域控制器的强制卸载
上篇博文中我们介绍了如何对域控制器进行常规卸载,本文中我们将介绍如何对域控制器进行强制卸载。为什么需要对域控制器进行强制卸载呢?如果域控制器不能和复制伙伴正常通讯,而且更正无望,那我们就要考虑进行强制卸载了。例如我曾见过一个单位有
10
个域控制器,居然有
7
个不能相互复制,主要是管理员误以为域控制器越多越好
….
类似这样的情况,我们就可以果断出手,把域控制器强行卸载掉。域控制器强行卸载的原理也很简单,那就是卸载时不再通知复制伙伴,直接把
AD
删除就好。这样的卸载方式是要相对简单一些,但其实后续的操作很麻烦,例如我们需要在
Active Directory
中手工清除被强制卸载的域控制器,手工清除
DNS
中的
SRV
记录等。因此,如果不是万不得已,还是用常规卸载比较好。
如下图所示,我们将利用如下图所示的拓扑为大家演示如何进行域控制器的强制卸载,我们进行强制卸载的目标是
shanghai
站点的
Firenze
。
一
强制卸载域控制器
首先我们在被卸载的域控制器
Firenze
上打开
cmd
命令提示符,执行
dcpromo/forceremoval
,
forceremoval
参数的作用就是执行强制卸载,如下图所示,卸载向导提示我们这种卸载方式将不对其他域控制器的
Active Directory
数据进行更新。
接下来我们需要设置
Firenze
本地管理员的口令。
强制卸载域控制器后,
Firenze
将不再成为域内的成员服务器,而是会从域中脱离出去成为工作组中的独立服务器。
如下图所示,点击完成结束了域控制器的强制卸载。
二
手工清除
Active Directory
数据
Firenze
被强制卸载后,域内的其他域控制器并不知道这件事情,它们仍然认为
Firenze
是域控制器的一员,因此我们必须手工将
Firenze
从
Active Directory
中清除出去。我们准备在
Berlin
上对
Active Directory
进行手工清理,然后
Berlin
再把清理后的
Active Directory
复制到其他域控制器就可以了。
在
Berlin
上运行
NTDSUTIL
,如下图所示,选择“
Metadata Cleanup
”,准备清除不使用的服务器对象。
然后使用“
connections
”准备连接到指定的域控制器执行删除操作,输入“
connect to server berlin
”连接到
Berlin
,然后输入“
quit
”返回上级菜单。
接下来我们需要使用“
Select operation target
”来选择被删除的服务器对象,选择服务器时,我们需要指定服务器所在的域和站点。我们可以先用
list
指令列出站点和域,然后再进行选择。
Firenze
隶属于
shanghai
站点,
Firenze
所在的域是
adtest.com
。
如下图所示,我们首先用“
list sites
”列出了当前站点,然后用“
select site 1
”选定了
shanghai
站点,我们可以看到对站点的描述用的是数字而不是字符。选择了站点之后,我们接下来使用“
list domains in site
”列出了站点中的域,当前只有一个域
adtest.com
,编号是
0
,因此我们接下来使用“
select domain 0
”就可以把域也选定了。域和站点都选定了,我们就可以进行服务器的选择了,使用“
list servers for domain in site
”可以列出所有的服务器,当前
shanghai
站点只有
Firenze
一个域控制器,因此我们使用“
select server 0
”选定服务器
Firenze
。至此,被手工清理的目标已被我们锁定了。
用“
quit
”命令退出选择操作对象的环境,返回到上级菜单,然后我们使用“
Remove selected
Server”
删除被选定的服务器对象
Firenze
。
NTDSUTIL
提示我们对删除
Firenze
服务器的行为进行确认,我们选择“
Y
”确定操作。
这样
Firenze
被我们从
Berlin
的
Active Directory
中清除了,然后我们在
Berlin
上打开
Active Directory
用户和计算机,如下图所示,删除域控制器
Firenze
。
我们需要对删除
Firenze
的原因进行描述,如下图所示,
Firenze
是被我们强制卸载的。
确定要进行删除
Firenze
的操作,选择“
Y
“。
至此,我们在
Berlin
上基本完成了对
Firenze
的手工清除,完成操作后还需要注意以下几点:
1
手工清除
DNS
中
Firenze
的
SRV
记录
2
如果
Firenze
承担了操作主机角色,把操作主机角色转移到其他域控制器
3
如果
Firenze
是全局编录服务器,选择其他的域控制器负责全局编录
4
把
Berlin
的
Active Directory
复制到其他域控制器上
综上所述,我们发现其实对域控制器进行强制卸载是很麻烦的事,我们不应该把它当成一种常态行为,只有当域控制器确实没有希望进行常规卸载时,我们才考虑使用强制卸载,而且使用强制卸载后一定要注意后续对
Active Directory
的手工清理!