none
Eliminar Subdominio Server 2008 R2 RRS feed

  • Pregunta

  • Hola, alguien tiene una guía sobre la eliminación de un subdominio existente y funcional?. No hay demasiada información sobre éste proceso. En la infraestructura tenemos 2 controladores del dominio principal y 1 del subdominio (el que se quiere eliminar). Saludos y gracias.

    .Net, VB6, Java Professional Programer. Windows server 2008 Admin & Security Chief


    • Editado jlaf1983 martes, 18 de septiembre de 2018 12:42
    martes, 18 de septiembre de 2018 12:41

Respuestas

  • Si, es como entendí, quieres quitar sólo el subdominio, otra cosa no se podría hacer :)

    No puedes quitar el Dominio raíz si hay subdominios

    La opción de indicar que es el último Controlador de Dominio se debe marcar sólo cuando se despromueve el segundo, para que desaparezca el subdominio

    Con esta opción debe desaparecer en el Dominio raíz toda referencia al subdominio

    Algo importante, entre cada operación asegúrate que se replique el cambio antes de comenzar con el paso siguiente, y no olvides que cuando sacas un servidor de Dominio a Grupo de Trabajo debes conocer la contraseña del Administrador local

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Marcado como respuesta jlaf1983 martes, 18 de septiembre de 2018 16:57
    martes, 18 de septiembre de 2018 15:22
    Moderador

Todas las respuestas

  • Se puede y es sencillo

    Primero sacar todas las máquinas clientes y servidores no DCs que estén en ese Dominio

    Y luego siendo W2008, ejecutar DCPROMO en el primero, para quitarle la funcionalidad, y luego sacarlo de ese Dominio a Grupo de Trabajo

    Finalmente, ejecutar el mismo DCPROMO en el segundo, la diferencia con el procedimiento anterior que en este tienes que marcar la opción que dice algo así como que es el últmo Controlador de Dominio del Dominio y que el mismo desaparecerá

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    martes, 18 de septiembre de 2018 13:27
    Moderador
  • Hola Guillermo, antes que nada gracias por tu tiempo. En total son 3 servidores 2 (principales del dominio raíz) y 1 del subdominio (el que se quiere eliminar). No quiero eliminar el dominio principal. Solo el subdominio. Si elimino con DCPROMO el subdominio y le marco la opción "ultimo controlador de dominio" eliminaría el subdomio completo o tendría problemas con el dominio  raiz? 

    .Net, VB6, Java Professional Programer. Windows server 2008 Admin & Security Chief

    • Marcado como respuesta jlaf1983 martes, 18 de septiembre de 2018 16:57
    • Desmarcado como respuesta jlaf1983 martes, 18 de septiembre de 2018 16:57
    martes, 18 de septiembre de 2018 13:44
  • Si, es como entendí, quieres quitar sólo el subdominio, otra cosa no se podría hacer :)

    No puedes quitar el Dominio raíz si hay subdominios

    La opción de indicar que es el último Controlador de Dominio se debe marcar sólo cuando se despromueve el segundo, para que desaparezca el subdominio

    Con esta opción debe desaparecer en el Dominio raíz toda referencia al subdominio

    Algo importante, entre cada operación asegúrate que se replique el cambio antes de comenzar con el paso siguiente, y no olvides que cuando sacas un servidor de Dominio a Grupo de Trabajo debes conocer la contraseña del Administrador local

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Marcado como respuesta jlaf1983 martes, 18 de septiembre de 2018 16:57
    martes, 18 de septiembre de 2018 15:22
    Moderador
  • Si, la idea es quitar solo el subdominio. Por eso no entendí por que lo de despromocionar uno y luego el otro. O sea, en concreto, tengo que despromocionar el servidor del subdominio solamente?

    .Net, VB6, Java Professional Programer. Windows server 2008 Admin & Security Chief

    martes, 18 de septiembre de 2018 15:45
  • Perdón que tienes razón, me confundí yo

    Si hay un único Controlador de Dominio en el subdominio, sólo a ese hay que despromoverlo y marcarle la opción de que es el último

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    martes, 18 de septiembre de 2018 16:43
    Moderador
  • Excelente. Muchas gracias por tu ayuda!. Lo intentaré ahora. Saludos

    .Net, VB6, Java Professional Programer. Windows server 2008 Admin & Security Chief

    martes, 18 de septiembre de 2018 16:56
  • Hola Guillermo, he intentado esto pero el proceso de eliminación no llegó a completarse (indicaba un error de acceso denegado aunque estaba efectuando la degradación con la cuenta que mayores privilegios tiene en el bosque)  y ahora el servidor quedo inaccesible y sigue existiendo el subdominio en los controladores principales del dominio. Tienes idea como puedo eliminar lo que quedó del subdominio?.

    .Net, VB6, Java Professional Programer. Windows server 2008 Admin & Security Chief

    jueves, 4 de octubre de 2018 17:13
  • Sólo espero que la despromoción la hayas hecho en Controlador de Dominio del subdominio, porque de otra forma estarás en problemas graves

    Quizás el error se produjo porque no estaban replicando correctamente hacía tiempo y se habían cambiado la contraseñas de la relación de confianza

    Así que no queda más remedio que quitar el subdominio a mano

    Primeramente asegurarse que en el Dominio raíz no queden rastros del Controlador de Dominio y subdominio, estos enlaces aunque no son para tu caso pueden ayudarte

    Eliminar un Controlador de Dominio Que Ya No Existe (Fácil) | WindowServer
    https://windowserver.wordpress.com/2012/06/02/eliminar-un-controlador-de-dominio-que-ya-no-existe-fcil/

    How to remove data in Active Directory after an unsuccessful domain controller demotion
    https://support.microsoft.com/en-us/help/216498/how-to-remove-data-in-active-directory-after-an-unsuccessful-domain-co

    Y sobre cómo quitar cuando el dominio ya no existe usa este

    How to remove orphaned domains from Active Directory
    https://support.microsoft.com/en-us/help/230306/how-to-remove-orphaned-domains-from-active-directory

    Al "viejo" controlador de dominio hay que reinstalarlo desde cero

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    jueves, 4 de octubre de 2018 19:29
    Moderador
  • Hola, si, lo he hecho en el dc del subdominio. He visto esos enlaces pero son para 2003. Sabes si funcionarán en 2008?

    Nota: RDP ya no funciona, lo extraño es que con psexec puedo conectarme y abrir un shell (aunque con algunos errores)

    Ya me he fijado en los usuarios y equipos de AD y el DC del subdominio ya no aparece. Si aparece en sitios y servicios de AD.

    Ya he intentado lo de NTDSUTIL pero el servidor es inaccesible ahora asi que no es posible conectarse mediante connect to server.


    .Net, VB6, Java Professional Programer. Windows server 2008 Admin & Security Chief

    jueves, 4 de octubre de 2018 19:41
  • Hola, si, lo he hecho en el dc del subdominio. He visto esos enlaces pero son para 2003. Sabes si funcionarán en 2008?

    Nota: RDP ya no funciona, lo extraño es que con psexec puedo conectarme y abrir un shell (aunque con algunos errores)

    Ya me he fijado en los usuarios y equipos de AD y el DC del subdominio ya no aparece. Si aparece en sitios y servicios de AD.

    Ya he intentado lo de NTDSUTIL pero el servidor es inaccesible ahora asi que no es posible conectarse mediante connect to server.


    .Net, VB6, Java Professional Programer. Windows server 2008 Admin & Security Chief

    est es el error que da cuando intento utilizar el connect to server en NTDSUTIL

    DsBindWithSpnExW error 0x80090350(El sistema detectó un posible intento para poner en peligro la seguridad. Asegúrese de que se puede poner en contacto con el servidor que le autenticó.)


    .Net, VB6, Java Professional Programer. Windows server 2008 Admin & Security Chief

    jueves, 4 de octubre de 2018 19:44
  • Respondo los dos anteriores en este

    Me preguntas por los de W2003, primero prueba con los más nuevos que son los más fáciles, si no se soluciona entonces va a haber que hacerlo a lo difícil como era en W2003

    Es normal que siempre quede, tal como está en mi nota en Sitios y Servicios ... De ahí hay que borrarlo a mano, lo mismo que si hubieran Site-Links u objetos conexión

    Con respecto al tema del NTDSUTIL, primero hazlo con la cuenta de Administrador original del Dominio, de esa forma es seguro que pertenece a todos los grupos necesarios

    Y luego el error más común cuando se hace la operación que necesitas, cuando ejecutas el CONNECT TO SERVER ... recuerda que te debes conectar al Controlador de Dominio existente, nunca te podrás conectar a uno que ya no está :)

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    jueves, 4 de octubre de 2018 21:31
    Moderador
  • Hola Guillermo, sigo con estos problemas, te comento, he intentado con el ntdsutil y al querer hacer el remove me dice 

    metadata cleanup: remove selected domain
    DsRemoveDsDomainW error 0x2162(No se puede eliminar el dominio solicitado porque existen controladores de dominio que aún hospedan a este dominio.)

    El problema es que no me deja entrar con ADSI porque me devuelve el error 0x202b. El servidor ha devuelto una referencia

    Alguna idea como puedo proceder?. Llego varios días con estos errores.


    .Net, VB6, Java Professional Programer. Windows server 2008 Admin & Security Chief

    martes, 9 de octubre de 2018 13:43
  • Entonces, es que no se ha borrado primero la cuenta del DC que ya no existe

    Desde el menú Connections tienes la opción de listado para poder ver cuál es el que debes eliminar primero, para luego borrar el subdominio

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    martes, 9 de octubre de 2018 15:53
    Moderador
  • si lo he intentado pero me da esto

    metadata cleanup: remove selected server
    Transferir o asumir roles de FSMO del servidor seleccionado.
    No se puede determinar el propietario de FRS para el rol PDC.
    No se puede determinar el propietario de FRS para el rol Rid Master.
    No se puede determinar el propietario de FRS para el rol Infrastructure Master.
    DsRemoveDsServerW error 0x5(Acceso denegado.)

    la cuenta que estoy usando es la de mayores privilegios en el bosque.


    .Net, VB6, Java Professional Programer. Windows server 2008 Admin & Security Chief

    martes, 9 de octubre de 2018 16:05
  • No, antes de remover tienes los LIST para ver si está o no el DC, recién después se puede remover el Dominio

    Para los FSMO roles, que puede ser algo totalmente diferente, porque hay dos que son por Bosque y tres por Dominio, se usa NETDOM QUERYFSMO

    Y la cuenta tiene que ser un Enterprise Admin, no alcanza con Domain Admin

    Y ya no me quedan más ideas, deberás ir probando cada una de las opciones anteriores y si dan error ir tratando de solucionar cada uno

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.


    martes, 9 de octubre de 2018 21:50
    Moderador