מאת חיים ליזרוביץ
יש ללחוץ על התמונות על מנת להגדילם
במאמר הבא, אדגים צעד אחר צעד כיצד להסיר DC מסביבת דומיין, אם ה DC אינו מחזיק את תפקידי ה FSMO ניתן לדלג לשלב ב' הסרת השרת התקול באמצעות NTDSUTIL – להסרת ה DC, מאמר זה מתייחס ל DC אשר לא גובה כלל.
למאמר 4 שלבים:
שלב א' – העברת ה FSMO ROLES לשרת DC יציב אחר בארגון.
שלב ב' – מחיקת השרת DC התקול באמצעות ntdsutil.
שלב ג' – מחיקת השרת מערכי ה DNS
שלב ד' – מחיקת השרת באמצעות ADSIEDIT.
לפני ביצוע המאמר, יש לוודא שסביבת שרתי ה DC הקיימים מכילים גירסת SP2 ומעלה.
במידה והשרת הושבת ואין דרך לשחזור באף צורה אחרת, יש צורך להתחשב בתפקידים שהוא מחזיק, כגון WINS, DNS, DHCP, שרת קבצים ועוד.
תמיד מומלץ לגבות את ה SYSTEM STATE על כל שרת ושרת DC בסביבה, פעולה זו תגבה גם את תקיית ה NTDS ויהיה גיבוי לשרת DC, להלן מאמרים עבור גיבוי ושחזור:
http://technet.microsoft.com/he-il/library/bb727048(en-us).aspx
כל עוד קיים DC אחד ומעלה שמתפקד כ GC ו DNS, אין כל חשש במידה והשרת התקול מחזיק תפקידים כגון WINS ו DNS במידה וה DNS הינו INTEGRATED AD , במקרה כזה, גם ללא גיבוי של ה DNS, ניתן לשחזר נתונים אלו (מתוך DC-ים אשר קיימים בארגון).
במקרה והשרת מחזיק DHCP, יש צורך לשחזר מגיבוי את ה DB .
פעולת הגיבוי אמורה להיות פשוטה ובאמצעות פקודת NETSH:
netsh dhcp server export c:\dhcpDB.txt all
פעולת הייבוא אף היא פשוטה: netsh dhcp server import c:\dhcpDB.txt all
במידה ואין גיבוי ל DHCP אין לנו ברירה ונצטרך לבנות SCOPE חדש, על מנת למנוע התנגשויות של כתובות אייפי ברשת (כל עוד ה LEASE לא השתחרר) יש צורך להגדיר במאפייני ה DHCP ערך עבור Conflict Detection Attemps.
באם ה DC התקול החזיק את שעון הזמן, יש להגדיר את שרת ה DC החדש כשעון זמן:
http://support.microsoft.com/kb/816042
הסביבה שאתאר כאן, כוללת 2 שרתי DC:
* שרת ששמו SERVER-HOME – שרת תקין ויציב בדומיין.
* שרת ששמו SRV-HAIML שמחזיק את תפקידי ה FSMO – זהו השרת התקול בדומיין.
תמונת מאפייני שרת SERVER-HOME:
תמונת מבנה ה SITE הכולל בתוכו את 2 השרתים:
שלב א' - העברת תפקידים מהשרת התקול לשרת ההחדש באמצעות SEIZE:
ראשית, יש לוודא ששרתי ה DC הקיימים מעודכנים ל SP האחרון, במקרה של 2003 יש לעדכן לגירסת SP2 ומעלה.
לזיהוי השרת המחזיק את ה FSMO יש להקליד netdom query fsmo, במידה והשרת הינו שרת 2003 יש צורך להתקין את חבילת ה SUPPORT TOOLS הכוללת בתוכה את פקודת ה NETDOM:
ביצוע פעולת העברת ה FSMO לשרת אחר במידה והשרת התקול מושבת ואינו עולה, פעולת SEIZE אינה מומלצת כאשר ניתן להעביר את הכללים בצורה מסודרת, אם באמצעות ה GUI או אם באמצעות ה NTDSUTIL:
באמצעות NTDSUTIL.EXE:
http://support.microsoft.com/kb/255504
בתצוגת GUI:
http://support.microsoft.com/default.aspx?kbid=324801&product=winsvr2003
יש לוודא שאת הפעולות מבצעים עם ההרשאות הרצויות :
יש להיכנס ל CMD ולהקליד ntdsutil:
יש להקליד connect to server your server name, כאשר your server name הינו השרת DC התקין שאליו מתחברים ומבצעים את הפעולות הרצויות:
יש להקליד q כדי לצאת ולחזור לתפריט ה fsmo maintenance:
ניתן ללחוץ על ? כדי לראות את מסך העזרה:
להעברת ה role של ה schema master יש להקליד seize schema master ולאשר:
להלן מסך האישור להעברת ה schema master לשרת היציב:
להעברת ה naming master יש להקליד : seize naming master ולאשר:
להלן מסך האישור להעברת ה naming masterלשרת היציב:
להעברת ה rid master יש להקליד seize rid master ולאשר
להלן מסך האישור להעברת ה rid master לשרת היציב:
להעברת ה infrastructure role יש להקליד seize infrastructure master :
להלן מסך האישור להעברת ה infrastructure master לשרת היציב:
להעברת ה pdc יש להקליד seize pdc:
להלן מסך האישור להעברת ה pdc לשרת היציב:
ניתן לצאת מאשף ה ntdsutil ע"י לחיצות על q :
כעת נקליד את הפקודה netdom query fsmo על מנת לוודא שה roles אכן עברו לשרת ה DC התקין:
שלב ב' - הסרת השרת התקול באמצעות NTDSUTIL:
יש לוודא שאנו עם הרשאות מתאימות לצורך ביצוע הפעולה:
יש להיכנס ל cmd ולהקליד ntdsutil:
יש להקליד metadata cleanup:
יש להקליד connect to server your server name, כאשר your server name הינו השרת DC התקין שאליו אני מתחבר ומבצע את הפעולות הרצויות:
יש להקליד quit על מנת לחזור למסך ה cleanup:
יש להקליד select operation target
יש להקליד list domains על מנת לראות את מס' הדומיינים, להלן הדומיין: server.home
יש לבחור את הדומיין (את מספרו 0): select domain 0
לרשימת ה sites יש להקליד list sites, אנו רואים שקיים site אחד:
יש לבחור את ה site (את מספרו – 0) select site 0:
יש להקליד list servers in site על מנת להציג את מס' השרתים באותו site:
יש לבחור את השרת שאותו אנו מעוניינים להסיר, אנו מעוניינים להסיר את שרת SRV-HAIML שרת 1 ברשימה,
לצורך כך יש להקליד select server 1:
יש ללחוץ על quit על מנת לחזור לתפריט ה cleanup ולאחר מכן לכתוב:
Remove selected server , פה נקבל חלון אישור (GUI) באם אנו מעוניינים להסיר את השרת:
לאחר שנאשר, נוכל לראות את ביצוע ההסרה, ניתן לשים לב שהאשף מסיר את ה FRS , SYSVOL טיפול בתפקידי ה FSMO, אנו ביצענו את הפעולה ידנית מקודם על מנת לוודא העברת ה FSMO:
שלב ג'- הסרת השרת מערכי ה SRV RECORDS ב DNS:
מחיקת ה CNAME של השרת במאפייני ה _msdcs
מחיקת ערך NS (הפניה כשרת DNS) במאפייני ה _msdcs:
להלן אישור לביצוע פעולת מחיקת רשומת ה NS של השרת התקול:
מחיקת ערך ה _kerberos של השרת התקול מתחת ל _tcp:
מחיקת ערך ה _ldap של השרת התקול מתחת ל _tcp:
מחיקת ערך ה _kerberos של השרת התקול מתחת ל dc\_tcp:
מחיקת ערך ה _ldap של השרת התקול מתחת ל dc\_tcp:
מחיקת הערך של השרת הישן מתחת ל _tcp תחת domains:
יש למחוק את כתובת האייפי של השרת התקול תחת תקיית ה GC:
מחיקת ערך ה _ldap תחת gc\_sites\default-first-site-name, כאשר default-first-site-name מתייחס לשם ה site של הארגון:
מחיקת ערך ה _ldap תחת gc:
יש לשים לב שב pdc מופיע השרת שמתפקד כ pdc emulator, לא אמור להיות שם שרתים אחרים:
יש לחזור על הפעולות הללו גם עבור ה A record ב ZONE של הדומיין ובאותם ערכים המופיעים ב zone של הדומיין.
שלב ד' - מחיקת ערכים מה ADSIEDIT:
ניתן לפתוח את ה ADSIEDIT לגשת ל domain ל OU של ה domain controllers ולמחוק את ה DC התקול, פעולה זו מוחקת את חשבון המחשב מה AD:
יש לאשר את מחיקת המחשב:
יש לגשת ל DOMAIN לאחר מכן לכתובת ה LDAP של הדומיין, לפתוח את CN=System , לאחר מכן את
CN=File Replication Service ואז ל CN=Domain System Volume (SYSVOL Share) ולמחוק את השרת התקול (יתכן והוא לא יופיע במיקום הנוכחי, משום שהוסר באמצעות ה ntdsutil):
יש לגשת ל configuration לאחר מכן ל CN=Sites, CN=Default-First-Site-Name (במידה וזה שם הsite), CN=Servers ולמחוק את השרת התקול, פעולה זו תגרום למחיקתו מאשף ה AD Sites and Service:
יש לאשר את מחיקתו:
בסיום הפעולה ניתן לפתוח את Active Directory Sites and Services ולוודא את מחיקת השרת התקול:
לאחר פעולות אלו, יש לבדוק את תקינות ה Active Directory ולעבוד עם פקודות כגון:
REPADMIN /SHOWREPS
DCDIAG
NETDIAG