Active Directory bereinigen

24. Mai 2017

In der Vergangenheit bemühten die Administratoren den CMD-Befehl „dcpromo“, um einen Server zum Domänencontroller heraufzustufen. Inzwischen setzen die meisten Systembetreuer die aktuellen Powershell-Cmdlets ein (beispielsweise „Install-ADDSDomainController“). „Normale“ Server werden so zu Domänencontrollern heraufgestuft. Falls dies nicht klappen sollte, bleiben in der Regel Metadaten in der Domäne „übrig“, die zu einem späteren Zeitpunkt „Ärger“  verursachen könnten. Damit dies nicht zum Problem wird, können die Systembetreuer eventuelle Installationsreste mit Hilfe der Powershell wieder entfernen.

Active Directory bereinigen
Diese Meldung muss mit „Yes“ bestätigt werden (Quelle: Windowsitpro).

Warum sollten Reste einer fehlgeschlagenen Heraufstufung entfernt werden? Bei der Antwort darauf sind zwei Eigenheiten ausschlaggebend. Zum einen werden zukünftige Versuche fehlschlagen, einen Server mit der identischen NetBIOS-Kennung (Hostname) als Domänencontroller (DC) hinzuzufügen. Zum anderen kann es vorkommen, dass sich auch keine anderen Server (selbst solche mit  abweichenden Hostnamen) mehr hinzufügen lassen.

Unter Umständen verhindern Synchronisierungsprobleme oder Fehler im Bereich der  einzelnen FSMO (Flexible Single Master Operations) Schemata dies. Doch mit Hilfe der Powershell lässt sich eine fehlgeschlagene Heraufstufung eines Servers wieder aus der Datenbank des ADs entfernen. Dazu sind folgende Schritte nötig, die Systembetreuer öffnen dazu eine Powershell-Instanz mit Administrativen Berechtigungen und starten den Säuberungsvorgang:

Ntdsutil
Metadata cleanup

Nun muss eine Verbindung zum AD aufgebaut werden. Daher geben die Systembetreuer den Servernamen eines Domänencontrollers der betreffenden Domäne an (beispielsweise „SRV-2016-DC“):

Connect to server <NetBIOS Name oder DNS-Name des DCs>
Q

Nun wird die jeweilige Funktion ausgewählt:

Select operation target
List domains
Select domain

Nun gilt es die entsprechende Domäne aus der Liste zu wählen und die betroffene Standorte (sites) zu selektieren:

<Domänennummer>
List sites
Select site <Nummer des Standorts>

Folglich wählen die Administratoren den betroffenen Server aus:

List servers in site
Select server <Nummer des Servers>

Danach nun wird das Tool mit der entsprechenden Eingabe (gefolgt von der Enter-Taste)  beendet:

Q
Remove selected server

Die folgende Warnmeldung müssen die Systembetreuer nun noch ignorieren und dies mit „Yes“ bestätigen. Nun sollte der Fehler entfernt sein, und sich der betreffende Server nicht mehr auf der „schwarzen Liste“ befinden.

Möchten die Administratoren  weitere Server auf „einem Rutsch“ entfernen, lässt sich dies nacheinander ausführen. Dabei ist es nicht nötig, den kompletten Vorgang erneut zu starten, sondern es genügt beim Schritt „select operation target“ anzusetzen, und die gewünschten Server zu wählen.

Florian Huttenloher / Karim Buzdar

Lesen Sie auch