Obiettivo:
- Spostare forzatamente i ruoli FSMO (Schema master, Domain naming master, PDC, RID pool manager, Infrastructure master) da un DC offline \ compromesso
- Eliminare il vecchio DC offline
Soluzione:
Ruoli FSMO
- Controllare lo stato attuale di ruoli FSMO con il seguente comando:
netdom query fsmo
- Aprire una finestra Powershell con diritti amministrativi e digitare il seguente comando:
Move-ADDirectoryServerOperationMasterRole “<servername>” –OperationMasterRole 0,1,2,3,4 -Force
- Lanciare nuovamente il comando seguente per verificare l’avvenuto spostamento dei ruoli:
netdom query fsmo
NTDSUTIL
- ntdsutil
- metadata cleanup
- connections
- connect to server < servername→Here <servername→ is the domain controller (any functional domain controller in the same domain) from which you plan to clean up the metadata of the failed domain controller. Press Enter after entering your server name. In this case, consider the server name to be server100. You will see the following entry.
- quit
- select operation target
- list domains
- Type select domain <number→, where <number→ corresponds to the domain in which the failed server was located. Press Enter.
- list sites
- Type select site <number→, where <number→ refers to the number of the site in which the domain controller was a member. Press Enter.
select operation target: Select site 0
We specify the number as 0 here, as the previous prompt let us know that 0 is the number assigned to the site available. Next you will see:
Site-CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=dorg,zC=net
Domain – DC=dorg,DC=net
No current server
No current Naming Context - list servers in site
- Type select server <number→ and press Enter, where <number→ refers to the domain controller to be removed.
select operation target: Select server 0 - quit
- remove selected server
- Type quit, and press Enter until you return to the command prompt to remove the failed server object from the sites.
Oggetti rimanenti
- Aprire la finestra “Active Directory Utenti e Computers” e spostarsi sulla cartella “Domain Controllers” sulla sinistra, eliminare l’oggetto inerente al vecchio DC.
- Aprire la finestra “Siti e Servizi di Active Directory” ed espandere gli oggetti “Servers”, eliminare l’oggetto inerente al vecchio DC.
- Come ultimo step, controllare e rimuovere il vecchio DC dalla lista dei server DNS
- Controllare anche la configurazione TCP\IP delle schede di rete, eventuali opzioni DHCP riguardanti server DNS