma,DC=local
select operation target: select domain 1
Нет текущего сайта
Домен - DC=branch1,DC=firma,DC=local
Нет текущего сервера
Контекст именования - DC=branch1,DC=firma,DC=local
select operation target: list sites
Найдено сайтов: 2
0 - CN=mainoffice,CN=Sites,CN=Configuration,DC=firma,DC=local
1 - CN=branch1,CN=Sites,CN=Configuration,DC=firma,DC=local
select operation target: select site 1
Сайт - CN=branch1,CN=Sites,CN=Configuration,DC=firma,DC=local
Домен - DC=branch1,DC=firma,DC=local
Нет текущего сервера
Контекст именования - DC=branch1,DC=firma,DC=local
select operation target: list servers in site
Найдено серверов: 0
select operation target: q
metadata cleanup: remove selected server
Нет текущего сервера - используйте "Выбрать цель операции"
metadata cleanup: remove selected domain
DsRemoveDsDomainW ошибка 0x2015(Служба каталогов может выполнять эту операцию только на оконечном листовом объекте.)
metadata cleanup:
Ошибка означает, что домен все еще содержит информацию (чаще всего домен DNS-зоны)
Подробнее
тут и
тут.
Удаляем эти, мешающие нам, записи:
C:\>ntdsutil
ntdsutil: domain management
domain management: connections
server connections: connect to server dc
Привязка к dc ...
Подключен к dc с помощью учетных данных локального пользователя.
server connections: q
domain management: list
Примечание. Имена разделов каталога, содержащие знаки международного набора и Юникода, будут отображены правильно только в том случае, если загружены соответствующие шрифты и файлы поддержки языка
Найдено 7 контекстов именования
0 - CN=Configuration,DC=firma,DC=local
1 - CN=Schema,CN=Configuration,DC=firma,DC=local
2 - DC=DomainDnsZones,DC=firma,DC=local
3 - DC=ForestDnsZones,DC=firma,DC=local
4 - DC=firma,DC=local
5 - DC=branch1,DC=firma,DC=local
6 - DC=DomainDnsZones,DC=branch1,DC=firma,DC=local
domain management: delete nc DC=DomainDnsZones,DC=branch1,DC=firma,DC=local
Операция выполнена успешно. Раздел помечен для удаления из сети предприятия. Он будет удален через некоторое время в фоновом режиме.
Примечание. Не создавайте еще один раздел с тем же именем до тех пор, пока серверы, использующие этот раздел, не получат возможность удалить его. Это произойдет , когда информация об удалении раздела будет реплицирована по лесу и серверы, использующие раздел, удалят все содержащиеся в нем объекты. В полном удалении раздела можно убедиться с помощью журнала событий каталога на каждом из серверов.
domain management: q
ntdsutil:
Теперь удаляем сам мертвый домен с помощью ntdsutil:
C:\>ntdsutil
ntdsutil: metadata cleanup
metadata cleanup: connections
server connections: connect to server dc
Привязка к dc ...
Подключен к dc с помощью учетных данных локального пользователя.
server connections: q
metadata cleanup: select operation target
select operation target: list domains
Найдено доменов: 2
0 - DC=firma,DC=local
1 - DC=branch1,DC=firma,DC=local
select operation target: select domain 1
Нет текущего сайта
Домен - DC=branch1,DC=firma,DC=local
Нет текущего сервера
Нет текущего контекста именования
select operation target: q
metadata cleanup: remove selected domain
"DC=branch1,DC=firma,DC=local" удалена с сервера "dc"
metadata cleanup: select operation target
select operation target: list domains
Найдено доменов: 1
0 - DC=firma,DC=local
select operation target: list naming contexts
Найдено 5 контекстов именования
0 - CN=Configuration,DC=firma,DC=local
1 - CN=Schema,CN=Configuration,DC=firma,DC=local
2 - DC=DomainDnsZones,DC=firma,DC=local
3 - DC=ForestDnsZones,DC=firma,DC=local
4 - DC=firma,DC=local
select operation target: q
metadata cleanup: q
ntdsutil: q
Отключение от dc...
Что же мы тут видим?
Строка
"DC=branch1,DC=firma,DC=local" удалена с сервера "dc" - говорит нам о том, что домен успешно удален.
Подтверждает это и ответ выведенный двумя командами
list domains и
list naming contexts в результатах выполнения которых мы больше не видим упоминаний о дочке.
Далее продолжаем действовать с пункта 17 первой
инструкции. Подробно описывать не буду, т.к. там проблем больше не возникало.
Осталось непонятным почему в инструкции MS не указано, что необходимо удалить еще и домен, а не только сервер.
Благодарен за помощь форуму
oszone.net.