Verwaisten Domänencontroller manuell entfernen

Kategorie: Windows Server
Veröffentlicht am: 6. Juli 2021
Verwaisten Domänencontroller manuell entfernen

In einigen Fällen kann es vorkommen, dass ein Domänencontroller unwiderruflich defekt ist. In den meisten Fällen ist es dann nicht sinnvoll den DC aus einem Backup wiederherzustellen. Sind weitere Domänencontroller in der Umgebung vorhanden, ist man gut beraten den defekten Domänencontroller manuell aus dem Active Directory zu entfernen. In dieser Anleitung zeige ich euch, wie ihr einen verwaisten Domänencontroller manuell entfernen könnt.

Entfernen der Metadaten aus der AD Datenbank:

Im ersten Schritt sollten die Metadaten des defekten DCs aus der Active Directory Datenbank entfernt werden. Dazu öffnet ihr zunächst auf einem verbleibenden DC die Windows Kommandozeile mit Administratorrechten.

Anschließend öffnet ihr ntdsutil.exe – Ein Befehlszeilenprogramm, mit welchem die Active Directory Datenbank angepasst werden kann.

Nachdem das Programm gestartet wurde, ändert sich der Commandprompt in ntdsutil. Hier könnt ihr nun die internen Befehle des Programms nutzen.

Als erstes gebt ihr metadata cleanup ein und bestätigt mit Enter. Nun seid ihr im Bereich für die Metadaten-Bereinigung.

Anschließend verbindet ihr euch zu einem verbleibenden und funktionierenden Domänencontroller:

metadata cleanup: connections
server connections: connect to server Server01
server connections: quit

In meinem Beispiel ist der noch funktionierende DC „Server01“ und der defekte DC „Server02“. Nachdem die Verbindung zum DC hergestellt wurde, wird der Verbindungsbereich mit quit verlassen. Ihr befindet euch nun wieder in metadata cleanup.

Nun muss das Operationsziel ausgewählt werden. Sprich der defekte Server. Um diesen korrekt auszuwählen müsst ihr mit den folgenden Befehlen zunächst die Domäne, dann die Site und anschließend den defekten Server bestimmen. Dies macht ihr jeweils durch Angabe der entsprechenden Nummer.

metadata cleanup: select operation target
select operation target: list domains
select operation target: select domain #Nummer
select operation target: list sites
select operation target: select site #Nummer
select operation target: list servers in site
select operation target: select server #Nummer

Durch Eingabe von quit verlasst ihr den Selektionsmodus und befindet euch anschließend wieder im Kontext von metadata cleanup.

Nun entfernt ihr den defekten Domänencontroller durch folgende Eingabe:
metadata cleanup: remove selected server

Die komplette Befehlsfolge könnt ihr nochmal in folgendem Bild sehen:

Defekten Domänencontroller manuell entfernen mit NTDSUTIL

Letzte Aktualisierung am 28.10.2021 / Affiliate Links / Bilder von der Amazon Product Advertising API - Als Amazon-Partner verdiene ich an qualifizierten Käufen.

Bestätigungen und FSMO Rollen

Zum Schluss müsst ihr noch bestätigen, dass der Server entfernt werden soll. Hier erscheint auch der Hinweis, dass der Server bereits dauerhaft offline sein muss und auch nie wieder online genommen werden darf.

DC entfernen bestätigen

War der defekte Domänencontroller auch Inhaber der FSMO Rollen, so werden diese von ntdsutil auf den funktionierenden Domänencontroller hart übernommen. Dazu müsst ihr die Übernahme je Rolle bestätigen.

FSMO Rollen übernehmen von defektem Domaincontroller

Anschließend könnt ihr in CMD mit dem Befehl netdom query fsmo prüfen, ob die Rollen korrekt übertragen wurden. In meinem Beispiel sieht das so aus:

FSMO Rollen abfragen mit netdom query fsmo

Weitere Server-Objekte aus AD entfernen

Nach der Metadaten-Bereinigung wurde der verwaiste Domänencontroller bereits aus Active Directory Benutzer und Computer entfernt. Trotzdem solltet ihr das überprüfen. In der Organisationseinheit „Domain Controllers“ sollte der Server nicht mehr auftauchen.

Active Directory Benutzer und Computer - OU Domain Controllers

Im SnapIn Active Directory-Standorte und -Dienste müsst ihr den Server in den meisten Fällen noch manuell entfernen. Dazu öffnet ihr den Servermanager, klickt anschließend auf Tools und wählt nun Active Directory-Standorte und -Dienste aus.

Hier klappt ihr eure Domäne und den Site-Name auf. Häufig ist dies Default-First-Site. Klickt nun auf den Punkt Servers. Wählt den verwaisten DC und wählt Rechtsklick – Löschen aus.

Active Direcory Standort und Dienste bereinigen

DNS-Server aufräumen

Nachdem ihr die Metadaten aus der Active Directory Datenbank entfernt und die Server-Objekte an anderen Stellen bereinigt habt, solltet ihr euch anschließend noch die einzelnen DNS-Zonen vornehmen.

Dazu startet ihr die DNS-Server Verwaltungskonsole über Servermanager – Tools – DNS.

Schaut nun in den Forward-Lookupzonen und in den Reverse-Lookupzonen nach Einträgen zum defekten Server und löscht diese. Besonders die Zone, welche mit _msdcs beginnt bedarf eurer Aufmerksamkeit. Diese Zone ist die Standardanwendungs-Verzeichnispartition und enthält Informationen über Domänencontroller, DNS-Server, globale Katalogserver und vieles mehr. Auch in dieser solltet ihr die Einträge bereinigen.

DNS-Server bereinigen

Weitere optionale Anpassungen

Der defekte Domänencontroller ist nach den oben genannten Schritten sauber aus Active Directory entfernt. Allerdings sind je nach Umgebung weitere Anpassungen notwendig.

So kann es zum Beispiel sein, dass euer DHCP-Server den Domänencontroller weiterhin als möglichen DNS-Server ausrollt. Diesen Eintrag müsst ihr dann entfernen beziehungsweise abändern.

Weiterhin ist er vermutlich als fester DNS-Server in verschiedenen Geräten wie Drucker*, NAS-Systemen, IP-Kameras* oder Switchen eingetragen. Auch auf die Einstellungen der restlichen Server solltet ihr einen Blick werfen und diese gegebenenfalls anpassen.

Fazit

Mit dieser Anleitung könnt ihr binnen wenigen Minuten einen verwaisten Domänencontroller manuell entfernen. Ihr solltet hierbei aber stets mit Bedacht vorgehen, da hier auch einiges schief gehen kann. Wer möchte, kann abschließend mit dem Befehlszeilenprogramm dcdiag die Funktion der Domäne überprüfen.

Werbung
2020 Apple MacBook Air mit Apple M1 Chip (13", 8 GB RAM, 256 GB SSD) - Silber*
  • Von Apple designter M1 Chip für einen gigantischen Leistungssprung bei CPU und GPU und maschinellem Lernen
  • Mach mehr als je zuvor mit bis zu 18 Std. Batterielaufzeit
  • Die 8‑Core CPU liefert eine bis zu 3,5x schnellere Performance, um Projekte schneller als je zuvor zu erledigen

Letzte Aktualisierung am 28.10.2021 / Affiliate Links / Bilder von der Amazon Product Advertising API - Als Amazon-Partner verdiene ich an qualifizierten Käufen.

Meine Empfehlung

Letzte Aktualisierung am 28.10.2021 / Affiliate Links / Bilder von der Amazon Product Advertising API - Als Amazon-Partner verdiene ich an qualifizierten Käufen.