Active Directory bereinigen
24. Mai 2017
In der Vergangenheit bemühten die Administratoren den CMD-Befehl „dcpromo“, um einen Server zum Domänencontroller heraufzustufen. Inzwischen setzen die meisten Systembetreuer die aktuellen Powershell-Cmdlets ein (beispielsweise „Install-ADDSDomainController“). „Normale“ Server werden so zu Domänencontrollern heraufgestuft. Falls dies nicht klappen sollte, bleiben in der Regel Metadaten in der Domäne „übrig“, die zu einem späteren Zeitpunkt „Ärger“ verursachen könnten. Damit dies nicht zum Problem wird, können die Systembetreuer eventuelle Installationsreste mit Hilfe der Powershell wieder entfernen.
Warum sollten Reste einer fehlgeschlagenen Heraufstufung entfernt werden? Bei der Antwort darauf sind zwei Eigenheiten ausschlaggebend. Zum einen werden zukünftige Versuche fehlschlagen, einen Server mit der identischen NetBIOS-Kennung (Hostname) als Domänencontroller (DC) hinzuzufügen. Zum anderen kann es vorkommen, dass sich auch keine anderen Server (selbst solche mit abweichenden Hostnamen) mehr hinzufügen lassen.
Unter Umständen verhindern Synchronisierungsprobleme oder Fehler im Bereich der einzelnen FSMO (Flexible Single Master Operations) Schemata dies. Doch mit Hilfe der Powershell lässt sich eine fehlgeschlagene Heraufstufung eines Servers wieder aus der Datenbank des ADs entfernen. Dazu sind folgende Schritte nötig, die Systembetreuer öffnen dazu eine Powershell-Instanz mit Administrativen Berechtigungen und starten den Säuberungsvorgang:
Ntdsutil Metadata cleanup
Nun muss eine Verbindung zum AD aufgebaut werden. Daher geben die Systembetreuer den Servernamen eines Domänencontrollers der betreffenden Domäne an (beispielsweise „SRV-2016-DC“):
Connect to server <NetBIOS Name oder DNS-Name des DCs> Q
Nun wird die jeweilige Funktion ausgewählt:
Select operation target List domains Select domain
Nun gilt es die entsprechende Domäne aus der Liste zu wählen und die betroffene Standorte (sites) zu selektieren:
<Domänennummer> List sites Select site <Nummer des Standorts>
Folglich wählen die Administratoren den betroffenen Server aus:
List servers in site Select server <Nummer des Servers>
Danach nun wird das Tool mit der entsprechenden Eingabe (gefolgt von der Enter-Taste) beendet:
Q Remove selected server
Die folgende Warnmeldung müssen die Systembetreuer nun noch ignorieren und dies mit „Yes“ bestätigen. Nun sollte der Fehler entfernt sein, und sich der betreffende Server nicht mehr auf der „schwarzen Liste“ befinden.
Möchten die Administratoren weitere Server auf „einem Rutsch“ entfernen, lässt sich dies nacheinander ausführen. Dabei ist es nicht nötig, den kompletten Vorgang erneut zu starten, sondern es genügt beim Schritt „select operation target“ anzusetzen, und die gewünschten Server zu wählen.
