در توسینسو تدریس کنید

و

با دانش خود درآمد کسب کنید

حذف کامل Domain Controller های از مدار خارج شده

به عنوان یک مدیر شبکه حتما برای شما هم پیش آمده است که یکی از دامین کنترلر های شما دچار مشکل شده و دیگر نمی توان آن را به مدار کار برگرداند و در این حین شبکه شما هم قطعا دچار مشکلاتی خواهد شد . دلیل این اتفاق می تواند بروز مشکلات سخت افزاری بر روی سرور دامین کنترلر و یا انجام شدن عملیات dcpromo بصورت ناموفق و بسیاری دیگر از مشکلات باشد که در نهایت باعث ایجاد اختلال در ساختار اکتیو دایرکتوری شما خواهد شد . اما چگونه می توان از دست این مشکلات خلاص شد و دامین کنترلری که دچار اختلال شده است را از مدار شبکه خارج کرد ؟ همین مشکلات باعث می شود که شما نتوانید دامین کنترلر جدیدی به مجموعه اضافه کنید و بسیاری دیگر از مشکلات که ممکن است در ساختار اکتیودایرکتوری شما بوجود بیاید .

Seize کردن FSMO  ها

خوب در اینگونه موارد دو کار می توان انجام داد ، اولین قسمت حذف اطلاعات مربوط به دامین کنترلر از بین رفته از پایگاه داده اصلی اکتیودایرکتوری مستقر بر روی سرور فعال است و دیگری نیز انتقال FSMO ها یا نقش های دامین کنترلر از سرور دچار مشکل شده به سرور فعال در مجموعه است . لازم به ذکر است که این مقاله در خصوص حذف دامین کنترلرهایی است که دیگر نمی توان از طریق معمول یعنی با وارد کردن مجدد دستور dcrpomo آنها را از مدار خارج کرد ، کاربرد دارد و در وقاع حالت بد قضیه را مد نظر دارد .

قسمت اول حذف اطلاعات مربوط به دامین کنترلر از بین رفته یا به اصطلاح Metadata از دامین کنترلر اصلی

به دامین کنترلرهایی که به این شکل از مدار خارج می شوند Ghost یا روح هم گفته می شود ، البته این اصطلاح چندان باب نیست و من خودم اینگونه دامین کنترلر های غیر فعال را به عنوان Zombie در شبکه عنوان می کنم ، همانطور که می دانید اطلاعات اکتیودایرکتوری با همدیگر یکسان سازی می شوند ، در ساختار اکتیودایرکتوری اطلاعات مربوط به دامین کنترلر ها در دایرکتوری SYSVOL و در ساختار DNS و همچنین در ساختار و تنظیمات Site ها و دامین کنترلر ها قرار میگیرد ، برخی از این اطلاعات را می توان بصورت دستی و برخی را نیز می توان بصورت خودکار توسط دستوراتی که در ادامه عنوان می کنیم حذف کنیم ، به این اطلاعات همانطوری که اشاره شده metadata گفته می شود ، برای از بین بردن این اطلاعات ابتدا عملیاتی را بصورت دستی انجام می دهیم و سپس با استفاده از دستور پرکاربرد NTDSUTIL اطلاعات مربوط به metadata را کاملا از این ساختار حذف می کنیم . خوب ابتدا ببینیم که چگونه اطلاعات مربوط به دامین کنترلر zombie را بصورت دستی حذف کنیم :

  1. بر روی دامین کنترلر اصلی که در حال فعالیت است به کنسول Active Directory Users and Computers بروید.
  2. به OU ای که در آن دامین کنترلر های مجموعه قرار دارند بروید که معمولا Domain Controllers نام دارد .
  3. بر روی دامین کنترلری که zombie شده است راست کلیک کنید و Delete را بزنید.
  4. از شما سئوال می شود که Are you sure you want to delete the computer named SDC ? گزینه Yes را انتخاب کنید .
  5. گزینه This Domain Controller is permanently offline and can no longer be demoted using the Active Directory Domain Services Installation Wizard (DCPROMO) را انتخاب کنید و سپس Delete را بزنید .
  6. اگر این دامین کنترلر Global Catalog بوده است و یا FSMO ای بر روی آن قرار گرفته بوده است با پیغام هایی که داده می شود موافقت کرده تا آنها را منتقل کند ، البته اگر بتواند .
  7. در مرحله بعدی به سراغ کنسول Active Directory Sites and Services می رویم ، در این کنسول شما دامین کنترلر هایی را مشاهده خواهید کرد که با همدیگر اطلاعات را Replicate می کرده اند ، در اینجا به دنبال Computer Account ای باشید که دامین کنترلر از مدار خارج شده را نمایش می دهد و بر روی آن راست کلیک کرده و Delete را بزنید ، گزینه This Domain Controller is permanently offline and can no longer be demoted using the Active Directory Domain Services Installation Wizard (DCPROMO) را انتخاب کنید و سپس Delete را بزنید .
  8. کنسول DNS سرور را باز کنید و در دامین مورد نظر در قسمت Name Server رکورد مربوط به دامین کنترلر Offline را انتخاب و حذف کنید . به نظر من کلیه زیرشاخه های این دامین را نیز جستجو و کلیه رکوردهایی که به آن دامین کنترلر از بین رفته اشاره می کنند را حذف کنید .

در اینجا کار ما با کنسول های گرافیکی تمام شده است و به سراغ مرحله ای می رویم که با استفاده از دستورات خط فرمان اطلاعات مربوط به Metadata و همچنین انتقال FSMO ها را با آنها انجام می دهیم ، اینکار با استفاده از یک ابزار خط فرمان به نام NTDSUTIL انجام می شود که بصورت مرحله به مرحله استفاده از این دستور در پایین توضیح داده شده است :

  1. Cmd را بر روی دامین کنترلر فعال باز کنید
  2. دستور ntdsutil را وارد کنید
  3. metadata cleanup را وارد کنید و Enter را بزنید
  4. connections را وارد کنید و سپس Enter را بزنید
  5. <connect to server < ServerName را وارد کنید و به جای ServerName نام دامین کنترلر فعالی که در مجموعه قرار دارد را وارد کنید.
  6. quit را وارد کنید و Enter را بزنید .
  7. select operation target را وارد کنید و enter را بزنید .
  8. list sites را وارد کنید و Enter را بزنید
  9. <#> select site را وارد کنید که در اینجا <#> نام سایتی است که سرور آفلاین در آن قرار گرفته است .
  10. list servers in site را وارد کرده و enter را بزنید
  11. <#> select server را وارد کرده که در اینجا <#> نام سرور آفلاین یا مشکل دار ما می باشد
  12. list domains را وارد کنید و enter را بزنید
  13. <#> select domain را وارد کنید که در اینجا <#> دامینی است که سرور آفلاین در آن قرار دارد.
  14. quit را بزنید و شما در اینجا بایستی به قسمت منوی metadata بازگردید.
  15. remove selected server را وارد کنید ، یک پیغام باز می شود ، مطمئن شوید که سرور درست را انتخاب کرده اید.
  16. Yes را کلیک کنید.

خوب نوبت به انتقال FSMO ها یا Operation Masters یا Fizmo ها یا هر چیزی که شما اسمش را می گذارید می رسد ، این مشکل بیشتر زمانی ایجاد خواهد شد که شما برخی از این Role ها را در زمان های گذشته به دامین کنترلری که در حال حاضر دچار مشکل شده است منتقل کرده باشید در این حالت شما دیگر قادر نخواهید بود Role ها را بصورت گرافیکی از سرور خراب شده به سرور سالم منتقل کنید و به ناچار بایستی از دستورات خط فرمان و به ویژه دستور NTDS استفاده کنید ، به اینکار در اصطلاح Seize کردن Role های FSMO گفته می شود ، به مراحل زیر دقت کنید :

  1. وارد cmd شوید
  2. دستور ntdsutil را وارد کنید
  3. role را تایپ کنید و enter را بزنید
  4. connections را تایپ کنید و enter را بزنید
  5. در قسمت < connect to servername <serverName به جای <serverName> نام سرور فعال خود را وارد کنید.
  6. q را تایپ کنید و enter را بزنید.
  7. در اینجا دستور <seize <FSMOroleName را وارد می کنیم که <FSMOroleName> نام Role ای است که بایستی منتقل شود.
  8. با زدن هر کدام از این Role ها بایستی گزینه Yes را انتخاب کنیم تا Role مورد نظر Seize شود .

نکته : role هایی که شما می توانید آنها را seize کنید به شرح زیر می باشد :

Seize naming master
Seize PDC
Seize RID master
Seize infrastructure master
Seize Schema Master

در اینجا عملیات ما بصورت کامل انجام شده است و دامین کنترلر مورد نظر بصورت کامل از ساختار دامین و forest ما حذف شده است ، در صورتیکه اطلاعات خاصی در خصوص FSMO Role های می خواهید داشته باشید میتوانید به قسمت مطالب مرتبط در پایین همین مقاله مراجعه کنید ، برای درک بهتر موضوع این مقاله تمامی موارد دستوری بالا را بصورت مثالی در محیط واقعی در پایین مشاهده می کنید :

انجام عملیات Seize در اکتیو دایرکتوری

Microsoft Windows [Version 5.2.3790]
(C) Copyright 1985-2003 Microsoft Corp.
C:\WINDOWS>ntdsutil
ntdsutil:
ntdsutil:roles
fsmo maintenance:
fsmo maintenance: connections
server connections:
server connections: connect to servername pdc
Connected to pdc using credentials of locally logged on user.
server connections:
server connections: q
fsmo maintenance:
Seize domain naming master
Seize PDC
Seize RID master
Seize schema master

نویسنده : محمد نصیری

منبع : جزیره سرویس های شبکه وب سایت مایکروسافت

هرگونه نشر و کپی برداری بدون ذکر منبع دارای اشکال اخلاقی می باشد

#حذف_دامین_کنترلر #پاك_كردن_دومين_كنترلر_پشتيبان #حذف_DC_مشکل_دار
29 نظر
حامد زاهد

سلام خسته نباشید استاد نصیری.

استاد من تازه دارم MCITP یاد میگیرم-الان یه سوال دارم.

چون 2تا سرور روی vmware نصب کردم server 1 سرور اصلی هستش server2 تکنیک ها رو روش انجام میدم.

من روی سرور 2 یک dc راه انداختم.وقتی که dc راه میفته join میشه به سرور اصلی الان می خوام این dcرو پاک کنم child domain راه بندازم روی سرور 2

ولی نمیدونم چطور این dc رو پاک کنم -هرچی میرم تو active directory پاکش میکنم بازم میبینم سرور 2 تحت دامین هستش.

ممنون میشم راهنمایی کنید چطور میتونم به راحتی از شر این dc خلاص بشم؟ممنون استاد

محمد نصیری

همونطوری که DCPROMO باعث ایجاد Domain Controller میشه در مرحله دوم باعث حذف DC میشه ، یکبار دیگه Dcpromo بزنید ویزارد رو ببرید جلو و DC شما از مدار بصورت خودکار و استاندارد خارج میشه.

حامد زاهد

استاد ببخشید من انجام دادم finish شد ولی بعد ریستارت دوباره تحت دامین بالا اومد

وب سایت توسینسو

هنوز server-2 تحت دامین هستش و اکتیو دایرکتوریش پاک نشده

وب سایت توسینسو

بعد همونطور که تویه شکل میبینید نمیزاره از join خارجش کنم

محمد نصیری

شما که هنوز اسمی رو برای این قسمت وارد نکردید که OK فعال بشه خوب یه چیزی وارد کنید تو این قسمت خالی ببینید درست میشه یا نه.

حامد زاهد

درسته استاد نصیری اصلا حواسم نبود-بعد از این کار Ad هم به راحتی پاک شد-ممنون

majid_quds

با سلام خدمت آقای نصیری

من یه مشکل دارم داخل سرور active directory

من چند تا child دارم که همگی تو یک سایت هستند

یکی از این child ها از مدار خارج شده یعنی دیگه اصلا سرورش وجود نداره

من الان هر روشی رو انجام دادم نتونستم از سرور اصلی پاکس کنم

و این موضوع برام مشکل درست کرده

خواهشمندم راهنمایی بفرمایید

با تشکر

صادق شعبانی

مهندس جان مرسی از این مقاله کار راه انداز ، فقط تو قسمت metadata ، شماره 15 به من ارور داد

1

نمی دونم چرا ؟تمام مراحل قبلش رو بدون مشکل جلو رفتم جز اون قسمت

ممنون میشم راهنمائیم کنید.

محمد نصیری

ظاهرا شما سروری رو انتخاب کردید که روش هستید الان ...

سامان رضائی

با سلام خدمت استاد نصیری

می خواستم بدونم ادیشنال سرور 2012 رو هم می تونیم با این روش پاک کنیم؟؟؟

محمد نصیری

بله در سرور 2012 هم با این روش میشه هم از طریق گرافیکی هم انجام میشه.

سامان رضائی

سلام دوباره خدمت استاد نصیری

طبق آموزش شما و سوال قبلی مبنی برا اینکه این روش در ویندوز 2012r2 انجام می شه

پیشرفتم تا به مرحله انتخاب سرور آفلاین یا مشکل دار رسیدم :

وب سایت توسینسو

اما متاسفانه سرور در لیست وجود نداره ممنون می شم راهنمایی فرمایید

محمد نصیری

خوب اگر وجود نداره بهتر ، شما باید دستی مواردی مثل رکوردهای DNS رو حذف کنید و اکانت مشکل دار رو هم به همین ترتیب حذف کنید تا مشکلی پیش نیاد

سامان رضائی

این کارها رو طبق فرمایشات شما انجام دادم

چطور می تونم از حذف کامل ادیشنال مشکل دار مطمئن بشم و برای اضافه کردن ادیشنال جدید اقدام کنم؟؟؟

محمد نصیری

دستور Repadmin /syncall و dcdiag رو بزنید و خروجیش نباید خطا داشته باشیه همین.

Mosioano

عاشقتم Unity .

محمدرضا یوسفی

سلام

با فرض اینکه دو دامین کنترلر 2003 و 2012 داشته و سرور 2012 ما zombie شده باشد.

با روشهای ترکیبی گرافیکی و غیر گرافیکی و seize کردن ، بالاخره 5 رول اصلی رو به dc 2003 منتقل کنیم.

ولی از دستور metadata استفاده نکنیم و دامین 2012 را حذف نکنیم چه مشکلی پیش میاد ؟

محمد نصیری

اگر طبق روال تمامی متادیتا رو بصورت دستی هم حذف کنید مشکلی نخواهد بود.

محمدرضا یوسفی

درسته منظورم این بود حذف نکنیم ولی تمام رولها منتقل شده باشند چه اتفاقی میفته ؟

محمد نصیری

اگر مشکل دار هست باید حذف بشه ! اگر به راحتی منتقل شده و Replication داره که پس مشکل کجاست اصلا ؟

محمدرضا یوسفی

سلام

یک دامین کنترلر 2003 و یک دامین کنترلر 2016 در شبکه وجود داشت. که تمام رولها روی سرور 2016 بودند.

سرور 2016 به هر دلیل از دامنه خارج شد.

تمام رولها را از طریق دستورات seize به 2003 منتقل کردم.

همچنین متادیتاهای دامین قبلی را به صورت گرافیکی از Active Directory users and computers و Active Directory Sites and Service و کل زیر شاخه های DNS حدف کردم و مشکلی وجود نداره.

فقط یک مشکل هست که وقتی سیستم ریست میشه بعضی از متادیتاها در زیرشاخه های DNS دامین کنترلر خارج شده برمیگردن !! اسم دامین کنترل خارج شده SV-DC بود که بعدا ادیشنال SV-DC2 جایگزین شد .

وب سایت توسینسو

محمد نصیری

اینکه بر میگرده رو باید یا روی تنظیمات IP و DNS کارت شبکه بررسی کنید یا NS Record های مربوط به DC معدوم رو حذف کنید و هیچ اثری ازش باقی نمونه !! اگر درست اینکار رو انجام بدید نمیاره ، پیشنهاد می کنم بعد از پاکسازی حتما از CCleaner استفاده کنید و سیستم رو تمیز تمیز کنید و DNS رو خود IP سرور به تنهایی قرار بدید و بعد Reboot کنید.

این نظر توسط UNITY در تاریخ شنبه, 24 تیر 1396 حذف شده است.

دلیل: لطفا در قالب سئوال جدید مطرح کنید

prober

سلام جناب مهندس نصیری . ممنون مفید بود. من بعد از حذف additional domain controller ، دستور repadmin /syncall رو اجرا کردم که بدون خطا بود و بعد دستور dcdiag رو اجرا کردم که همه پارامترها passed شدن به جز یکی مربوط به FSR که failed شد. پیام خطا به شرح زیر هست:

Starting Test: DFSREvent
There are warning or error events within the last 24 hours after the SYSVOL has been shared. Failing SYSVOL replication problems may cause Group Policy problems.

محمد نصیری

این خطا نیست الزاما هشدار یا اطلاعیه هم می تونه باشه ، ممکنه این خطا صرفا در همون لحظه صادر شده باشه ، اجازه بدید همیشه چند روز سرویس فعال باشه و بعد گزارش بگیرید ، این از نظر من خطای چندان مهمی نیست و برای تست می تونید یک کاربر بسازید و Replicate کنید و Sync شدن رو تست کنید.

master7218

سلام وقت بخیر

تو مجموعه شبکه کلا یک سرور 2008r2 بوده که هم سرور مالی است و AD روش نصب بوده است بنا به دلایلی میخواستن AD حذف کنند ظاهرا به درستی حذف نشده و الان هم سرور مالی برای کاربران به در دسترس نیست (User authenticate) نمیشه

چه قدر احتمال داره اطلاعات سرور مالی از بین بره یا ویندوز مجدد بوت نشه

برای حذف کامل AD مراحل بالا جواب میده؟ هیچ سرور AD دیگری هم وجود ندارد

محمد نصیری

سلام ، وقت به خیر ، این مراحل اصلی ترین موارد حذف DC معدوم از مدار هستند اما یه سری موارد دیگه هست ، لطفا در قالب ارسال سوال مطرح کنید که بتونیم بهتر راهنمایی کنیم .

میلاد امامی

سلام استاد من dc ای که offline بود رو delete کردم و fsmo ها با موفقیت انتقال پیدا کرد لازمه تو ntdsutil دستوراتی که گفتید رو اجرا کنم؟ چون وقتی دستور connect to server رو میزنم خطا میده

dsbindwithspnex error 0x6ba the rpc server is unavailable

وب سایت توسینسو

محمد نصیری

اسم سرور شما چرا تو علامت <> قرار گرفته ؟

htteam

سلام وقت بخیر ممنون بابت راهنمای عالیتون همه کارا رو کردم ولی این رکورد های قدیمی اضافه همچنان هست پاک هم که میکنم دوباره برمیگرده

نظر شما
برای ارسال نظر باید وارد شوید.
از سرتاسر توسینسو
تنظیمات حریم خصوصی
تائید صرفنظر
×

تو می تونی بهترین نتیجه رو تضمینی با بهترین های ایران بدست بیاری ، پس مقایسه کن و بعد خرید کن : فقط توی جشنواره تابستانه می تونی امروز ارزونتر از فردا خرید کنی ....