Rebaixar DC com problema do Active Directory via NTDSUTIL

Existem situações onde Controladores de Domínio apresentam problemas e precisam ser refeitos ou até mesmo casos onde por falta de conhecimento da equipe técnica, apenas desligam o DC sem realizar os devidos procedimentos necessários para despromover o servidor.

Isto com o decorrer do tempo afetará diretamente o funcionamento do seu domínio, pois ficarão resíduos dos antigos servidores e as FSMO’s começarão a falhar.

Falhas na replicação poderão acontecer e não será possível adicionar outro DC com o mesmo nome, pois ainda existirá registros apontados para ele.

Ao analisar o Event Viewer, um evento comum para este problema é o ID 2092 referente ao NTDSReplication e possui a seguinte descrição:

This server is the owner of the following FSMO role but does not consider it valid. For the partition which contains the FSMO this server has not replicated successfully with any of its partners since this server has been restarted. Replication errors are preventing validation of this role. Operations which require contacting a FSMO operation master will fail until this condition is corrected.

Leia mais:

Como Despromover domínio do Active Directory (Windows Server 2008 R2)
11 Comandos de rede que todo administrador Windows deveria utilizar
Migrando/Importando DHCP do Windows Server 2008 para 2012/2016/2019
Transferir FSMO’s para outro Domain Controller
Resolva o erro de autenticação CREDSSP via Regedit
Encontre o Host de uma VM Hyper-V via Powershell

Neste caso, se desejar criar outro DC com o mesmo nome ou apenas realizar a correção do ambiente, será necessário executar as três atividades abaixo:

  • Limpar os Metadados do Servidor
  • Remover o Objeto do Active Directory Sites and Service
  • Remover o Objeto do Active Directory Users and Computers
Metadata Cleanup using NTDSUTIL command

Lembrete

Utilizar o utilitário NTDSUTIL incorretamente poderá causar estragos irreversíveis em seu Active Directory, utilize com Cautela.

Limpeza de Metadata:

Abra o CMD.exe, digite Ntdsutil e pressione ENTER.

C:\WINDOWS>ntdsutil
ntdsutil:

No prompt do Ntdsutil, digite metadata cleanup e pressione ENTER.

ntdsutil: metadata cleanup
metadata cleanup:

No prompt do metadata cleanup, digite connections e pressione ENTER.

metadata cleanup: connections
server connections:

No prompt do server connections, digite connect to server <servername>, onde <servername> é qualquer Domain Controller funcional do seu ambiente que esteja no mesmo domínio do servidor que será despromovido e pressione ENTER.

server connections: connect to server server100
Binding to server100 ...
Connected to server100 using credentials of locally logged on user.
server connections:

Digite quit e pressione Enter para retornar ao prompt do metadata cleanup.

server connections: quit
metadata cleanup:

Digite select operation target e pressione Enter.

metadata cleanup: Select operation target
select operation target:

Digite list domains e pressione Enter. Este comando lista todos os Domínios da floresta com um index associado para referência.

select operation target: list domains
Found 1 domain(s)
0 - DC=dpetri,DC=net
select operation target:

Digite select domain <number>, onde <number> é o número do index correspondente ao domínio onde o servidor com problema está associado e pressione Enter.

select operation target: Select domain 0
No current site
Domain - DC=dpetri,DC=net
No current server
No current Naming Context
select operation target:

Digite list sites e pressione Enter.

select operation target: List sites
Found 1 site(s)
0 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=dpetri,DC=net
select operation target:

Digite select site <number>, onde <number> é o número do index correspondente ao site onde o servidor com problema está associado e pressione Enter.

select operation target: Select site 0
Site - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=dpetri,DC=net
Domain - DC=dpetri,DC=net
No current server
No current Naming Context
select operation target:

Digite list servers in site e pressione Enter.

select operation target: List servers in site
Found 2 server(s)
0 - CN=SERVER200,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=dpetri,DC=net
1 - CN=SERVER100,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=dpetri,DC=net
select operation target:

Digite select server <number>, onde <number> é o número do index correspondente ao controlador de domínio com problema e pressione Enter.

select operation target: Select server 0
Site - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=dpetri,DC=net
Domain - DC=dpetri,DC=net
Server - CN=SERVER200,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=dpetri,DC=net
 DSA object - CN=NTDS Settings,CN=SERVER200,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=dpetri,DC=net
 DNS host name - server200.dpetri.net
 Computer object - CN=SERVER200,OU=Domain Controllers,DC=dpetri,DC=net
No current Naming Context
select operation target:

Digite quit e pressione Enter. O menu do Metadata Cleanup será exibido.

select operation target: quit
metadata cleanup:

Digite remove selected server e pressione Enter.

ATENÇÃO:

Você receberá uma mensagem de alerta. Leia com Cuidado e se você concordar, pressione Yes.

metadata cleanup: Remove selected server
"CN=SERVER200,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=dpetri,DC=net" removed from server "server100"
metadata cleanup:

Neste ponto, o Active Directory confirmará se o o Domain Controller com problema foi removido com sucesso.

Se você receber um erro de que o objeto não pode ser encontrado, significa que o AD já removeu o servidor do domínio.

Digite quit e pressione Enter até voltar para seu prompt de comando.

Limpeza do Active Directory Sites and Services:

Abra o Active Directory Sites and Services e expanda o Site onde o DC com problema era membro e delete todos os objetos relacionados a ele.

Limpeza do Active Directory Users and Computers:

Abra o Active Directory Users and Computers e expanda a OU de Domain Controllers. Caso ainda exista o objeto referente ao DC com problema, delete-o.

Remover sujeiras no DNS:

Abra o gerenciador de DNS e expanda toda as zonas relacionadas ao seu domínio onde estava o DC com problema e comece a remover todas e quaisquer referências a ele existentes, sejam elas por IP ou por nome.

Detalhes importantes:

  • Se o DC com problema for um GC (Global Catalog), avalie se os servidores de aplicativos que apontavam para o antigo DC devem ser apontados para um novo Global Catalog ativo.
  • Se o DC com problema possuir as roles de FSMO (Flexible Single Master Operation), transfira-os para um Domain Controller Ativo.
  • Se o DC com problema for um servidor DNS, atualize a configuração DNS dos servidores e o escopo do DHCP para refletir a remoção do Servidor DNS nas estações de trabalho.
  • Se o DC com problema for um servidor DNS, valide as configurações de Forwarder e Delegação nos servidores de Nome ativos que possam ter apontamentos para o servidor despromovido.

Acompanhe as novidades em tempo real. Siga nosso perfil no Instagram..

Felipe Santos
Felipe Santos é Arquiteto de Cloud e Segurança, com vivência em Administração de Ambientes Windows Server, Cluster, Storages, Backups Veeam e Office 365.
pt_BRPortuguese

ATÉ 90% DE DESCONTO

DECOLE SUA CARREIRA!!

Quer dar um upgrade na sua carreira? 

Invista em você e saia na frente! Conquiste aquele emprego dos sonhos em 2022!