Neteja Active Directory de controladors orfes

Neteja Active Directory
2 Desembre 2015
  • es Español
    • Professionals TIC
    Josep Ma Solanes 0
    |

    Una de les operacions que toca fer sovint sobre l’Active Directory és la neteja del mateix de controladors que ja no existeixen o que tenen problemes. Servidors que s’han desconnectat de la xarxa per obsolets, però que no s’han despromocionat correctament i continuen esperant per replicar part de l’Active Directory. Un Active Directory dividit en dos amb controladors en ambdues parts, perquè en un moment donat els controladors han perdut la connexió entre sí i cadascun ha agafat la propietat dels rols, catàlegs globals, etc…, dividint-se en dos.

    Tot això pot semblar estrany, però passa. A vegades per inconsciència o desconeixement, altres per problemes a la xarxa. En aquests casos el que toca, tranquil·lament, és procedir a netejar l’Active Directory per evitar mals majors i poder tornar a tenir el sistema en plena forma.

    El procediment és senzill, però s’ha de ser molt meticulós sinó la podem fer grossa.

    Neteja Active Directory amb un exemple

    Per entendre millor el procediment, ho faré amb un exemple: disposem d’un Active Directory en que un dels controladors s’ha perdut. En aquest cas m’he aixecat amb mala baba i li he disparat directe a un Windows 2012 R2 que l’ha deixat completament estavellat a terra enmig d’un toll de sang. Com que a més anava de llest, ho he fet amb una rèplica d’Active Directory inacabada i sense saber si tinc el catàleg global i els rols en bon estat. Els protagonistes són:

    • Servidor víctima: JARVIS
    • Servidor mig viu: SERVIDORWEB

    L’objectiu és recuperar el funcionament estable de l’Active Directory sobre el servidor mig viu SERVIDORWEB.

     

    Gestió de rols per PowerShell

    Les operacions de comprovació i moviments de rols es poden fer des de la PowerShell amb privilegis d’administrador en el sistema operatiu amb un usuari membre del grup Administradors Enterprise. S’ha de tocar el Active Directory!

    Per tant, buscar l’aplicació Windows PowerShell, botó dret damunt la icona i clicar a executar com administrador.

    Per comprovar com estan els rols d’Active Directory des de la consola de PowerShell es diferencien els rols del bosc i del domini.

    Per visualitzar qui té els rols del bosc, la comanda és:

    get-adforest | select SchemaMaster,DomainNamingMaster

    Per visualitzar qui té els rols en cada domini, la comanda és:

    get-addomain | select PDCEmulator,RIDMaster,InfrastructureMaster

    En l’exemple tots els rols els té el servidor víctima. Per tant, primer toca que el servidor mig viu recuperi els rols.

    neteja-active-directory-001

    En cas contrari, si el servidor que té els rols encara estigués viu només cal fer una transferència amb la comanda:

    Move-ADDirectoryServerOperationMasterRole -Identity "SERVIDORWEB" -OperationMasterRole "SchemaMaster, DomainNamingMaster, PDCEmulator, RIDMaster,InfraestructureMaster"

     

    Rol Nom del rol Valor numèric
    Emulador PDC PDCEmulator 0
    Mestre RID RIDMaster 1
    Mestre d’Infraestructura InfraestructureMaster 2
    Mestre d’Esquema SchemaMaster 3
    Mestre Noms de Domini DomainNamingMaster 4

     

    La mateixa comanda, però amb els valors numèrics per simplificar quedaria:

    Move-ADDirectoryServerOperationMasterRole -Identity "SERVIDORWEB" -OperationMasterRole 0,1,2,3,4

    Si no s’han de transferir tots els rols indicar els que corresponguin separats per la coma, per exemple, per transferir només els rols Esquema i Emulador PDC, la comanda seria:

    Move-ADDirectoryServerOperationMasterRole -Identity "SERVIDORWEB" -OperationMasterRole "SchemaMaster, PDCEmulator"

    Com que el servidor que té els rols ja no existeix s’ha de forçar aquesta transferència, afegint el paràmetre -force a la comanda de transferència.

    Move-ADDirectoryServerOperationMasterRole -Identity "SERVIDORWEB" -OperationMasterRole "SchemaMaster, PDCEmulator" -force

    Des de la PowerShell, de moment, poca cosa més podem fer. Per les tasques més avançades sobre l’Active Directory s’ha de recórrer a l’eina NTDSUTIL.

     

    NTDSUTIL

    NTDSUTIL és l’eina per fer les operacions a l’Active Directory a data d’avui, si bé els rols ja es poden veure i modificar per la PowerShell com s’ha vist anteriorment, per aquestes i la resta d’operacions s’utilitza NTDSUTIL. La podeu veure en acció amb la gestió de les còpies de seguretat per instantànies del Active Directory.

    Des de la consola de sistema o PowerShell, normalment en un controlador d’Active Directory, amb privilegis d’administrador, executar la comanda:

    ntdsutil

    NTDSUTIL no és una aplicació gràfica, sinó un intèrpret de comandes. A l’executar la comanda anterior es queda demanant noves comandes.

     

    Transferències de ROLS

    Per comprovar els rols, de la mateixa forma que s’ha fet anteriorment per la PowerShell, escriure:

    roles

    Canvia l’intèrpret de comandes al menú de rols. S’estableix la connexió amb el servidor de treball, el que està viu (SERVIDORWEB) i es torna al menú de rols:

    connections
connect to server SERVIDORWEB
quit

    Amb la connexió realitzada a un dels controladors, seleccionar el servidor on transferir els rols. Per fer-ho cal entrar a l’opció de selecció i especificar el lloc, el domini i el servidor on transferir els rols:

    select operation target

    Com és normal, no sabrem de memòria el lloc on està ubicat i menys el número que ocupa a l’Active Directory. Podem visualitzar els llocs del bosc amb la comanda:

    list sites

    Per seleccionar el lloc es fa amb la següent comanda, indicant el número corresponent segons el llistat de la comanda anterior:

    select site 0

    Per visualitzar el llistat dels dominis es fa amb la comanda:

    list domains

    Per seleccionar el domini amb el què volem treballar, indicant el número corresponent segons el llistat de la comanda anterior:

    select domain 0

    Per visualitzar els servidors que disposa el domini, al lloc seleccionat:

    list servers for domain in site

    Seleccionar el servidor al que volem traslladar els rols, indicant el número corresponent segons el llistat de la comanda anterior:

    select server 1

    Tornar al menú de rols per executar les transferències pròpiament dites:

    quit

    Per transferir els rols, el més normal és fer-ho amb el servidor origen operatiu, sincronitzant les dades entre els servidors. Les comandes per fer-ho són:

    transfer schema master
transfer naming master
transfer PDC
transfer RID master
transfer infrastructure master

    Però, en aquest cas, s’ha de forçar la transferència perquè el servidor origen ja no existeix. Les comandes són diferents:

    seize schema master
seize naming master
seize PDC
seize RID master
seize infrastructure master

    Per tornar al menú principal de NTDSUTIL, executar la comanda:

    quit

    El símbol de comandes ha de quedar a ntdsutil.exe:

     

    Neteja de servidors orfes al Active Directory

    Amb els rols transferits al servidor viu, es pot procedir a fer neteja de l’Active Directory dels servidors que ja no existeixin. Des del menú principal de comandes de ntdsutil, escriure:

    metadata cleanup

    Seleccionar el servidor de connexió on es realitzen les operacions, el que està viu:

    connections
connect to server SERVIDORWEB
quit

    Seleccionar el servidor que s’ha de fer neteja de l’Active Directory:

    select operation target

    Seleccionar el lloc, domini i servidor que està mort:

    list sites
select site 0
list domains
select domain 0
list servers for domain in site

    ULL el servidor que es selecciona, assegurar que és el servidor MORT i no el que està mig viu!

    select server 0
quit

    Procedir a fer neteja del servidor seleccionat:

    remove selected server

    Se’ns pregunta si estem segurs d’eliminar el servidor seleccionat, comprovar que el nom coincideix amb el servidor que tenim MORT i clicar el botó Si.

    neteja-active-directory-002

    Es pot comprovar que l’ Active Directory ha quedat net si es torna a intentar seleccionar el servidor on fer les operacions. No ha d’aparèixer el servidor que s’acaba d’eliminar:

    select site 0
select domain 0
list servers for domain in site

    neteja-active-directory-003

    A nivell funcional d’Active Directory aquest servidor no existeix. No obstant, és possible que en les eines d’administració dels Llocs i Usuaris i Equips d’Active Directory aparegui com un objecte. El podeu esborrar tranquil·lament clicant amb el botó dret damunt d’ell i seleccionar Esborrar.

    I tu?, Ja tens el teu Active Directory net de servidors orfes?

     

    T’ha agradat l’article? El pots compartir a les xarxes socials. També pots deixar la teva opinió, comentari o suggeriment. Gràcies!

    Similar Posts by The Author:

     

    Deixar un comentari

    Recorda que no es contestaran preguntes personals, només d´interés comú que ens enriqueixin a tots.
    La teva adreça de correu electrònic no serà publicada. Els camps obligatoris estan indicats.

    Aquest lloc utilitza Akismet per reduir el correu brossa. Aprendre com la informació del vostre comentari és processada