Offline DC aus Domäne entfernen

[catal82 10]

Hallo

 

ich habe jetzt neulich einen Dc außer Betrieb genommen ohne den zum memberserver zu machen. Der Server exisitiert nun auch nicht mehr physikalisch aber ich habe einträge in den Logs wegen der mangelnden Replikation.

 

Wie bekomme ich den jetzt sauber und einfach aus der Domäne?

 

Viele Grüße

[Daim 12]

Servus,

 

mit NTDSUTIL

 

Entfernen von Daten aus Active Directory nach fehlgeschlagener Domänencontroller-Herabstufung

 

Kontrolliere anschließend DNS, WINS und "Sites and Services" und entferne die Einträge die noch auf diesen DC verweisen.

[catal82 10]

Wie ist das mit der Sache mit den 60 Tagen? Da müsste der doch auch entfernt werden?

[Hr_Rossi 10]

hallo,

 

 

googel mal nach "tombstone-faktor"

 

das ist das mit den 60 tage...

 

 

lg

[gysinma1 13]

Hallo

 

Ja man kann auch von Hand im dssite.msc die Einträge löschen und im dsa.msc (advanced view) den DC löschen und die Replication (sysvol) manuell löschen.

 

Danach - faller er DNS war - die NS Einträge entfernen sowie sämtliche Namenseinträge die noch vorhanden sind.

 

Ist aufwendig(er) - aber noch lehrreich grad was den DNS angeht - wo sich ein DC so überall einträgt.

 

Das mit den 60 Tage stimmt nur insofern es kein Windwos 2003 SP1 ist. Sonst sind es 180 Tage. Diese Tage betreffen aber nur die thombstone time des controllers. Die Fehler treten weiter im eventlog (in geringerem Masse) auf. Hatten dies einmal.

 

 

 

Grüsse

 

Matthias

[catal82 10]

Wie ist das mit dem Sysvol gemeint. Der Alte DC ist nicht mehr existent, daher nützt mir das oben genannte KB relativ wenig. Ich war mal der gehört zu haben, das wenn ein DC nicht innerhalb von 60 Tagen mal mit der Domäne redet, dieser automatisch entfernt wird.

[gysinma1 13]

Hallo

 

Im AD (advanced features) findet sich ein Eintrag wo die FileReplication eingetragen wird. Unter "dsa.msc/system/File Replication Service" stehen die Replicationpunkte der sysvol Volumen. Meistens wird dieser Eintrag durch das löschen des DCs im DSA.msc und dssite.msc entfernt, jedoch nicht immer.

 

Der Domain controller wird thombstoned nach 60 Tagen. Mit SP1 nach 180 Tagen. Das heisst aber lediglich, dass er als "tod" markiert ist. Entfernen aus der AD tut er sich nicht selbst. Würde er nach 61 Tage/181 "zurückkommen" würde einfahc kein Client sich mehr dort authentizifieren ebenso wenig er an keiner Replication mehr teilnimmt.

 

Die Objekte in der AD müssen jedoch händisch entfernt werden.

 

Gruss,

 

Matthias

[catal82 10]

Mit Objekt meinst du das ComputerKonto vom alten DC?

[gysinma1 13]

Hallo

 

Ja.

 

Gruss,

 

Matthias

[catal82 10]

gut ich werd das dann hier mal testen

[gysinma1 13]

Viel Erfolg !

 

Gruss,

 

Matthias

[Daim 12]

Zum Thema Tombstone Lifetime, empfehle ich unten stehenden Artikel.

Es stimmt zwar, das ab dem SP1 des Windows Server 2003 die Tombstone auf 180 Tage erhöht wurde, dieses gilt aber NUR, wenn der erste DC in der Gesamtstruktur damit installiert wurde. Ansonsten basiert es auf 60 Tage.

 

Das steht aber alles in diesem Artikel:

Das Geheimnis der Tombstone Lifetime - faq-o-matic.net

[gysinma1 13]

@Daim

Guter Artikel. Hab ich noch gar nicht gekannt. (Für mich persönlich sind 60 Tage schon "lang"). wenn man bedenkt, dass da 60 Tage lang Fehler um Fehler geloggt werden und man nix macht :cool:

 

Gruss

 

Matthias

[Daim 12]

@Daim

Guter Artikel.

 

Danke :D

 

Hab ich noch gar nicht gekannt.

 

Dann wird es aber mal Zeit ;)

 

(Für mich persönlich sind 60 Tage schon "lang"). wenn man bedenkt, dass da 60 Tage lang Fehler um Fehler geloggt werden und man nix macht :cool:

 

Na klar, 60 Tage ist schon reichlich.

Die 180 Tage sind eher für Weltweite Unternehmen von Interesse ;)

[gysinma1 13]

Die 180 Tage sind eher für Weltweite Unternehmen von Interesse ;)

 

naja mal nit übertreiben - auch wir (= weltweites Unternehmen) haben das erst 1x fertig gebracht :D - und erst noch unter 60 Tage

 

Gruss

 

Matthias