Last Updated on 22 agosto, 2017 by Pablo Ariel Di Loreto
En esta publicación vamos a demostrar cómo ejecutar una actividad que muy seguido debemos, los administradores, afrontar: la remoción forzada de un controlador de dominio huérfano de Active Directory Domain Services debido a que fue apagado, reinstalado o no vuelto a poner en actividad, y no podemos ejecutar la remoción «clásica» o «esperada» desde Roles y Features.
Si bien el procedimiento es simple y a partir de Windows Server 2008 ha sido simplificado, vamos a recorrer todas las consideraciones iniciales y de cierre del mismo, con el objetivo de tener una vista integral y no solo técnica sobre el tema.
Tabla de Contenidos
Introducción
Objetivo
Esta publicación tiene como objetivo:
- Recorrer las principales consideraciones y recomendaciones a realizar en el momento de ejecutar el procedimiento de remoción de un controlador de dominio huérfano.
- Demostrar en forma práctica cómo es el procedimiento de remoción de un controlador de dominio huérfano, en un ambiente single forest / single domain y con Windows Server 2012 R2, si bien estos procedimientos son aplicables para algunas versiones anteriores con Active Directory Domain Services.
Audiencia
Este documento está dirigido a Consultores, Profesionales IT y personas que desarrollan tareas de Consultoría, Administración y Soporte o que simplemente están interesados en aprender nuevas cosas.
Comentarios y Corrección de Errores
Hemos realizado nuestro mejor esfuerzo para no cometer errores, pero al fin y al cabo somos seres humanos. Si deseás reportar algún error o darnos feedback de qué te pareció esta publicación, por favor no dejes de comunicarte con nosotros a través de correo electrónico a la siguiente dirección: info@tectimes.net.
Alcance Técnico
Entender cuál es el alcance de la publicación nos ayuda a tener una expectativa real de lo que encontraremos en la misma, de modo tal que quién lo lee no espere ni más ni menos de lo que encontrará. Vamos a describir el escenario de trabajo, tecnologías alcanzadas y plan de trabajo en alto nivel.
Objetivo Técnico
El objetivo técnico de este tutorial es:
- Realizar la remoción de un controlador de dominio huérfano en un ambiente de Active Directory Domain Services single forest / single domain con Windows Server 2012 R2.
- Recorrer, en alto nivel, las verificaciones y consideraciones recomendadas a realizar antes y después del proceso de remoción.
Tecnologías Alcanzadas
Las tecnologías alcanzadas por esta publicación son las siguientes:
- Windows Server 2012 R2 Standard y Datacenter.
- Windows Server 2012 Standard y Datacenter.
- Windows Server 2008 R2 Standard, Enterprise y Datacenter.
- Windows Server 2008 Standard, Enterprise y Datacenter.
- Active Directory Domain Services en Windows Server 2008 hasta Windows Server 2012 R2.
Escenario de Trabajo
Para esta publicación se utilizará el siguiente escenario de trabajo:
- Ambiente de Active Directory Domain Services Single Forest / Single Domain.
-
Controladores de dominio en base Windows Server 2012 R2 Standard:
- TT-S-HV12R2-01.
- TT-S-HV12R2-02.
- TT-S-HV12R2-04 (este será el que vamos a remover).
- Nivel Funcional de Bosque y Dominio 2012 R2.
Plan de Trabajo
Aquí se debe indicar cuál es el plan de trabajo que vamos a desarrollar en el presente tutorial:
-
Verificaciones y Consideraciones:
- Backup de un controlador de dominio.
- Verificación de Global Catalog.
- Verificación de Roles FSMO.
-
Eliminación del Controlador de Dominio:
- Borrado del Servidor.
-
Borrado de Metadata:
- Limpieza de Sitios y Servicios.
- Limpieza de DNS.
-
Verificaciones y Consideraciones:
- Backup de un controlador de dominio.
- Promoción de un Controlador de Dominio adicional.
Desarrollo
Vamos a desarrollar la remoción forzada de dos controladores de dominio en una infraestructura de Windows Server 2012.
Como vemos, el resultado de un repadmin nos muestra que los controladores de dominio no pueden ser contactados y el controlador de dominio «vivo» hace 14 días que tiene errores de replicación:
Resultado de repadmin
Vamos a ejecutar el plan de trabajo propuesto paso a paso, como así también comentar las recomendaciones y consideraciones pertinentes.
Verificaciones y Consideraciones Iniciales
Backup de un controlador de dominio sano
Como siempre comentamos, es muy importante que contemos con un backup de por lo menos un controlador de dominio antes de realizar el procedimiento. Aunque el mismo está documentado y es relativamente seguro de ejecutar, debemos tomar conciencia que la única forma de volver atrás ante algún error crítico será a través de un backup.
Una vez realizado el mismo, podemos continuar.
Verificación de Global Catalog
Un aspecto importante antes de avanzar es comprobar si hay algún Global Catalog en nuestra infraestructura. Si bien su ausencia se hará notar, puede ser que por alguna razón (no revisión, red pequeña, no presencia de un administrador) el GC no esté presente.
Para verificar qué servidores dentro de nuestra infraestructura son Global Catalog, podemos correr el siguiente comando:
dsquery server -domain tectimes.local –isgc
El mismo nos devolverá el siguiente resultado y similar a este:
Ilustración 1 – Resultado de dsquery para verificar qué controladores de dominio son Global Catalog.
En este caso, tenemos 3 equipos que tienen la función de Global Catalog. No obstante, en el caso que el único controlador de dominio que quedará online no sea Global Catalog, debemos convertirlo.
Para ello vamos a ir a la consola de Sitios y Servicios e ingresar al sitio donde se ubica nuestro DC:
Ilustración 2 – Habilitación de Global Catalog desde Sitios y Servicios para un Controlador de Dominio.
Una vez allí, hacemos clic en «NTDS Settings» y propiedades. Aparecera el siguiente cuadro:
Ilustración 3 – Habilitación de Global Catalog desde Sitios y Servicios para un Controlador de Dominio.
Como vemos en la imagen, debemos tildar la opción «Global Catalog». Una vez marcada y aceptada la opción, debemos esperar un tiempo razonable hasta que este cambio surja efecto. Cuando la información replique hasta el nuevo Global Catalog, el evento 1119 se registrará en el Visor de Eventos, puntualmente en el apartado de Directory Services, indicando que el equipo se ha publicado como Global Catalog.
Verificación de Roles FSMO
Es importante para la salud del Servicio de Directorio que los roles FSMO estén en un controlador de dominio vivo, o queden en uno vivo J. Más allá de las consideraciones en ambientes de múltiples dominios, suponiendo que estamos en un ambiente single forest / single domain debemos garantizar que por lo menos estén los 5 roles en el controlador de dominio vivo (o alguno vivo) y sano actualmente.
Podemos verificar la ubicación de los roles con el siguiente comando:
netdom query fsmo
En nuestro caso el resultado es el siguiente:
Ilustración 4 – Resultado de netdom query fsmo para Controladores de Dominio.
Esto significa que todos los roles están en el controlador de dominio «TT-S-DC12R2-01». En el caso que los roles estén en un controlador de dominio que está apagado, deberá realizarse un seize de ellos siguiendo los procedimientos necesarios. En dicho caso, verificar en la sección «Publicaciones Relacionadas» al final de esta publicación.
Eliminación del Controlador de Dominio
Vamos a repasar el procedimiento que debemos seguir para eliminar el controlador de dominio en un ambiente de Windows Server 2012 y Windows Server 2012 R2, si bien el procedimiento también es aplicable para versiones 2008 y 2008 R2.
Borrado del Servidor
Lo primero que debemos hacer es, desde «Users and Computers», eliminar el controlador de dominio que debemos «limpiar» forzadamente.
Para ello ingresaremos a esta consola y ubicaremos el mismo dentro de la OU «Domain Controllers»:
Ilustración 5 – Contenedor de Controladores de Dominio para ubicar los equipos a eliminar.
Una vez allí haremos botón derecho sobre dicho DC y elegiremos «Delete»:
Ilustración 6 – Eliminación de Controladores de Dominio desde contenedor de Active Directory Domain Services.
Nos aparecerá el siguiente cartel, alertando de la eliminación. Debemos dar en «Yes»:
Ilustración 7 – Eliminación de Controladores de Dominio desde contenedor de Active Directory Domain Services.
Adicionalmente, nos aparecerá otro cuadro que nos alertará que se va a eliminar un controlador de dominio y que para despromoverlo deberíamos eliminar el rol desde dicho equipo. No obstante, y como a dicho equipo lo estamos eliminando forzadamente porque ya no lo tenemos más, vamos a hacer caso omiso a la advertencia. En su lugar, vamos a tildar la opción que figura debajo y que dice «Delete this Domain Controller anyway…» dado que está offline:
Ilustración 8 – Eliminación de Controladores de Dominio desde contenedor de Active Directory Domain Services.
Por último, y si el DC era Global Catalog, nos aparecerá un cartel advirtiéndonos esto. Como nosotros ya hemos verificado este tema y vamos a tener por lo menos un Global Catalog vivo en nuestra infraestructura le damos «Yes»:
Ilustración 9 – Eliminación de Controladores de Dominio desde contenedor de Active Directory Domain Services.
Lo mismo debemos realizar con otro controlador de dominio que querramos eliminar de forma forzada, por supuesto dejando por lo menos uno sano.
Borrado de Metadata
A partir de Windows Server 2008 la remoción del DC debemos hacerla (y alcanza con hacerla) desde la interfaz gráfica, con los pasos que hemos realizado anteriormente.
Sin embargo, se deberán seguir los lineamientos para chequeo de DNS y forzado de replicación. Adicionalmente, quizás quede info restante que borrar como la que está en Sitios y Servicios y en el DNS.
Limpieza de Sitios y Servicios
Para ello, vamos a entrar a esta consola y vamos a ubicar el controlador de dominio borrado en el sitio donde pertenecía:
Ilustración 10 – Borrado de metadata desde Sitios y Servicios de Active Directory Domain Services.
Allí haremos botón derecho y «delete» sobre el mismo:
Ilustración 11 – Borrado de metadata desde Sitios y Servicios de Active Directory Domain Services.
Nos pedirá una confirmación, la cual aceptamos:
Ilustración 12 – Borrado de metadata desde Sitios y Servicios de Active Directory Domain Services.
Ahora vamos a pasar al próximo paso: Limpieza de DNS.
Limpieza de DNS
Adicionalmente vamos a verificar que no queden apuntamientos en nuestro DNS del controlador de dominio recientemente creado. Para esto vamos a ir a la zona perteneciente a nuestro dominio interno y ubicaremos los registros A. Lo mismo haremos con la zona «_msdcs» como vemos en la imagen:
Ilustración 13 – Consola de DNS de Active Directory Domain Services para eliminar registros de controladores de dominio ya eliminados.
¡Trabajo casi listo! Vamos a realizar diversas modificaciones y comentar algunas consideraciones finales de la actividad.
Verificaciones y Consideraciones Finales
Vamos a destacar algunos procedimientos de verificación y consideraciones finales al proceso realizado.
Backup de un controlador de dominio sano
Hemos realizado un backup de un controlador de dominio sano antes de comenzar el procedimiento. Una vez ejecutado, es importante repetir el backup para tener info de la infraestructura remediada. Si bien el paso parece adicional y sin sentido, es recomendable realizarlo y nos demanda poco esfuerzo.
Promoción de un Controlador de Dominio adicional
En el caso que nos hayamos quedado solo con un controlador de dominio en nuestra infraestructura, es importante que podamos promocionar uno adicional de modo tal de tener disponibilidad ampliada y una replicación de nuestra información de directorio.
Salvando los pormenores de dimensionamiento y diseño, siempre es importante y recomendable contar por lo menos con dos controladores de dominio sanos y encendidos que repliquen correctamente.
Conclusiones
En esta publicación hemos visto cómo realizar la remoción de un controlador de dominio huérfano en Active Directory Domain Services.
Esta tarea es una de las tantas que los administradores debemos afrontar. Esto normalmente ocurre cuando un controlador de dominio fue apagado, reinstalado o no vuelto a poner en actividad, y no podemos ejecutar la remoción «clásica» o «esperada» desde Roles y Features lo cual sería el procedimiento ordenado.
Como hemos podido comprobar, el procedimiento es simple. Por esta razón hemos puesto foco también en indicar verificaciones y consideraciones pre y post procedimiento, para poder brindar un valor agregado a los administradores sobre ítems que normalmente no suelen figurar en guías.
Esperamos que la publicación haya sido útil y ¡los esperamos para los próximos!
Referencias y Links
- How to remove data in Active Directory after an unsuccessful domain controller demotion: http://support.microsoft.com/kb/216498
- Demoting Domain Controllers and Domains (Level 200): http://technet.microsoft.com/en-us/library/jj574104.aspx
- Clean Up Server Metadata: http://technet.microsoft.com/en-us/library/cc816907(WS.10).aspx
- How to promote a domain controller to a global catalog server: http://support.microsoft.com/kb/296882
- Complete Step by Step to Remove an Orphaned Domain controller: http://msmvps.com/blogs/acefekay/archive/2010/10/05/complete-step-by-step-to-remove-an-orphaned-domain-controller.aspx
- Remove Active Directory Domain Controller Metadata: http://gallery.technet.microsoft.com/ScriptCenter/d31f091f-2642-4ede-9f97-0e1cc4d577f3/
Acerca del Autor
Mis lazos con la informática comenzaron en el año 1998, cuando tenía 16 años, y comencé a aprender como administrar servidores bajo la plataforma Microsoft (Windows Server, Exchange Server, IIS, y otros) y a realizar desarrollos de software con tecnologías ASP y PHP. Un tiempo más tarde comencé a trabajar ya en forma productiva en la administración de plataformas y desarrollo de software.
Desde hace varios años he tenido una intensa actividad en las comunidades profesionales, a través de eventos, webcasts, foros y publicaciones diversas. En Abril de 2014 fui reconocido como Most Valuable Professional (MVP) por parte de Microsoft, estando hoy reconocido en las especialidades "Windows and Devices for IT" y "Microsoft Azure".
En la actualidad me desarrollo como Service Delivery Manager en Algeiba (http://www.algeiba.com), una compañía que brinda soluciones y servicios tecnológicos, dirigiendo un Equipo de Trabajo de más de 20 personas. También soy el Director de TecTimes, un Portal de Tecnología que nació en el año 2012 como parte de un proyecto personal de contribución a la comunidad tecnológica en español.
- [Evento] Microsoft Azure | Tendencias Digitales 2019 – 26/03/2019 - 30 marzo, 2019
- [Evento] Microsoft Azure | Tendencias Digitales 2019 – 06/02/2019 - 12 febrero, 2019
- [Evento] Microsoft Azure | Modernización de Apps con la Nube de Azure – 20/12/2018 - 22 diciembre, 2018
