Neteja Active Directory de controladors orfes

Una de les operacions que toca fer sovint sobre l’Active Directory és la neteja del mateix de controladors que ja no existeixen o que tenen problemes. Servidors que s’han desconnectat de la xarxa per obsolets, però que no s’han despromocionat correctament i continuen esperant per replicar part de l’Active Directory. Un Active Directory dividit en dos amb controladors en ambdues parts, perquè en un moment donat els controladors han perdut la connexió entre sí i cadascun ha agafat la propietat dels rols, catàlegs globals, etc…, dividint-se en dos.
Tot això pot semblar estrany, però passa. A vegades per inconsciència o desconeixement, altres per problemes a la xarxa. En aquests casos el que toca, tranquil·lament, és procedir a netejar l’Active Directory per evitar mals majors i poder tornar a tenir el sistema en plena forma.
El procediment és senzill, però s’ha de ser molt meticulós sinó la podem fer grossa.
Neteja Active Directory amb un exemple
Per entendre millor el procediment, ho faré amb un exemple: disposem d’un Active Directory en que un dels controladors s’ha perdut. En aquest cas m’he aixecat amb mala baba i li he disparat directe a un Windows 2012 R2 que l’ha deixat completament estavellat a terra enmig d’un toll de sang. Com que a més anava de llest, ho he fet amb una rèplica d’Active Directory inacabada i sense saber si tinc el catàleg global i els rols en bon estat. Els protagonistes són:
- Servidor víctima: JARVIS
- Servidor mig viu: SERVIDORWEB
L’objectiu és recuperar el funcionament estable de l’Active Directory sobre el servidor mig viu SERVIDORWEB.
Gestió de rols per PowerShell
Les operacions de comprovació i moviments de rols es poden fer des de la PowerShell amb privilegis d’administrador en el sistema operatiu amb un usuari membre del grup Administradors Enterprise. S’ha de tocar el Active Directory!
Per tant, buscar l’aplicació Windows PowerShell, botó dret damunt la icona i clicar a executar com administrador.
Per comprovar com estan els rols d’Active Directory des de la consola de PowerShell es diferencien els rols del bosc i del domini.
Per visualitzar qui té els rols del bosc, la comanda és:
get-adforest | select SchemaMaster,DomainNamingMaster
Per visualitzar qui té els rols en cada domini, la comanda és:
get-addomain | select PDCEmulator,RIDMaster,InfrastructureMaster
En l’exemple tots els rols els té el servidor víctima. Per tant, primer toca que el servidor mig viu recuperi els rols.
En cas contrari, si el servidor que té els rols encara estigués viu només cal fer una transferència amb la comanda:
Move-ADDirectoryServerOperationMasterRole -Identity "SERVIDORWEB" -OperationMasterRole "SchemaMaster, DomainNamingMaster, PDCEmulator, RIDMaster,InfraestructureMaster"
Rol | Nom del rol | Valor numèric |
---|---|---|
Emulador PDC | PDCEmulator | 0 |
Mestre RID | RIDMaster | 1 |
Mestre d’Infraestructura | InfraestructureMaster | 2 |
Mestre d’Esquema | SchemaMaster | 3 |
Mestre Noms de Domini | DomainNamingMaster | 4 |
La mateixa comanda, però amb els valors numèrics per simplificar quedaria:
Move-ADDirectoryServerOperationMasterRole -Identity "SERVIDORWEB" -OperationMasterRole 0,1,2,3,4
Si no s’han de transferir tots els rols indicar els que corresponguin separats per la coma, per exemple, per transferir només els rols Esquema i Emulador PDC, la comanda seria:
Move-ADDirectoryServerOperationMasterRole -Identity "SERVIDORWEB" -OperationMasterRole "SchemaMaster, PDCEmulator"
Com que el servidor que té els rols ja no existeix s’ha de forçar aquesta transferència, afegint el paràmetre -force a la comanda de transferència.
Move-ADDirectoryServerOperationMasterRole -Identity "SERVIDORWEB" -OperationMasterRole "SchemaMaster, PDCEmulator" -force
Des de la PowerShell, de moment, poca cosa més podem fer. Per les tasques més avançades sobre l’Active Directory s’ha de recórrer a l’eina NTDSUTIL.
NTDSUTIL
NTDSUTIL és l’eina per fer les operacions a l’Active Directory a data d’avui, si bé els rols ja es poden veure i modificar per la PowerShell com s’ha vist anteriorment, per aquestes i la resta d’operacions s’utilitza NTDSUTIL. La podeu veure en acció amb la gestió de les còpies de seguretat per instantànies del Active Directory.
Des de la consola de sistema o PowerShell, normalment en un controlador d’Active Directory, amb privilegis d’administrador, executar la comanda:
ntdsutil
NTDSUTIL no és una aplicació gràfica, sinó un intèrpret de comandes. A l’executar la comanda anterior es queda demanant noves comandes.
Transferències de ROLS
Per comprovar els rols, de la mateixa forma que s’ha fet anteriorment per la PowerShell, escriure:
roles
Canvia l’intèrpret de comandes al menú de rols. S’estableix la connexió amb el servidor de treball, el que està viu (SERVIDORWEB) i es torna al menú de rols:
connections connect to server SERVIDORWEB quit
Amb la connexió realitzada a un dels controladors, seleccionar el servidor on transferir els rols. Per fer-ho cal entrar a l’opció de selecció i especificar el lloc, el domini i el servidor on transferir els rols:
select operation target
Com és normal, no sabrem de memòria el lloc on està ubicat i menys el número que ocupa a l’Active Directory. Podem visualitzar els llocs del bosc amb la comanda:
list sites
Per seleccionar el lloc es fa amb la següent comanda, indicant el número corresponent segons el llistat de la comanda anterior:
select site 0
Per visualitzar el llistat dels dominis es fa amb la comanda:
list domains
Per seleccionar el domini amb el què volem treballar, indicant el número corresponent segons el llistat de la comanda anterior:
select domain 0
Per visualitzar els servidors que disposa el domini, al lloc seleccionat:
list servers for domain in site
Seleccionar el servidor al que volem traslladar els rols, indicant el número corresponent segons el llistat de la comanda anterior:
select server 1
Tornar al menú de rols per executar les transferències pròpiament dites:
quit
Per transferir els rols, el més normal és fer-ho amb el servidor origen operatiu, sincronitzant les dades entre els servidors. Les comandes per fer-ho són:
transfer schema master transfer naming master transfer PDC transfer RID master transfer infrastructure master
Però, en aquest cas, s’ha de forçar la transferència perquè el servidor origen ja no existeix. Les comandes són diferents:
seize schema master seize naming master seize PDC seize RID master seize infrastructure master
Per tornar al menú principal de NTDSUTIL, executar la comanda:
quit
El símbol de comandes ha de quedar a ntdsutil.exe:
Neteja de servidors orfes al Active Directory
Amb els rols transferits al servidor viu, es pot procedir a fer neteja de l’Active Directory dels servidors que ja no existeixin. Des del menú principal de comandes de ntdsutil, escriure:
metadata cleanup
Seleccionar el servidor de connexió on es realitzen les operacions, el que està viu:
connections connect to server SERVIDORWEB quit
Seleccionar el servidor que s’ha de fer neteja de l’Active Directory:
select operation target
Seleccionar el lloc, domini i servidor que està mort:
list sites select site 0 list domains select domain 0 list servers for domain in site
ULL el servidor que es selecciona, assegurar que és el servidor MORT i no el que està mig viu!
select server 0 quit
Procedir a fer neteja del servidor seleccionat:
remove selected server
Se’ns pregunta si estem segurs d’eliminar el servidor seleccionat, comprovar que el nom coincideix amb el servidor que tenim MORT i clicar el botó Si.
Es pot comprovar que l’ Active Directory ha quedat net si es torna a intentar seleccionar el servidor on fer les operacions. No ha d’aparèixer el servidor que s’acaba d’eliminar:
select site 0 select domain 0 list servers for domain in site
A nivell funcional d’Active Directory aquest servidor no existeix. No obstant, és possible que en les eines d’administració dels Llocs i Usuaris i Equips d’Active Directory aparegui com un objecte. El podeu esborrar tranquil·lament clicant amb el botó dret damunt d’ell i seleccionar Esborrar.
I tu?, Ja tens el teu Active Directory net de servidors orfes?
T’ha agradat l’article? El pots compartir a les xarxes socials. També pots deixar la teva opinió, comentari o suggeriment. Gràcies!
Similar Posts by The Author:
- Microsoft SQL Server con SMB3
- Microsoft SQL Server amb SMB3
- Containers en Linux
- Containers amb Linux
- Migrar el servidor de archivos a Windows Server 2019
- Migrar el servidor de fitxers a Windows Server 2019
- Puerta enlace a Azure en el Windows Admin Center
- Porta enllaç a Azure en el Windows Admin Center
- Hola mundo! WordPress 5 y Gutenberg
- Hola món! WordPress 5 i Gutenberg