Total de visualizações de página

quinta-feira, 24 de janeiro de 2013

Como Transferir as 5 FSMO (Mestres de Operações) para outro Controlador de Domínio.


Neste Tutorial irei apresentar um processo para Transferir os Mestres de Operações Via prompt de comando.

A quem se aplica:
O processo se aplica a Windows Server 2003 e Windows Server 2008 e 2008 R2

            Vejo muitas pessoas com dificuldades no Fórum Technet, percebi que muitos usuários sentem a necessidade de precisar transferir os mestres de operações para outros controladores de domínios, seja por problemas no DC Principal, seja para processo de migração do Windows Server 2003 para o Windows Server 2008, então resolvi criar um Post para ajudar e auxiliar nesse processo que é a transferência dos Mestes de Operações.

Temos 5 Mestres ou FSMO:

PDC = É responsável por tratar alterações de contas de usuários, “lockouts” de contas, relações de confianças com outros domínios e pelo sincronismo do relógio no domínio.

RID MASTER = Cada objeto deve possuir um identificador único, conhecido como SID. SID do objeto é construído usando o SID do domínio, mais um ID relativo (RID). Isto evita que dois objetos diferentes tenham o mesmo RID em todo o domínio.

Infrastructure Master = Essa que sua função é se assegurar que o “Display Name” de usuários pertencentes a um grupo sejam atualizados caso este atributo seja alterado. Ele é mais importante em ambientes que possuem vários domínios, pois vai assegurar que todos os grupos que um determinado usuário pertença irá refletir o “Display Name” correto.

Domain Naming Master = É a regra responsável por assegurar que o nome do Domínio é único na floresta e evita conflitos entre outros domínios.

Schema Master = O Schema é o coração do Active Directory. Ele é composto de objetos e atributos, que modelam o Active Directory. Como o esquema pode ser customizado e deve ser o mesmo em toda a floresta Windows, a regra “Schema Master” se encarrega de evitar conflitos entre os DCs.

Exemplo de uso do NTDSUTIL para migrar regras FSMO.

OBS: Entre com credenciais administrativas para o processo.

Entrar no Prompt e digitar:

c:>ntdsutil

ntdsutil: roles

fsmo maintenance: connections

server connections: connect to server seuservidor.local.br

Binding to seuservidor.dominio.com.br …

Connected to seuservidor.local.br using credentials of locally logged on user.

server connections: quit

Para transferir a ROLE PDC digite:

fsmo maintenance: transfer pdc

Para transferir a ROLE RID MASTER digite:

fsmo maintenance: transfer rid master

Para transferir a ROLE Infrastructure Master:

fsmo maintenance: Transfer infrastructure master

Para transferir a ROLE Domain Naming Master:

fsmo maintenance: (2003) Transfer domain naming master ou Transfer Naming Master (2008R2)

Para transferir a ROLE Schema Master:

fsmo maintenance: Transfer schema master

Após todo o processo de transferência, podemos verificar se realmente foram transferidos com o comando = netdom query fsmo

Esse comando irá nos mostrar onde se encontra os 5 mestres, mostra um por um.


 
Postado por às Nenhum comentário:

terça-feira, 15 de março de 2011

Como transferir funções FSMO de um controlador de domínio inacessível para outro controlador de domínio

Na vida de um consultor nos deparamos todos os dias com pessoas com os mais diversos tipos de skill e a única verdade que podemos tirar disso é: O que é óbvio para um é novidade ou é complicado para outro e se tratando de Active Directory, sempre temos alguma dica para quem está tendo problemas com um DC inacessível, então vamos lá:
Entender as FSMO roles e como e quando fazer a transferência das mesmas tem que ser bem entendido para que tudo funcione bem e rápido em caso de um desastre real ou em caso de uma simulação de DRP.
O que são as FSMO Roles, quais são elas e o que elas fazem:
Determinadas operações de domínio e de toda empresa que não são válidas para atualizações de diversos mestres são executadas por um único controlador de domínio em um domínio ou em uma floresta do Active Directory. Os controladores de domínio atribuídos para executar essas operações exclusivas são chamadas mestres de operações ou detentores de funções FSMO.
A seguinte lista descreve as 5 funções FSMO exclusivas em uma floresta do Active Directory e suas operações dependentes executáveis:
·         Mestre de esquema – A função do mestre de esquema abrange toda a floresta e existe um para cada floresta. Essa função é necessária para estender o esquema de uma floresta do Active Directory ou executar o comando adprep /forestprep.
·         Mestre de nomeação de domínio – A função do mestre de nomeação de domínio abrange toda a floresta e existe um para cada floresta. Essa função é necessária para adicionar ou remover partições de domínios ou de aplicativos ou para uma floresta.
·         Mestre RID – A função do mestre RID abrange todo o domínio e existe um para cada domínio. Essa função é necessária para alocar o pool RID de modo que os controladores de domínio novos ou existentes possam criar contas de usuário, contas de computador ou grupos de segurança.
·         Emulador PDC – A função emulador PDC abrange todo o domínio e existe um para cada domínio. Essa função é necessária para o controlador de domínio que envia atualizações de banco de dados para controladores de domínio de backup do Windows NT. O controlador de domínio que detém essa função também é alvo de determinadas ferramentas e atualizações administrativas para senhas de conta de usuário e conta de computador.
·         Mestre de infra-estrutura – A função do mestre de infra-estrutura abrange todo o domínio e existe uma para cada domínio. Essa função é necessária para que os controladores de domínio executem o comando adprep /domainprep com êxito e atualizem os atributos SID e atributos de nome distinto para objetos citados por domínios.
O Assistente para instalação do Active Directory (Dcpromo.exe) atribui todas as 5 funções FSMO ao primeiro controlador de domínio no domínio raiz da floresta. O primeiro controlador de domínio em cada domínio filho ou árvore novo recebe as três funções que abrangem todo domínio. Controladores de domínio continuam a possuir funções FSMO até que sejam reatribuídos usando um dos seguintes métodos:
·         Um administrador atribui novamente a função usando uma ferramenta administrativa GUI.
·         Um administrador atribui novamente a função usando o comando ntdsutil /roles.
·         Um administrador rebaixa normalmente um controlador de domínio detentor de função usando o Assistente para instalação do Active Directory. Esse assistente atribui novamente quaisquer funções mantidas localmente para um controlador de domínio existente na floresta. Rebaixamentos realizados usando o comando dcpromo /forceremoval deixam funções FSMO em um estado inválido até que sejam atribuídas novamente por um administrador.
O recomendado é que as roles sejam distribuidas entre os DCs do domínio, mas as vezes isso não ocorre e nos deparamos com 1 DC com todas as roles e outro sem nenhuma e como sempre Murphy dá aquela ajuda e o DC com todas as regras tem uma falha de Hardware. Os passos abaixo vão ajudá-lo a sair dessa situação:
1.    Faça o logon no controlador de domínio para o qual está atribuindo as funções FSMO. O usuário conectado deve ser um membro do grupo Administradores de empresa para transferir as funções de mestre de esquema ou mestre de nomeação de domínio, ou um membro do grupo Administradores de domínio do domínio no qual as funções emulador PDC, mestre RID e mestre de infra-estrutura estão sendo transferidas.
2.    Clique em Iniciar e em Executar, digite ntdsutil na caixa Abrir e clique em OK.
3.    Digite roles e pressione ENTER.
4.    Digite connections e pressione ENTER.
5.    Digite connect to server nome_do_servidor e pressione ENTER no qual, nome_do_servidor é o nome do controlador de domínio para o qual deseja atribuir a função FSMO.
6.    No prompt server connections , digite q e pressione ENTER.
7.    Digite seize função, no qual função é a função que deseja executar. Para obter uma lista de funções que podem ser executadas digite ? no prompt fsmo maintenance e pressione ENTER ou, consulte a lista de funções no início deste artigo. Por exemplo, para executar a função mestre RID, digite seize rid master. A única exceção é para a função emulador PDC do qual, a sintaxe é seize pdc e não seize pdc emulator.
Nesse caso de perda do DC com todas as funções iremos executar:
seize domain naming master
seize infrastructure master
seize PDC
seize Rid master
seize Schema Master
*Apos cada comando aparecerá uma tela pedindo a confirmação da transferência
8.    No prompt fsmo maintenance digite q e pressione ENTER para obter acesso ao prompt ntdsutil. Digite q e pressione ENTER para fechar o utilitário Ntdsutil.

Nota Importante n1:
Sempre em que for feito o seize das roles: Schema Master, Rid Master ou Domain Naming o DC original deve ser reinstalado do zero.

Nota Importante n2:
É necessário efetuar o procedimento descrito no artigo http://support.microsoft.com/kb/216498 para remover os dados do DC antigo do Active Directory.
Postado por às Nenhum comentário:

Como remover dados do Active Directory após o rebaixamento sem êxito do controlador de domínio.

Este artigo descreve como remover os dados do Active Directory após um rebaixamento sem êxito do controlador de domínio.
Aviso Se usar o snap-in ADSI Edit, o utilitário LDP ou outro cliente LDAP versão 3 e modificar incorretamente os atributos dos objetos do Active Directory, problemas sérios poderão ocorrer. Estes problemas podem exigir a reinstalação do Microsoft Windows 2000 Server, do Microsoft Windows Server 2003, do Microsoft Exchange 2000 Server, do Microsoft Exchange Server 2003 do Windows ou do Exchange. A Microsoft não garante que os problemas decorrentes da modificação incorreta dos atributos de objeto do Active Directory possam ser solucionados. A modificação destes atributos é de sua responsabilidade.

O Assistente para instalação do Active Directory (Dcpromo.exe) é usado para promover um servidor a controlador de domínio e rebaixar um controlador de domínio a um servidor membro (ou a um servidor autônomo em um grupo de trabalho, caso o controlador de domínio seja o último no domínio). Como parte do processo de rebaixamento, o assistente remove os dados de configuração do controlador de domínio do Active Directory. Estes dados pegam o formulário de um objeto de configurações NTDS, que existe como filho do objeto servidor nos Serviços e sites do Active Directory.

As informações estão no seguinte local do Active Directory:
CN=Configurações NTDS,CN=<nome_do_servidor>,CN=Servidores,CN=<nome_do_site>,CN=Sites,CN=Configuração,DC=<domínio>...
Os atributos dos objeto de configurações NTDS incluem dados que representam como o controlador de domínio é identificado com relação aos seus parceiros de duplicação, aos contextos de nomeação mantidos na máquina e se o controlador de domínio é um servidor de catálogo global , além da diretiva de consulta padrão. O objeto de configurações NTDS também é um contêiner que pode ter objetos filho representando os parceiros de duplicação diretos do controlador de domínio. Esses dados são necessários para que o controlador do domínio opere no ambiente, mas são retirados no rebaixamento.

Se o objeto de configurações NTDS não for removido corretamente (por exemplo, se o objeto de configurações NTDS não for removido corretamente em uma tentativa de rebaixamento), o administrador pode fazer com que o utilitário Ntdsutil.exe remova manualmente o objeto de configurações NTDS. As seguintes etapas listam o procedimento para remover o objeto de configurações NTDS do Active Directory para um determinado controlador de domínio. Em cada menu Ntdsutil, o administrador pode digitar ajuda para obter mais informações sobre as opções disponíveis.
Windows Server 2003 Service Pack 1 (SP1) – Versão avançada de Ntdsutil.exe
A versão de Ntdsutil.exe incluída no Service Pack 1 (SP1) para o Windows Server 2003 foi aprimorada para concluir o processo de limpeza dos metadados. O arquivo Ntdsutil.exe incluído no SP1 faz o seguinte quando a limpeza de metadados é executada:
  • Remove o assunto Configuração do NTDS ou NTDSA.
  • Remove os objetos da conexão AD de entrada que os controladores de domínio de destino existentes usam para replicar do controlador de domínio de origem que está sendo excluído.
  • Remove a conta de computador.
  • Remove o objeto membro FRS.
  • Remove objetos de assinante FRS.
  • Tenta executar as funções FSMO (flexible single master operations) no controlador de domínio que estejam sendo removidas.

    Atenção O administrador também deve verificar se a replicação ocorreu no rebaixamento antes de remover manualmente o objeto de configurações NTDS em qualquer servidor. Se você usar o utilitário Ntdsutil incorretamente, poderá ocorrer em perda parcial ou total da funcionalidade do Active Directory.
Procedimento 1: somente Windows Server 2003 SP1
1.     Clique em Iniciar, aponte para Programas, para Acessórios e clique em Prompt de comando.
2.     No prompt de comando, digite ntdsutil e pressione ENTER.
3.     Digite metadata cleanup e pressione ENTER. Com base nas opções fornecidas, o administrador pode realizar a remoção, mas os parâmetros de configuração adicional precisam ser especificados antes que ocorra a remoção.
4.     Digite connections e pressione ENTER. Este menu é usado para se conectar ao servidor específico em que ocorrerem as mudanças. Se o usuário conectado no momento não tiver permissões administrativas, podem ser fornecidas credenciais diferentes especificando quais deverão ser usadas antes de fazer a conexão. Para fazer isto, digite set creds Nome_de_domínio Nome_de_usuário Senha e pressione ENTER. Para uma senha nula, digite null no parâmetro de senha.
5.     Digite connect to server nome_do_servidor e pressione ENTER. A confirmação de que a conexão foi estabelecida com êxito será exibida. Se ocorrer um erro, verifique se o controlador de domínio usado na conexão está disponível e se as credenciais fornecidas têm permissões administrativas no servidor.

Observação Se você tentar se conectar ao mesmo servidor que deseja excluir, ao tentar excluir o servidor citado na etapa 15, a seguinte mensagem de erro poderá ser exibida:
Erro 2094. O objeto DSA não pode ser excluído0x2094
6.     Digite quit e pressione ENTER. O menu metadata cleanup aparece.
7.     Digite select operation target e pressione ENTER.
8.     Digite list domains e pressione ENTER. É exibida uma lista de domínios da floresta, cada uma com um número associado.
9.     Digite select domain número e pressione ENTER, no qual número é o número associado ao domínio do qual o servidor que você está removendo é membro. O domínio selecionado será usado para determinar se o servidor que está sendo removido é o último controlador de domínio desse domínio.
10.  Digite list sites e pressione ENTER. Uma lista de sites, cada um associado a um número, é exibida.
11.  Digite select site número e pressione ENTER, no qual número é o número associado ao domínio do qual o servidor que você está removendo é membro. Uma confirmação listando o site e o domínio escolhidos será exibida.
12.  Digite list servers in site e pressione ENTER. É exibida uma lista de servidores no site, cada qual com um número associado.
13.  Digite select server número, no qual número é o número associado ao servidor que deseja remover. Uma confirmação listando o servidor selecionado, o nome do seu host DNS e o local da conta de computador do servidor que deseja remover é exibida.
14.  Digite quit e pressione ENTER. O menu metadata cleanup aparece.
15.  Digite remove selected server e pressione ENTER. A confirmação de que a remoção foi concluída com êxito é exibida. Se a seguinte mensagem de erro for exibida, o objeto de configurações NTDS pode já ter sido removido do Active Directory, resultado da remoção do objeto de configurações NTDS por outro administrador ou pode ter havido a replicação da remoção do objeto após executar o utilitário DCPROMO.
Erro 8419 (0x20E3)
O objeto DSA não foi encontrado

Observação Também será possível ver esse erro ao tentar estabelecer uma ligação com o controle de domínio que será removido. O Ntdsutil precisa se ligar a um domínio diferente daquele que será removido com a limpeza de metadados.
16.  Digite quit e pressione ENTER em cada utilitário Ntdsutil do menu quit. A confirmação de que a conexão foi terminada com êxito é exibida.
17.  Remova o registro cname em _msdcs.domínio raiz da zona da floresta em DNS. Considerando que o controlador de domínio será reinstalado e depois promovido novamente, um novo objeto de configurações NTDS é criado com um novo GUID e um registro de cname correspondente em DNS. Não convém que os controladores de domínio existentes usem o registro de cname antigo.

A melhor prática é excluir o nome do host e outro registros DNS. Se o período de concessão que ficar no endereço DHCP designado para o servidor offline for excedido, então outro cliente poderá obter o endereço IP do controlador de domínio com problemas.
18.  No console DNS, use o DNS MMC para excluir o registro A do DNS. O registro A também é conhecido como o registro Host. Para excluir o registro A, clique com o botão direito do mouse no registro A e clique em Excluir. Remova o registro cname no contêiner _msdcs. Para fazer isto, expanda o contêiner _msdcs, clique com o botão direito do mouse em cname e clique em Excluir.

Importante Se o servidor for DNS, remova a referência a esse controlador de domínio na guia Servidores de nome. Para fazer isto, no console DNS, clique no nome de domínio em Zonas de pesquisa direta e remova o servidor da guia Name Servers.

Observação Remova também o servidor dessas zonas caso haja zonas de pesquisa inversa.
19.  Se o computador excluído foi o último controlador de domínio em um domínio filho, que também foi excluído, use ADSIEdit para excluir o objeto trustDomain para o filho. Para fazer isto, execute as seguintes etapas:
a.     Clique em Iniciar, em Executar, digite adsiedit.msc e clique em OK.
b.     Expanda o contêiner Domain NC.
c.     Expanda DC=Seu_domínio, DC=COM, PRI, LOCAL, NET.
d.     Expanda CN=Sistema.
e.     Clique com o botão direito do mouse no objeto Domínio confiável e clique em Remove.
20.  Use o Serviços e sites do Active Directory para remover o controlador de domínio. Para fazer isto, execute as seguintes etapas:
 .      Inicie o Serviços e sites do Active Directory.
a.     Expanda Sites.
b.     Expanda o site do servidor. O site padrão é Primeiro-Nome-Site-Padrão.
c.     Expanda Server.
d.     Clique com o botão direito do mouse no controlador de domínio e clique em Excluir.
Procedimento 2: Windows 2000 (Todas as versões) Windows Server 2003 RTM
1.     Clique em Iniciar, aponte para Programas, para Acessórios e clique em Prompt de comando.
2.     No prompt de comando, digite ntdsutil e pressione ENTER.
3.     Digite metadata cleanup e pressione ENTER. Com base nas opções fornecidas, o administrador pode realizar a remoção, mas os parâmetros de configuração adicional precisam ser especificados antes que ocorra a remoção.
4.     Digite connections e pressione ENTER. Este menu é usado para se conectar ao servidor específico em que ocorrerem as mudanças. Se o usuário conectado no momento não tiver permissões administrativas, podem ser fornecidas credenciais diferentes especificando quais deverão ser usadas antes de fazer a conexão. Para fazer isto, digite set creds Nome_de_domínio Nome_de_usuário Senha e pressione ENTER. Para uma senha nula, digite null no parâmetro de senha.
5.     Digite connect to server nome_do_servidor e pressione ENTER. A confirmação de que a conexão foi estabelecida com êxito será exibida. Se ocorrer um erro, verifique se o controlador de domínio usado na conexão está disponível e se as credenciais fornecidas têm permissões administrativas no servidor.

Observação Se você tentar se conectar ao mesmo servidor que deseja excluir, ao tentar excluir o servidor citado na etapa 15, a seguinte mensagem de erro poderá ser exibida:
Erro 2094. O objeto DSA não pode ser excluído0x2094
6.     Digite quit e pressione ENTER. O menu metadata cleanup aparece.
7.     Digite select operation target e pressione ENTER.
8.     Digite list domains e pressione ENTER. É exibida uma lista de domínios da floresta, cada uma com um número associado.
9.     Digite select domain número e pressione ENTER, no qual número é o número associado ao domínio do qual o servidor que você está removendo é membro. O domínio selecionado será usado para determinar se o servidor que está sendo removido é o último controlador de domínio desse domínio.
10.  Digite list sites e pressione ENTER. Uma lista de sites, cada qual associado a um número, é exibida.
11.  Digite select site número e pressione ENTER, no qual número é o número associado ao domínio do qual o servidor que você está removendo é membro. Uma confirmação listando o site e o domínio escolhidos será exibida.
12.  Digite list servers in site e pressione ENTER. É exibida uma lista de servidores no site, cada qual com um número associado.
13.  Digite select server número, no qual número é o número associado ao servidor que deseja remover. Uma confirmação listando o servidor selecionado, o nome do seu host DNS e o local da conta de computador do servidor que deseja remover é exibida.
14.  Digite quit e pressione ENTER. O menu metadata cleanup aparece.
15.  Digite remove selected server e pressione ENTER. A confirmação de que a remoção foi concluída com êxito é exibida. Se a seguinte mensagem de erro for exibida:
Erro 8419 (0x20E3)
O objeto DSA não foi encontrado
O objeto de configurações NTDS pode já ter sido removido do Active Directory, resultado da remoção do objeto de configurações NTDS por outro administrador ou pode ter havido a replicação da remoção do objeto após executar o utilitário Dcpromo.

Observação Também será possível ver esse erro ao tentar estabelecer uma ligação com o controle de domínio que será removido. O Ntdsutil precisa se ligar a um domínio diferente daquele que será removido com a limpeza de metadados.
16.  Digite quit em cada menu para fechar o utilitário Ntdsutil. A confirmação de que a conexão foi terminada com êxito é exibida.
17.  Remova o registro cname em _msdcs.domínio raiz da zona da floresta em DNS. Considerando que o controlador de domínio será reinstalado e depois promovido novamente, um novo objeto de configurações NTDS é criado com um novo GUID e um registro de cname correspondente em DNS. Não convém que os controladores existentes usem o registro de cname antigo.

A melhor prática é excluir o nome de host e outro registros DNS. Se o período de concessão que ficar no endereço DHCP designado para o servidor offline for excedido, então outro cliente poderá obter o endereço IP do controlador de domínio com problemas.
Agora que o objeto de configurações NTDS foi excluído, é possível excluir a conta do computador, o objeto membro FRS, o registro de cname (ou Alias) no contêiner _msdcs, o registro A (ou Host) no DNS, o objeto trustDomain de um domínio filho excluído e o controlador de domínio.

Observação Não é necessário remover o objeto membro FRS no Windows Server 2003 RTM, porque o utilitário Ntdsutil.exe já removeu o objeto membro FRS ao executar o utilitário. Além disso, os metadados da conta de computador não podem ser removidos se a conta de computador do controlador de domínio contiver outro objeto folha. Por exemplo, o RIS (Serviços de Instalação Remota) pode estar instalado no controlado de domínio.

O utilitário Adsiedit está incluso no recurso Ferramentas de suporte do Windows tanto do Windows 2000 Server quanto do Windows Server 2003. Para instalar as Ferramentas de suporte do Windows, execute as seguintes etapas:
  • Windows 2000 Server: no CD do Windows 2000 Server, abra a pasta Support\Tools, clique duas vezes em Setup.exe e execute as instruções que aparecem na tela.
  • Windows Server 2003: no CD do Windows Server 2003, abra a pasta Support\Tools, clique duas vezes em Suptools.msi, clique em Instalar e execute as etapas do Assistente para instalação das Ferramentas de suporte do Windows para concluir a instalação.
1.     Use ADSIEdit para excluir a conta de computador. Para fazer isto, execute as seguintes etapas:
a.     Clique em Iniciar, em Executar, digite adsiedit.msc na caixa Abrir e clique em OK.
b.     Expanda o contêiner Domain NC.
c.     Expanda DC=Nome_do_seu_domínio, DC=COM, PRI, LOCAL, NET.
d.     Expanda OU=Domain Controllers.
e.     Clique com o botão direito em CN=nome_do_controlador_de_domínio e clique em Excluir.
Caso a mensagem de erro "O objeto DSA não pode ser excluído" seja exibida ao tentar excluir o objeto, altere o valor UserAccountControl. Para alterar o valor UserAccountControl, clique com o botão direito do mouse no controlador de domínio em ADSIEdit e clique em Propriedades. Em Selecione uma propriedade para visualizar, clique em UserAccountControl. Clique em Limpar, altere o valor para 4096 e clique em Definir. Agora é possível excluir o objeto.

Observação O objeto de assinante FRS será excluído quando o objeto de computador for excluído, já que é um filho da conta de computador.
2.     Use ADSIEdit para excluir o objeto membro FRS. Para fazer isto, execute as seguintes etapas:
 .      Clique em Iniciar, em Executar, digite adsiedit.msc na caixa Abrir e clique em OK.
a.     Expanda o contêiner Domain NC.
b.     Expanda DC=Seu_domínio, DC=COM, PRI, LOCAL, NET.
c.     Expanda CN=Sistema.
d.     Expanda CN=Serviço de duplicação de arquivo.
e.     Expanda CN=Volume do sistema de domínio (compartilhamento SYSVOL).
f.      Clique com o botão direito do mouse no controlador de domínio que está removendo e clique em Excluir.
3.     No console DNS, use o DNS MMC para excluir o registro A do DNS. O registro A também é conhecido como o registro Host. Para excluir o registro A, clique com o botão direito do mouse no registro A e clique em Excluir. Além disso, exclua o registro cname (também conhecido como Alias) no contêiner _msdcs. Para fazer isso, expanda o contêiner _msdcs, clique com o botão direito do mouse em cname e clique em Excluir.

Importante Se o servidor for DNS, remova a referência a esse controlador de domínio na guia Name Servers. Para fazer isto, no console DNS, clique com o botão direito do mouse no nome de domínio em Zonas de pesquisa direta, clique em Propriedades e remova esse servidor da guia Name Servers.

Observação Remova também o servidor dessas zonas caso haja zonas de pesquisa inversa.
4.     Se o computador excluído foi o último controlador de domínio em um domínio filho, que também foi excluído, use ADSIEdit para excluir o objeto trustDomain para o filho. Para fazer isto, execute as seguintes etapas:
 .      Clique em Iniciar, em Executar, digite adsiedit.msc na caixa Abrir e clique em OK.
a.     Expanda o contêiner Domain NC.
b.     Expanda DC=Seu_domínio, DC=COM, PRI, LOCAL, NET.
c.     Expanda CN=Sistema.
d.     Clique com o botão direito do mouse no objeto Domínio confiável e clique em Remove.
5.     Use o Serviços e sites do Active Directory para remover o controlador de domínio. Para fazer isto, execute as seguintes etapas:
 .      Inicie o Serviços e sites do Active Directory.
a.     Expanda Sites.
b.     Expanda o site do servidor. O site padrão é Primeiro-Nome-Site-Padrão.
c.     Expanda Server.
d.     Clique com o botão direito do mouse no controlador de domínio e clique em Excluir.
Sintaxe opcional avançada com versão SP1 do Ntdsutil.exe
Windows Server 2003 SP1 introduziu uma nova sintaxe que pode ser utilizada. Ao usar a nova sintaxe, não é mais necessário se ligar ao DS e selecionar o alvo da operação. Para usar a nova sintaxe, é necessário conhecer ou obter o DN do objeto de configurações NTDS do servidor sendo rebaixado. Para usar a nova sintaxe para limpeza de metadados, execute as seguintes etapas:
1.     Execute o ntdsutil.
2.     Alterne para o prompt da limpeza de metadados.
3.     Execute o seguinte comando
remove selected server <DN do objeto de servidor no recipiente config>
Um exemplo deste comando seria:

Observação O comando consta de uma linha, mas foi quebrado para o exemplo.
Remova o servidor selecionado cn=nome do servidor,cn=servidores,cn=nome do site,cn=sites,cn=configuração,dc=<domínio_raiz_da_floresta>
4.     Remova o registro cname no domínio _msdcs.root da zona da floresta no DNS. Considerando que o controlador de domínio será reinstalado e depois promovido novamente, um novo objeto de configurações NTDS é criado com um novo GUID e um registro de cname correspondente em DNS. Não convém que os controladores de domínio existentes usem o registro de cname antigo.

A melhor prática é excluir o nome do host e outro registros DNS. Se o período de concessão que ficar no endereço DHCP designado para servidor offline for excedido, então outro cliente poderá obter o endereço IP do controlador de domínio com problemas.
5.     Se o computador excluído foi o último controlador de domínio em um domínio filho, que também foi excluído, use ADSIEdit para excluir o objeto trustDomain para o filho. Para fazer isto, execute as seguintes etapas:
a.     Clique em Iniciar, em Executar, digite adsiedit.msc e clique em OK.
b.     Expanda o contêiner Domain NC.
c.     Expanda DC=Nome_do_seu_domínio, DC=COM, PRI, LOCAL, NET.
d.     Expanda CN=Sistema.
e.     Clique com o botão direito do mouse no objeto Domínio confiável e clique em Remove.
6.     Use o Serviços e sites do Active Directory para remover o controlador de domínio. Para fazer isto, execute as seguintes etapas:
 .      Inicie o Serviços e sites do Active Directory.
a.     Expanda Sites.
b.     Expanda o site do servidor. O site padrão é Primeiro-Nome-Site-Padrão.
c.     Expanda Server.
d.     Clique com o botão direito do mouse no controlador de domínio e clique em Excluir.

Para obter mais informações sobre como forçar o rebaixamento de um controlador d...
Para obter mais informações sobre como forçar o rebaixamento de um controlador de domínio do Windows Server 2003 ou do Windows 2000, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft (a página pode estar em inglês):
332199  (http://support.microsoft.com/kb/332199/ ) Os controladores de domínio não são rebaixados corretamente ao usar o Assistente para instalação do Active Directory no Windows Server 2003 e no Windows 2000 Server
Determine o DN do servidor
Há diversas maneiras de obter o DN do objeto do servidor a ser removido. O exemplo a seguir usa o Ldp.exe. Para obter o DN usando o Ldp.exe, execute as seguintes etapas:
1.     Execute o LDP.
2.     Legue-se ao rootDSE.
3.     Selecione Exibir\árvore O DN base deve ser cn=configuração,dc=domínio raiz,dc=<sufixo>.
4.     Expanda Sites.
5.     Expanda o site onde o objeto do servidor está localizado.
6.     Expanda Servidores.
7.     Expanda o servidor sendo removido.
8.     Procure uma linha à direita iniciada com DN.
9.     Copie toda a linha excluindo o DN.

Exemplo de trecho da primeira parte do LDP: 
10. Expandindo base 'CN=DC1,CN=Servidores,CN=Nome-do-Primeiro-Site-Padrão,CN=Sites,CN=Configuração,DC=corp,DC=com'... Resultado <0>: (nulo) DNs correspondentes: Obtendo 1 entrada: >> Dn: CN=DC1,CN=Servidores,CN=Nome-do-Primeiro-Site-Padrão,CN=Sites,CN=Configuração,DC=corp,DC=com"
11. 
12. O que seria a sua cópia
13. 
"CN=DC1,CN=Servidores,CN=Nome-do-Primeiro-Site-Padrão,CN=Sites,CN=Configuração,DC=corp,DC=com"
Para obter mais informações, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft (a página pode estar em inglês):
887424  (http://support.microsoft.com/kb/887424/ ) Mensagem de erro "DsRemoveDsDomainW erro 0x2015" exibida ao usar o Ntdsutil para tentar remover metadados para um controlador de domínio removido da rede do Windows Server 2003
A informação contida neste artigo aplica-se a:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)

Postado por às Nenhum comentário:
Assinar: Postagens (Atom)