Windows Server 2016 – Rimuovere Domain Controller orfano

Volendo parafrasare il titolo del famoso film Mamma ho perso l’aereo interpretato da Macaulay Culkin, potremmo dire Mamma ho perso il Domain Controller. Ma nel nostro film, dove noi interpretiamo la parte dei genitori che si affannano nella ricerca del figlio, il finale potrebbe non avere un lieto fine. Infatti, potrebbe succedere che dopo aver perso un Domain Controller il dominio non funzioni più correttamente.

L’uscita di Windows Server 2016 porterà sicuramente ad un incremento di migrazioni. In particolare di migrazioni da ambienti Windows Server 2003.

Download datasheet Windows Server 2016
Download copia di valutazione Windows Server 2016

Lo scopo di questo articolo è quello di raggruppare alcuni argomenti già trattati e di dare delle line guida su come operare in caso di perdita di un Domain Controller.

Descrizione infrastruttura
L’articolo si basa su un dominio in ambiente Microsoft Windows Server 2016 Datacenter Edition. Il dominio è formato da due Domain Controller (DC-01 e DC-02). Tutte le attività saranno svolte sull’unico Domain Controller funzionante (DC-02).

Dominio: testerlab.local

Domain Controller 2016
Nome Computer: DC-01
IPv4: 192.168.0.236
Subnet Mask: 255.255.255.0
Gateway: 192.168.0.1
DNS: 192.168.0.236/237

Domain Controller 2016
Nome Computer: DC-02
IPv4: 192.168.0.237
Subnet Mask: 255.255.255.0
Gateway: 192.168.0.1
DNS: 192.168.0.237/236

Alla fine di una migrazione tra livelli di foresta/dominio (es. 2003 > 2012, 2003 > 2016) o comunque, come nel nostro esempio, aggiungendo un ulteriore Domain Controller al dominio, la replica potrebbe non essere stata completata. In questa situazione, la perdita del Domain Controller con le repliche complete aggiungerebbe un ulteriore livello di criticità.

Verifiche preliminari

  • Verificare i ruoli FSMO
  • Verificare la presenza delle share di sistema  SYSVOL e NETLOGON
  • Verificare lo stato delle repliche
  • Verificare i record DNS
  • Verificare le risorse Active Directory ( Siti e servizi di Active Directory, Utenti e computer di Active Directory )

Verifica ruoli FSMO
Aprire un Prompt DOS ed eseguire netdom query fsmo. Come si può vedere dalla successiva screen tutti i ruoli FSMO erano attivi su DC-01 che è spento.
nettdom_query_fsmo-01

Verifica share di sistema
Aprire un Prompt DOS ed eseguire net share. Come si può vedere dalla successiva screen le share di sistema SYSVOL e NETLOGON sono presenti. Attenzione: se le due share non sono presenti significa che c’è un problema di replica. Le due share non vanno create a mano…
net_share

Verifica repliche
Aprire un Prompt DOS ed eseguire repadmin /showrepl. Per una verifica più puntuale, come ad esempio su un server specifico, dovremo aggiungere degli ulteriori parametri.
Di seguito sono riportati due esempi di esecuzione del comando repadmin. Il primo esempio evidenzia che le repliche tra i due Domain Controller sono funzionanti (il test, ovviamente, è stato eseguito prima dello spegnimento di DC-01) Il secondo esempio evidenzia che le repliche non sono più in funzione in quanto DC-01 è spento.

repadmin-01

Replica attiva

repadmin-02

Replica interrotta

Verifica DNS
Accedere allo snap-in Gestione DNS e verificare la presenza dei record necessari al funzionamento dell’infrastruttura. Questa verifica è particolarmente utile se siamo in una fase di migrazione.
Nel nostro esempio sono presenti tutti i record DNS per DC-01 e DC-02.
dns_old

Verifica Active Directory
Attraverso gli Snap-in Siti e servizi di Active Directory ed Utenti e computer di Active Directory possiamo verificare la presenza delle risorse.
site_old

Attività di normalizzazione

  • Seize  FSMO rule
  • Matadata Clenaup
  • DNS Clenaup
  • Active Directory Clenaup

Seize  FSMO rule
A questo punto abbiamo tutti gli elementi per poter decidere quale è la strada migliore da seguire. Se i ruoli FSMO sono in carico ad un Domain Controller attivo non è necessario effettuare questa attività. Se invece i ruoli FSMO erano in carico al Domain Controller spento dobbiamo eseguire il seize dei ruoli in quanto non è possibile effettuarne il trasferimento.

Aprire un Prompt DOS, eseguire ntdsutil proseguendo con i comandi riportati nelle seguenti screen.
ntdsutil-01

Il “?” visualizza la lista dei comandi disponibili
ntdsutil-02

ntdsutil-03b
ntdsutil-04b
ntdsutil-05b
ntdsutil-06b
ntdsutil-07b
ntdsutil-08

Matadata Clenaup
Ntdsutil è utilizzato anche in questa delicata fase di pulizia dei metadati di Active Directory. Questa è la fase in cui verranno cancellati i riferimenti del Domain Controller spento. Aprire un Prompt DOS, eseguire ntdsutil proseguendo con i comandi riportati nelle seguenti screen.
ntdsutil-10a
ntdsutil-10c

DNS Clenaup
Il servizio DNS fa parte integrante dell’infrastruttura di dominio ed è necessario eliminare ogni riferimento del vecchio Domain Controller. Come si può vedere dalla successiva screen sono presenti i record di riferimento di DC-01 e DC-02. Ricordarsi di eliminare i riferimenti dei server dei nomi
dns_old
dns-zone

Active Directory Clenaup
Questa fase è invece dedicata alla rimozione degli eventuali dati presenti nelle Snap-in Siti e servizi di Active Directory ed Utenti e computer di Active Directory. In particolare, dopo la pulizia dei record DNS, i riferimenti saranno presenti in Siti e servizi di Active Directory.
post-01
post-02

Dopo aver effettuato tutte le opportune modifiche per ripristinare le funzionalità ottimali del dominio consiglio un riavvio, una verifica del registro eventi e la presenza delle share di sistema. Se nel dominio esistono ulteriori Domain Controller, consiglio di verificare che le repliche siano attive e funzionanti.

Potrebbero interessarti
Ntdsutil
Repadmin
Windows Server 2012 – Metadati Active Directory 1
Windows Server 2012 – Metadati Active Directory 2
Windows Server 2003 migrazione a Windows Server 2012

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *