none
Despromover AD Secundário RRS feed

  • Pergunta

  • Bom dia!

    Hoje no meu parque tenho o AD principal, um AD secundário que apresenta erro, e fiz um novo AD para replicar o principal.

    eu preciso excluir o AD secundário. mas tenho receio de remover o principal, pois ao entrar no AD problemático e ir em remoção ele apresenta apenas esta mensagem.  

    Se eu prosseguir vou apenas remover o secundário?

    Utilizo o Windows server 2012 R2

    Obrigado.


    terça-feira, 18 de agosto de 2020 14:32

Respostas

  • Olá,

    O erro mostra que o usuário que foi usado para despromover, não tem permissões suficientes ou está com usuário ou senha incorreta.

    Tente com o usuário Administrador


    Olá, Obrigada por participar da Comunidade TechNet. Paulo Costa ____________________________________________________________________________ Por favor lembre-se de "Marcar como resposta" as respostas que solucionaram seu problema, é uma forma comum de reconhecer aquelas pessoas que te ajudaram, e faz com que seja mais fácil para os outros visitantes encontrar a solução depois. Microsoft oferece esse serviço de forma gratuita, com a finalidade de ajudar os usuários e ampliar a base de dados de conhecimentos relacionados com os produtos e tecnologias de Microsoft. Este conteúdo é proporcionado "tal qual" e não implica nenhuma responsabilidade por parte de Microsoft


    quarta-feira, 19 de agosto de 2020 11:56
  • Prezado @Diego Charliston, tudo bem!

    Segue abaixo de forma bem didática e simples.

    [Abaixo deixo vídeos de configuração completo e na prática, e muita teoria]

    • https://www.youtube.com/watch?v=_8OdeSOKyvQ&list=PLDwiunGcJY_3WOwmcyQRbRan_AJERte98

    A promoção e despromoção de Domain Controllers (DC´s), é algo para área de infra normal, mas quando estas ações começam apresentar uma série de problemas e por diversos motivos falham, é o grande momento do especialista entender os caminhos que deve percorrer para resolver os problemas.

    Obs: Quando isso acontece com subdomínio, árvores isso pode agravar muito mais, e ser necessário outros métodos de intervenção.

    O processo de promoção e despromoção que antes era via comando DCPROMO, hoje é realizado via Server Manager, até de certa forma simples, e sua limpeza é automática no AD (base de dados e binários).

    Mas quando um servidor de controlador de domínio está crashed e ainda existe em uma configuração de diretório ativo (chaves no banco de dados do AD – ntds.dit), ele pode causar problemas, desta forma é crucial para a saúde de todo o ambiente sua despromoção via metadata (limpeza mais profunda), que requer maiores cuidados de quem está executando.

    Quando você tenta remover um controlador de domínio do domínio do Active Directory usando Dcpromo.exe e falha, ou quando você começou a promover um servidor membro para ser um controlador de domínio e falhou, você ficará com restos do objeto DC’s no Active Directory. Como falado mais acima, uma parte de um processo de rebaixamento bem-sucedido, o assistente Dcpromo remove os dados de configuração do controlador de domínio do Active Directory, mas e agora? uma tentativa que está com problema. Acredite irá ficar uma série de objetos e lixos no lugar.

    Ponto de Atenção: Os efeitos de deixar tais restos dentro do Active Directory podem variar, mas uma coisa é certa: sempre que você tentar reinstalar o servidor com o mesmo nome de computador e tentar promovê-lo para se tornar um Controlador de Domínio, você falhará porque o processo Dcpromo ainda encontrará o objeto antigo e, portanto, se recusará a recriar os objetos para o novo servidor antigo.

    No caso de o objeto Configurações NTDS não ser removido corretamente, você deverá usar o utilitário Ntdsutil.exe para remover manualmente o objeto Configurações NTDS.

    Se você atribuir um novo nome ao novo controlador de domínio, será necessário executar todos os quatros procedimentos abaixo:

    • Limpar metadados;
    • Remover o objeto de servidor com falha do site;
    • Remover o objeto de computador do contêiner de controladores de domínio;
    • Limpar no Dns;

    Ferramentas necessárias:

    Você precisará da seguinte ferramenta: Ntdsutil.exe, Serviços e Sites do Active Directory, Usuários e Computadores do Active Directory + Dns.

    Este guia foi escrito para ajudá-lo a limpar sua configuração de forma completa.

    Procedimento de Remoção de DC´s em um Domínio:

    Para efetuar a limpeza dos metadados, utiliza-se a ferramenta “NTDSUTIL”, esta ferramenta ao ser executada com sucesso, realiza as seguintes remoções:

    1. Remove Configuração do NTDS ou NTDSA;
    2. Remove objetos de conexões de entrada do AD que existiam no Domain Controllers de destino, usados para replicar do DC de origem que foi deletado;
    3. Remove a conta de computador;
    4. Remove o objeto membro FRS;
    5. Remove objetos de assinante FRS;
    6. Tenta executar as funções FSMO (flexible single master operations) no controlador de domínio que estejam sendo removidas;
    7. Para remover as entradas órfãs, siga o seguinte procedimento:
    8. Inicie o prompt de comando (CMD.EXE);
    9. Digite ntdsutil e pressione ENTER;
    10. Digite metadata cleanup e pressione ENTER;

    Digite connections e pressione ENTER (Este menu é usado para se conectar ao servidor específico no qual ocorrerem as mudanças. Se o usuário conectado no momento não tiver permissões administrativas, podem ser fornecidas credenciais diferentes especificando quais deverão ser usadas antes de fazer a conexão. Para fazer isso, digite define NomedoDomínioNomedoUsuárioSenha e pressione ENTER. Para uma senha em branco, digite null no parâmetro de senha);

    Digite connect to server nomedoservidor e pressione ENTER.  A confirmação de que a conexão foi estabelecida com êxito será exibida. Se ocorrer um erro, verifique se o controlador de domínio usado na conexão está disponível e se as credenciais fornecidas têm permissões administrativas no servidor;

    Digite quit e pressione ENTER. O menu metadata cleanup irá aparecer;

    Digite select operation target e pressione ENTER;

    Digite list domains e pressione ENTER. É exibida uma lista de domínios na floresta, cada uma com um número associado;

    Digite select domain número e pressione ENTER. E Número é o número associado ao domínio do qual o servidor membro está sendo removido. O domínio selecionado será usado para determinar se o servidor que está sendo removido é o último controlador de domínio desse domínio;

    Digite list sites e pressione ENTER. Uma lista de sites, cada um associado a um número, é exibida;

    Digite select site número e pressione ENTER. Número é o número associado ao site do qual o servidor membro está sendo removido. Uma confirmação listando o site e o domínio escolhidos será exibida;

    Digite list servers in site e pressione ENTER. É exibida uma lista de servidores no site, cada qual com um número associado;

    Digite select server número e pressione ENTER. Número é o número associado ao servidor que deseja remover. Uma confirmação listando o servidor selecionado, o nome do seu host DNS e o local da conta de computador do servidor que deseja remover é exibida;

    Digite quit e pressione ENTER. O menu metadata cleanup irá aparecer;

    Digite remove selected server e pressione ENTER. A confirmação de que a remoção foi concluída com êxito é exibida;

    Digite quit e pressione ENTER;

    Remova o registro cname e A no domínio raíz _msdcs.da zona da floresta no DNS;

    Caso necessário use o Serviços e sites do Active Directory para remover o controlador de domínio. Para fazer isto, execute as seguintes etapas:

    1. Inicie o Serviços e sites do Active Directory;
    2. Expanda Sites;
    3. Expanda o site do servidor. O site padrão é Primeiro-Nome-Site-Padrão;
    4. Expanda Server;
    5. Clique com o botão direito do mouse no controlador de domínio e clique em Excluir.

    [Abaixo deixo Artigo Completo]

    https://fabiofol.wordpress.com/2018/10/20/artigo-technet-wiki-metadata-cleanup-com-sucesso/

    Abcs FOL!

    • Sugerido como Resposta FÁBIOFOL quinta-feira, 27 de agosto de 2020 16:48
    • Marcado como Resposta Diego Charliston quinta-feira, 17 de setembro de 2020 02:00
    quinta-feira, 27 de agosto de 2020 16:48

Todas as Respostas

  • Olá

    Primeiro verifique em qual servidor está as FSMO

    Comando

    netdom query fsmo

    Se o mesmo estiver com todas as funções no servidor Primário, você pode despromover o secundário sem problemas

    Esse link vai lhe auxiliar de como proceder.

    https://docs.microsoft.com/pt-br/windows-server/identity/ad-ds/deploy/demoting-domain-controllers-and-domains--level-200-


    Olá, Obrigada por participar da Comunidade TechNet. Paulo Costa ____________________________________________________________________________ Por favor lembre-se de "Marcar como resposta" as respostas que solucionaram seu problema, é uma forma comum de reconhecer aquelas pessoas que te ajudaram, e faz com que seja mais fácil para os outros visitantes encontrar a solução depois. Microsoft oferece esse serviço de forma gratuita, com a finalidade de ajudar os usuários e ampliar a base de dados de conhecimentos relacionados com os produtos e tecnologias de Microsoft. Este conteúdo é proporcionado "tal qual" e não implica nenhuma responsabilidade por parte de Microsoft

    terça-feira, 18 de agosto de 2020 15:33
  • Verificando a documentação que você me enviou eu vi que no meu não apresenta esta opção.

    de last domain controller

    terça-feira, 18 de agosto de 2020 17:02
  • Executei o comando e todos estão apontando para o AD primário. 
    terça-feira, 18 de agosto de 2020 17:03
  • Olá,

    Mostra a opção Force the removal of this domain controller?

    A opção Last domain controller, ela mostra quando o servidor é o ultimo controlador de dominio.

    O Gerenciador do Servidor informará se o atual controlador de domínio for o último no domínio. Marque a caixa de seleção Último controlador de domínio no domínio para confirmar que o controlador de domínio é o último controlador de domínio no domínio.


    Olá, Obrigada por participar da Comunidade TechNet. Paulo Costa ____________________________________________________________________________ Por favor lembre-se de "Marcar como resposta" as respostas que solucionaram seu problema, é uma forma comum de reconhecer aquelas pessoas que te ajudaram, e faz com que seja mais fácil para os outros visitantes encontrar a solução depois. Microsoft oferece esse serviço de forma gratuita, com a finalidade de ajudar os usuários e ampliar a base de dados de conhecimentos relacionados com os produtos e tecnologias de Microsoft. Este conteúdo é proporcionado "tal qual" e não implica nenhuma responsabilidade por parte de Microsoft

    terça-feira, 18 de agosto de 2020 17:25
  • O meu aparece Force the removal of this domian controller

    terça-feira, 18 de agosto de 2020 17:58
  • Diego,

    Essa é a opção que deve apresentar mesmo.


    Olá, Obrigada por participar da Comunidade TechNet. Paulo Costa ____________________________________________________________________________ Por favor lembre-se de "Marcar como resposta" as respostas que solucionaram seu problema, é uma forma comum de reconhecer aquelas pessoas que te ajudaram, e faz com que seja mais fácil para os outros visitantes encontrar a solução depois. Microsoft oferece esse serviço de forma gratuita, com a finalidade de ajudar os usuários e ampliar a base de dados de conhecimentos relacionados com os produtos e tecnologias de Microsoft. Este conteúdo é proporcionado "tal qual" e não implica nenhuma responsabilidade por parte de Microsoft

    terça-feira, 18 de agosto de 2020 18:32
  • Bom dia!

    Tentei realizar o processo mas apresenta o seguinte erro

    quarta-feira, 19 de agosto de 2020 10:04
  • Olá,

    O erro mostra que o usuário que foi usado para despromover, não tem permissões suficientes ou está com usuário ou senha incorreta.

    Tente com o usuário Administrador


    Olá, Obrigada por participar da Comunidade TechNet. Paulo Costa ____________________________________________________________________________ Por favor lembre-se de "Marcar como resposta" as respostas que solucionaram seu problema, é uma forma comum de reconhecer aquelas pessoas que te ajudaram, e faz com que seja mais fácil para os outros visitantes encontrar a solução depois. Microsoft oferece esse serviço de forma gratuita, com a finalidade de ajudar os usuários e ampliar a base de dados de conhecimentos relacionados com os produtos e tecnologias de Microsoft. Este conteúdo é proporcionado "tal qual" e não implica nenhuma responsabilidade por parte de Microsoft


    quarta-feira, 19 de agosto de 2020 11:56
  • Prezado @Diego Charliston, tudo bem!

    Segue abaixo de forma bem didática e simples.

    [Abaixo deixo vídeos de configuração completo e na prática, e muita teoria]

    • https://www.youtube.com/watch?v=_8OdeSOKyvQ&list=PLDwiunGcJY_3WOwmcyQRbRan_AJERte98

    A promoção e despromoção de Domain Controllers (DC´s), é algo para área de infra normal, mas quando estas ações começam apresentar uma série de problemas e por diversos motivos falham, é o grande momento do especialista entender os caminhos que deve percorrer para resolver os problemas.

    Obs: Quando isso acontece com subdomínio, árvores isso pode agravar muito mais, e ser necessário outros métodos de intervenção.

    O processo de promoção e despromoção que antes era via comando DCPROMO, hoje é realizado via Server Manager, até de certa forma simples, e sua limpeza é automática no AD (base de dados e binários).

    Mas quando um servidor de controlador de domínio está crashed e ainda existe em uma configuração de diretório ativo (chaves no banco de dados do AD – ntds.dit), ele pode causar problemas, desta forma é crucial para a saúde de todo o ambiente sua despromoção via metadata (limpeza mais profunda), que requer maiores cuidados de quem está executando.

    Quando você tenta remover um controlador de domínio do domínio do Active Directory usando Dcpromo.exe e falha, ou quando você começou a promover um servidor membro para ser um controlador de domínio e falhou, você ficará com restos do objeto DC’s no Active Directory. Como falado mais acima, uma parte de um processo de rebaixamento bem-sucedido, o assistente Dcpromo remove os dados de configuração do controlador de domínio do Active Directory, mas e agora? uma tentativa que está com problema. Acredite irá ficar uma série de objetos e lixos no lugar.

    Ponto de Atenção: Os efeitos de deixar tais restos dentro do Active Directory podem variar, mas uma coisa é certa: sempre que você tentar reinstalar o servidor com o mesmo nome de computador e tentar promovê-lo para se tornar um Controlador de Domínio, você falhará porque o processo Dcpromo ainda encontrará o objeto antigo e, portanto, se recusará a recriar os objetos para o novo servidor antigo.

    No caso de o objeto Configurações NTDS não ser removido corretamente, você deverá usar o utilitário Ntdsutil.exe para remover manualmente o objeto Configurações NTDS.

    Se você atribuir um novo nome ao novo controlador de domínio, será necessário executar todos os quatros procedimentos abaixo:

    • Limpar metadados;
    • Remover o objeto de servidor com falha do site;
    • Remover o objeto de computador do contêiner de controladores de domínio;
    • Limpar no Dns;

    Ferramentas necessárias:

    Você precisará da seguinte ferramenta: Ntdsutil.exe, Serviços e Sites do Active Directory, Usuários e Computadores do Active Directory + Dns.

    Este guia foi escrito para ajudá-lo a limpar sua configuração de forma completa.

    Procedimento de Remoção de DC´s em um Domínio:

    Para efetuar a limpeza dos metadados, utiliza-se a ferramenta “NTDSUTIL”, esta ferramenta ao ser executada com sucesso, realiza as seguintes remoções:

    1. Remove Configuração do NTDS ou NTDSA;
    2. Remove objetos de conexões de entrada do AD que existiam no Domain Controllers de destino, usados para replicar do DC de origem que foi deletado;
    3. Remove a conta de computador;
    4. Remove o objeto membro FRS;
    5. Remove objetos de assinante FRS;
    6. Tenta executar as funções FSMO (flexible single master operations) no controlador de domínio que estejam sendo removidas;
    7. Para remover as entradas órfãs, siga o seguinte procedimento:
    8. Inicie o prompt de comando (CMD.EXE);
    9. Digite ntdsutil e pressione ENTER;
    10. Digite metadata cleanup e pressione ENTER;

    Digite connections e pressione ENTER (Este menu é usado para se conectar ao servidor específico no qual ocorrerem as mudanças. Se o usuário conectado no momento não tiver permissões administrativas, podem ser fornecidas credenciais diferentes especificando quais deverão ser usadas antes de fazer a conexão. Para fazer isso, digite define NomedoDomínioNomedoUsuárioSenha e pressione ENTER. Para uma senha em branco, digite null no parâmetro de senha);

    Digite connect to server nomedoservidor e pressione ENTER.  A confirmação de que a conexão foi estabelecida com êxito será exibida. Se ocorrer um erro, verifique se o controlador de domínio usado na conexão está disponível e se as credenciais fornecidas têm permissões administrativas no servidor;

    Digite quit e pressione ENTER. O menu metadata cleanup irá aparecer;

    Digite select operation target e pressione ENTER;

    Digite list domains e pressione ENTER. É exibida uma lista de domínios na floresta, cada uma com um número associado;

    Digite select domain número e pressione ENTER. E Número é o número associado ao domínio do qual o servidor membro está sendo removido. O domínio selecionado será usado para determinar se o servidor que está sendo removido é o último controlador de domínio desse domínio;

    Digite list sites e pressione ENTER. Uma lista de sites, cada um associado a um número, é exibida;

    Digite select site número e pressione ENTER. Número é o número associado ao site do qual o servidor membro está sendo removido. Uma confirmação listando o site e o domínio escolhidos será exibida;

    Digite list servers in site e pressione ENTER. É exibida uma lista de servidores no site, cada qual com um número associado;

    Digite select server número e pressione ENTER. Número é o número associado ao servidor que deseja remover. Uma confirmação listando o servidor selecionado, o nome do seu host DNS e o local da conta de computador do servidor que deseja remover é exibida;

    Digite quit e pressione ENTER. O menu metadata cleanup irá aparecer;

    Digite remove selected server e pressione ENTER. A confirmação de que a remoção foi concluída com êxito é exibida;

    Digite quit e pressione ENTER;

    Remova o registro cname e A no domínio raíz _msdcs.da zona da floresta no DNS;

    Caso necessário use o Serviços e sites do Active Directory para remover o controlador de domínio. Para fazer isto, execute as seguintes etapas:

    1. Inicie o Serviços e sites do Active Directory;
    2. Expanda Sites;
    3. Expanda o site do servidor. O site padrão é Primeiro-Nome-Site-Padrão;
    4. Expanda Server;
    5. Clique com o botão direito do mouse no controlador de domínio e clique em Excluir.

    [Abaixo deixo Artigo Completo]

    https://fabiofol.wordpress.com/2018/10/20/artigo-technet-wiki-metadata-cleanup-com-sucesso/

    Abcs FOL!

    • Sugerido como Resposta FÁBIOFOL quinta-feira, 27 de agosto de 2020 16:48
    • Marcado como Resposta Diego Charliston quinta-feira, 17 de setembro de 2020 02:00
    quinta-feira, 27 de agosto de 2020 16:48