In einigen Fällen kann es vorkommen, dass ein Domänencontroller unwiderruflich defekt ist. In den meisten Fällen ist es dann nicht sinnvoll den DC aus einem Backup wiederherzustellen. Sind weitere Domänencontroller in der Umgebung vorhanden, ist man gut beraten den defekten Domänencontroller manuell aus dem Active Directory zu entfernen. In dieser Anleitung zeige ich euch, wie ihr einen verwaisten Domänencontroller manuell entfernen könnt.
Entfernen der Metadaten aus der AD Datenbank:
Im ersten Schritt sollten die Metadaten des defekten DCs aus der Active Directory Datenbank entfernt werden. Dazu öffnet ihr zunächst auf einem verbleibenden DC die Windows Kommandozeile mit Administratorrechten.
Anschließend öffnet ihr ntdsutil.exe – Ein Befehlszeilenprogramm, mit welchem die Active Directory Datenbank angepasst werden kann.
Nachdem das Programm gestartet wurde, ändert sich der Commandprompt in ntdsutil. Hier könnt ihr nun die internen Befehle des Programms nutzen.
Als erstes gebt ihr metadata cleanup ein und bestätigt mit Enter. Nun seid ihr im Bereich für die Metadaten-Bereinigung.
Anschließend verbindet ihr euch zu einem verbleibenden und funktionierenden Domänencontroller:
metadata cleanup: connections
server connections: connect to server Server01
server connections: quit
In meinem Beispiel ist der noch funktionierende DC „Server01“ und der defekte DC „Server02“. Nachdem die Verbindung zum DC hergestellt wurde, wird der Verbindungsbereich mit quit verlassen. Ihr befindet euch nun wieder in metadata cleanup.
Nun muss das Operationsziel ausgewählt werden. Sprich der defekte Server. Um diesen korrekt auszuwählen müsst ihr mit den folgenden Befehlen zunächst die Domäne, dann die Site und anschließend den defekten Server bestimmen. Dies macht ihr jeweils durch Angabe der entsprechenden Nummer.
metadata cleanup: select operation target
select operation target: list domains
select operation target: select domain #Nummer
select operation target: list sites
select operation target: select site #Nummer
select operation target: list servers in site
select operation target: select server #Nummer
Durch Eingabe von quit verlasst ihr den Selektionsmodus und befindet euch anschließend wieder im Kontext von metadata cleanup.
Nun entfernt ihr den defekten Domänencontroller durch folgende Eingabe:metadata cleanup: remove selected server
Die komplette Befehlsfolge könnt ihr nochmal in folgendem Bild sehen:
Letzte Aktualisierung am 24.04.2024 / Affiliate Links / Bilder von der Amazon Product Advertising API – Als Amazon-Partner verdiene ich an qualifizierten Käufen.
Bestätigungen und FSMO Rollen
Zum Schluss müsst ihr noch bestätigen, dass der Server entfernt werden soll. Hier erscheint auch der Hinweis, dass der Server bereits dauerhaft offline sein muss und auch nie wieder online genommen werden darf.
War der defekte Domänencontroller auch Inhaber der FSMO Rollen, so werden diese von ntdsutil auf den funktionierenden Domänencontroller hart übernommen. Dazu müsst ihr die Übernahme je Rolle bestätigen.
Anschließend könnt ihr in CMD mit dem Befehl netdom query fsmo prüfen, ob die Rollen korrekt übertragen wurden. In meinem Beispiel sieht das so aus:
Weitere Server-Objekte aus AD entfernen
Nach der Metadaten-Bereinigung wurde der verwaiste Domänencontroller bereits aus Active Directory Benutzer und Computer entfernt. Trotzdem solltet ihr das überprüfen. In der Organisationseinheit „Domain Controllers“ sollte der Server nicht mehr auftauchen.
Im SnapIn Active Directory-Standorte und -Dienste müsst ihr den Server in den meisten Fällen noch manuell entfernen. Dazu öffnet ihr den Servermanager, klickt anschließend auf Tools und wählt nun Active Directory-Standorte und -Dienste aus.
Hier klappt ihr eure Domäne und den Site-Name auf. Häufig ist dies Default-First-Site. Klickt nun auf den Punkt Servers. Wählt den verwaisten DC und wählt Rechtsklick – Löschen aus.
DNS-Server aufräumen
Nachdem ihr die Metadaten aus der Active Directory Datenbank entfernt und die Server-Objekte an anderen Stellen bereinigt habt, solltet ihr euch anschließend noch die einzelnen DNS-Zonen vornehmen.
Dazu startet ihr die DNS-Server Verwaltungskonsole über Servermanager – Tools – DNS.
Schaut nun in den Forward-Lookupzonen und in den Reverse-Lookupzonen nach Einträgen zum defekten Server und löscht diese. Besonders die Zone, welche mit _msdcs beginnt bedarf eurer Aufmerksamkeit. Diese Zone ist die Standardanwendungs-Verzeichnispartition und enthält Informationen über Domänencontroller, DNS-Server, globale Katalogserver und vieles mehr. Auch in dieser solltet ihr die Einträge bereinigen.
Weitere optionale Anpassungen
Der defekte Domänencontroller ist nach den oben genannten Schritten sauber aus Active Directory entfernt. Allerdings sind je nach Umgebung weitere Anpassungen notwendig.
So kann es zum Beispiel sein, dass euer DHCP-Server den Domänencontroller weiterhin als möglichen DNS-Server ausrollt. Diesen Eintrag müsst ihr dann entfernen beziehungsweise abändern.
Weiterhin ist er vermutlich als fester DNS-Server in verschiedenen Geräten wie Drucker*, NAS-Systemen, IP-Kameras* oder Switchen* eingetragen. Auch auf die Einstellungen der restlichen Server solltet ihr einen Blick werfen und diese gegebenenfalls anpassen.
Fazit
Mit dieser Anleitung könnt ihr binnen wenigen Minuten einen verwaisten Domänencontroller manuell entfernen. Ihr solltet hierbei aber stets mit Bedacht vorgehen, da hier auch einiges schief gehen kann. Wer möchte, kann abschließend mit dem Befehlszeilenprogramm dcdiag die Funktion der Domäne überprüfen.
- Für eine sorgenfreie Nutzung: Kostenlose Garantieverlängerung auf 3 Jahre – gültig für Kunden, die ihren Wohnsitz in Deutschland haben²⁰
- Alles über dein Smartphone, alles mit AI: Bearbeite mühelos Fotos, dolmetsche Anrufe dank Live-Übersetzung in Echtzeit, wandle Sprachaufnahmen in Text um und lass sie dir zusammenfassen¹ ² ³ ⁴
Letzte Aktualisierung am 24.04.2024 / Affiliate Links / Bilder von der Amazon Product Advertising API – Als Amazon-Partner verdiene ich an qualifizierten Käufen.
