Defekten DC aus der Domäne entfernen 2


Hallo Leute,
es kann immer mal vorkommen, dass ein Domain Controller aus der Domäne entfernt werden muss. Dies wird notwendig, wenn dieser irreparabel beschädigt ist und sich nicht mehr wiederherstellen lässt (z. B. durch einen Hardwareausfall). Für diesen Fall gibt es einen Weg, wie man den defekten DC über einen noch funktionierenden DC entfernt.

Dazu öffnet Ihr eine CMD auf dem funktionierenden DC und gebt nacheinander folgende Befehle ein:

ntdsutil
metadata cleanup
connections
connect to server <euer funktionierender DC>
q
select operation target
select domain 0
list sites
select site 0
list servers in site
select server <Nummer des defekten DC´s>
q
remove selected server

Danach müsst Ihr bestätigen, dass Ihr den Server entfernen wollt. Dies bestätigt Ihr mit „Ja“

Jetzt wurde der defekte DC aus der Domäne entfernt. Nun sind noch kleinere Aufräumarbeiten notwendig. Dazu öffnet Ihr die DNS-Konsole, wählt eure Forward-Lookupzone, für die euer defekter DC zuständig war und geht in die Eigenschaften.

In den Eigenschaften klickt Ihr auf den Reiter „Namenserver“, markiert den defekten DC und klickt auf „entfernen“

Danach prüft Ihr noch ob euer funktionierender DC alle FSMO-Rollen hat.

In meinem Screenshot ist alles OK. Sollten hier noch Rollen beim defekten DC liegen, müsst Ihr wie folgt vorgehen. Wir nutzen dafür wieder ntdsutil.

ntdsutil
roles
connections
connect to server dc1
q
seize infrastructure master
seize naming master
seize PDC
seize RID master
seize schema master

Zum Übernehmen der Änderung müsst Ihr dies pro Rolle einmal bestätigen.

Somit habt Ihr jetzt den defekten DC aus der Domäne entfernt.


Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

2 Gedanken zu “Defekten DC aus der Domäne entfernen

  • Avatar
    Jan

    Danke für die gute Anleitung.
    Leider wurde bei mir anschließend der alte Server trotzdem noch unter „Domain Controllers“ sowie in der Ausgabe zu „nltest /dclist:domain.local“ angezeigt, obwohl er unter „list servers in site“ nicht mehr aufgeführt wurde, so dass ich es per AD-Benutzer und -Computer mit Löschen wie folgt versuchte: https://i.imgur.com/3kFOWZM.png
    Das schlug dann aber fehl mit „Zugriff verweigert“.
    Über den ADSI-Editor war es dann jedoch problemlos möglich.
    Viele Grüße,
    Jan

    • Karsten
      Karsten Autor des Beitrags

      Hallo Jan,
      danke für dein Kommentar. Ich konnte es leider erst eben freigeben. Super für deine Unterstützung und Erklärung wie du weiter vorgegangen bist.

      Bleib Gesund und viele Grüße
      Karsten Tetzlaff