Neteja Active Directory de controladors orfes

Neteja Active Directory
2 Desembre 2015
Josep Ma Solanes 0

Una de les operacions que toca fer sovint sobre l’Active Directory és la neteja del mateix de controladors que ja no existeixen o que tenen problemes. Servidors que s’han desconnectat de la xarxa per obsolets, però que no s’han despromocionat correctament i continuen esperant per replicar part de l’Active Directory. Un Active Directory dividit en dos amb controladors en ambdues parts, perquè en un moment donat els controladors han perdut la connexió entre sí i cadascun ha agafat la propietat dels rols, catàlegs globals, etc…, dividint-se en dos.

Tot això pot semblar estrany, però passa. A vegades per inconsciència o desconeixement, altres per problemes a la xarxa. En aquests casos el que toca, tranquil·lament, és procedir a netejar l’Active Directory per evitar mals majors i poder tornar a tenir el sistema en plena forma.

El procediment és senzill, però s’ha de ser molt meticulós sinó la podem fer grossa.

Neteja Active Directory amb un exemple

Per entendre millor el procediment, ho faré amb un exemple: disposem d’un Active Directory en que un dels controladors s’ha perdut. En aquest cas m’he aixecat amb mala baba i li he disparat directe a un Windows 2012 R2 que l’ha deixat completament estavellat a terra enmig d’un toll de sang. Com que a més anava de llest, ho he fet amb una rèplica d’Active Directory inacabada i sense saber si tinc el catàleg global i els rols en bon estat. Els protagonistes són:

  • Servidor víctima: JARVIS
  • Servidor mig viu: SERVIDORWEB

L’objectiu és recuperar el funcionament estable de l’Active Directory sobre el servidor mig viu SERVIDORWEB.

 

Gestió de rols per PowerShell

Les operacions de comprovació i moviments de rols es poden fer des de la PowerShell amb privilegis d’administrador en el sistema operatiu amb un usuari membre del grup Administradors Enterprise. S’ha de tocar el Active Directory!

Per tant, buscar l’aplicació Windows PowerShell, botó dret damunt la icona i clicar a executar com administrador.

Per comprovar com estan els rols d’Active Directory des de la consola de PowerShell es diferencien els rols del bosc i del domini.

Per visualitzar qui té els rols del bosc, la comanda és:

get-adforest | select SchemaMaster,DomainNamingMaster

Per visualitzar qui té els rols en cada domini, la comanda és:

get-addomain | select PDCEmulator,RIDMaster,InfrastructureMaster

En l’exemple tots els rols els té el servidor víctima. Per tant, primer toca que el servidor mig viu recuperi els rols.

neteja-active-directory-001

En cas contrari, si el servidor que té els rols encara estigués viu només cal fer una transferència amb la comanda:

Move-ADDirectoryServerOperationMasterRole -Identity "SERVIDORWEB" -OperationMasterRole "SchemaMaster, DomainNamingMaster, PDCEmulator, RIDMaster,InfraestructureMaster"

 

Rol Nom del rol Valor numèric
Emulador PDC PDCEmulator 0
Mestre RID RIDMaster 1
Mestre d’Infraestructura InfraestructureMaster 2
Mestre d’Esquema SchemaMaster 3
Mestre Noms de Domini DomainNamingMaster 4

 

La mateixa comanda, però amb els valors numèrics per simplificar quedaria:

Move-ADDirectoryServerOperationMasterRole -Identity "SERVIDORWEB" -OperationMasterRole 0,1,2,3,4

Si no s’han de transferir tots els rols indicar els que corresponguin separats per la coma, per exemple, per transferir només els rols Esquema i Emulador PDC, la comanda seria:

Move-ADDirectoryServerOperationMasterRole -Identity "SERVIDORWEB" -OperationMasterRole "SchemaMaster, PDCEmulator"

Com que el servidor que té els rols ja no existeix s’ha de forçar aquesta transferència, afegint el paràmetre -force a la comanda de transferència.

Move-ADDirectoryServerOperationMasterRole -Identity "SERVIDORWEB" -OperationMasterRole "SchemaMaster, PDCEmulator" -force

Des de la PowerShell, de moment, poca cosa més podem fer. Per les tasques més avançades sobre l’Active Directory s’ha de recórrer a l’eina NTDSUTIL.

 

NTDSUTIL

NTDSUTIL és l’eina per fer les operacions a l’Active Directory a data d’avui, si bé els rols ja es poden veure i modificar per la PowerShell com s’ha vist anteriorment, per aquestes i la resta d’operacions s’utilitza NTDSUTIL. La podeu veure en acció amb la gestió de les còpies de seguretat per instantànies del Active Directory.

Des de la consola de sistema o PowerShell, normalment en un controlador d’Active Directory, amb privilegis d’administrador, executar la comanda:

ntdsutil

NTDSUTIL no és una aplicació gràfica, sinó un intèrpret de comandes. A l’executar la comanda anterior es queda demanant noves comandes.

 

Transferències de ROLS

Per comprovar els rols, de la mateixa forma que s’ha fet anteriorment per la PowerShell, escriure:

roles

Canvia l’intèrpret de comandes al menú de rols. S’estableix la connexió amb el servidor de treball, el que està viu (SERVIDORWEB) i es torna al menú de rols:

connections
connect to server SERVIDORWEB
quit

Amb la connexió realitzada a un dels controladors, seleccionar el servidor on transferir els rols. Per fer-ho cal entrar a l’opció de selecció i especificar el lloc, el domini i el servidor on transferir els rols:

select operation target

Com és normal, no sabrem de memòria el lloc on està ubicat i menys el número que ocupa a l’Active Directory. Podem visualitzar els llocs del bosc amb la comanda:

list sites

Per seleccionar el lloc es fa amb la següent comanda, indicant el número corresponent segons el llistat de la comanda anterior:

select site 0

Per visualitzar el llistat dels dominis es fa amb la comanda:

list domains

Per seleccionar el domini amb el què volem treballar, indicant el número corresponent segons el llistat de la comanda anterior:

select domain 0

Per visualitzar els servidors que disposa el domini, al lloc seleccionat:

list servers for domain in site

Seleccionar el servidor al que volem traslladar els rols, indicant el número corresponent segons el llistat de la comanda anterior:

select server 1

Tornar al menú de rols per executar les transferències pròpiament dites:

quit

Per transferir els rols, el més normal és fer-ho amb el servidor origen operatiu, sincronitzant les dades entre els servidors. Les comandes per fer-ho són:

transfer schema master
transfer naming master
transfer PDC
transfer RID master
transfer infrastructure master

Però, en aquest cas, s’ha de forçar la transferència perquè el servidor origen ja no existeix. Les comandes són diferents:

seize schema master
seize naming master
seize PDC
seize RID master
seize infrastructure master

Per tornar al menú principal de NTDSUTIL, executar la comanda:

quit

El símbol de comandes ha de quedar a ntdsutil.exe:

 

Neteja de servidors orfes al Active Directory

Amb els rols transferits al servidor viu, es pot procedir a fer neteja de l’Active Directory dels servidors que ja no existeixin. Des del menú principal de comandes de ntdsutil, escriure:

metadata cleanup

Seleccionar el servidor de connexió on es realitzen les operacions, el que està viu:

connections
connect to server SERVIDORWEB
quit

Seleccionar el servidor que s’ha de fer neteja de l’Active Directory:

select operation target

Seleccionar el lloc, domini i servidor que està mort:

list sites
select site 0
list domains
select domain 0
list servers for domain in site

ULL el servidor que es selecciona, assegurar que és el servidor MORT i no el que està mig viu!

select server 0
quit

Procedir a fer neteja del servidor seleccionat:

remove selected server

Se’ns pregunta si estem segurs d’eliminar el servidor seleccionat, comprovar que el nom coincideix amb el servidor que tenim MORT i clicar el botó Si.

neteja-active-directory-002

Es pot comprovar que l’ Active Directory ha quedat net si es torna a intentar seleccionar el servidor on fer les operacions. No ha d’aparèixer el servidor que s’acaba d’eliminar:

select site 0
select domain 0
list servers for domain in site

neteja-active-directory-003

A nivell funcional d’Active Directory aquest servidor no existeix. No obstant, és possible que en les eines d’administració dels Llocs i Usuaris i Equips d’Active Directory aparegui com un objecte. El podeu esborrar tranquil·lament clicant amb el botó dret damunt d’ell i seleccionar Esborrar.

I tu?, Ja tens el teu Active Directory net de servidors orfes?

 

T’ha agradat l’article? El pots compartir a les xarxes socials. També pots deixar la teva opinió, comentari o suggeriment. Gràcies!

Similar Posts by The Author:

 

Deixar un comentari

Recorda que no es contestaran preguntes personals, només d´interés comú que ens enriqueixin a tots.
La teva adreça de correu electrònic no serà publicada. Els camps obligatoris estan indicats.

Aquest lloc utilitza Akismet per reduir el correu brossa. Aprendre com la informació del vostre comentari és processada