Данная статья посвящена процессу удаления данных из Active Directory после неудачного понижения роли контроллера домена.

Предупреждение. Неправильное изменение атрибутов объектов Active Directory с помощью оснастки редактирования ADSI, средства LDP или любого другого клиента LDAP версии 3 может привести к возникновению серьезных неполадок. В некоторых случаях их устранение связано с переустановкой Windows 2000 Server, Windows Server 2003, Exchange 2000 Server, Exchange Server 2003 или операционной системы Windows одновременно с сервером Exchange. Корпорация Майкрософт не гарантирует устранения неполадок, являющихся результатом неправильного изменения атрибутов объектов службы каталогов Active Directory. Ответственность за результаты произведенных действий несет пользователь.

Мастер установки Active Directory (программа Dcpromo.exe) используется для повышения роли сервера до контроллера домена и для понижения роли контроллера домена до рядового сервера (или изолированного сервера в составе рабочей группы, если этот контроллер был последним в данном домене). В процессе понижения роли контроллера домена программа Dcpromo.exe удаляет из Active Directory сведения о его конфигурации. Эти сведения представлены объектом NTDS Settings, который является дочерним для объекта-сервера в оснастке «Active Directory – cайты и службы».

Сведения хранятся в Active Directory по адресу: Атрибуты объекта NTDS Settings содержат данные о способе идентификации контроллера домена участниками репликации, контексты именования, существующие на компьютере, политику запросов по умолчанию и данные о том, является ли контроллер домена сервером глобального каталога. Объект NTDS Settings является контейнером, который может содержать дочерние объекты, представляющие собой прямых участников репликации данного контроллера домена. Эти данные необходимы для работы контроллера домена, но становятся ненужными после понижения его роли.

Если объект NTDS Settings не был должным образом удален (например, после попытки понижения роли), администратор может сделать это вручную с помощью программы Ntdsutil.exe. Ниже приведены инструкции по удалению объекта NTDS Settings из Active Directory для заданного контроллера домена. В любом меню программы Ntdsutil для получения сведений о доступных параметрах используется команда help.

Пакет обновлений 1 (SP1) для Windows Server 2003 – Усовершенствованная версия программы Ntdsutil.exe

Версия программы Ntdsutil.exe, включенная в пакет обновлений 1 (SP1) для Windows Server 2003, усовершенствована для обеспечения полноты процесса очистки метаданных. При очистке метаданных программа Ntdsutil.exe в составе пакета обновлений 1 (SP1) выполняет следующие операции:

•	Удаляет объект NTDSA или NTDS Settings.
•	Удаляет объекты входящих подключений Active Directory, которые используются существующими конечными контроллерами домена для репликации из удаляемого исходного контроллера домена.
•	Удаляет учетную запись компьютера.
•	Удаляет объект члена FRS.
•	Удаляет объекты подписчиков FRS.
•	Выполняет попытку перехвата ролей одиночного гибкого хозяина операций (также именуемых операциями одиночного гибкого хозяина или FSMO), которыми обладает удаляемый контроллер домена.

Внимание! Перед удалением объекта NTDS Settings вручную убедитесь, что после понижения роли была произведена репликация. Неправильное использование программы NTDSUTIL может повлечь за собой частичную или полную неработоспособность службы Active Directory.

Первый метод: только для Windows Server 2003 с пакетом обновлений 1 (SP1)

1.	Нажмите кнопку Пуск и последовательно выберите пункты Программы, Стандартные и Командная строка.
2.	В командной строке введите ntdsutil и нажмите клавишу ВВОД.
3.	Введите metadata cleanup и нажмите клавишу ВВОД. Для фактического выполнения удаления необходимо указать дополнительные параметры.
4.	Введите команду connections и нажмите клавишу ВВОД. Это меню предназначено для подключения к серверу, на котором происходят изменения. Если текущий пользователь не обладает правами администратора, перед подключением следует указать другую учетную запись. Для этого введите команду set creds имя_домена имя_пользователя Пароль и нажмите клавишу ВВОД. В случае использования пустого пароля введите null.
5.	Введите команду connect to server имя_сервера и нажмите клавишу ВВОД. Появится сообщение о подключении к серверу. При возникновении ошибки убедитесь, что доступен контроллер домена, который используется для подключения, а текущая учетная запись обладает правами администратора на сервере. Примечание. Если выполняется подключение к удаляемому серверу, то при попытке его удаления (действие 15) может появиться следующее сообщение об ошибке: Ошибка 2094. Невозможно удалить объект DSA0x2094
6.	Введите команду quit и нажмите клавишу ВВОД. Появится меню Metadata Cleanup.
7.	Введите команду select operation target и нажмите клавишу ВВОД.
8.	Введите команду list domains и нажмите клавишу ВВОД. Появится список доменов леса с номерами.
9.	Введите команду select domain номер и нажмите клавишу ВВОД, где номер – номер домена, которому принадлежит удаляемый сервер. Выбранный домен используется для проверки того, является ли удаляемый сервер последним контроллером в этом домене.
10.	Введите команду list sites и нажмите клавишу ВВОД. Появится список узлов с номерами.
11.	Введите команду select site номер и нажмите клавишу ВВОД, где номер – номер узла, которому принадлежит удаляемый сервер. Появится подтверждение выбранного домена и узла.
12.	Введите команду list servers in site и нажмите клавишу ВВОД. Появится список серверов узла с номерами.
13.	Введите команду select server номер, где номер – номер удаляемого сервера. Появится подтверждение, которое содержит имя выбранного сервера, его DNS-имя и местонахождение учетной записи.
14.	Введите команду quit и нажмите клавишу ВВОД. Появится меню Metadata Cleanup.
15.	Введите команду remove selected server и нажмите клавишу ВВОД. Должно появиться сообщение об успешном удалении сервера. Появление следующего сообщения об ошибке свидетельствует о том, что объект NTDS Settings был удален из Active Directory ранее другим администратором или в результате репликации успешного удаления объекта после запуска программы DCPROMO. Ошибка 8419 (0x20E3) Не удается найти объект DSA Примечание . Это сообщение об ошибке также может появиться при подключении к удаляемому контроллеру домена. Программа Ntdsutil не должна подключаться к контроллеру домена, который будет удаляться при очистке метаданных.
16.	Введите во всех меню команду quit, чтобы завершить работу Ntdsutil. Появится сообщение об отключении от сервера.
17.	Удалите запись типа cname в зоне _msdcs.корневой_домен_леса на сервере DNS. Предположим, контроллер домена будет установлен повторно и его роль будет повышена. В этом случае создается новый объект NTDS Settings с новым идентификатором GUID и новой записью типа cname в DNS. Если не удалить старую запись типа cname, то она может быть использована существующими контроллерами домена. Кроме того, рекомендуется удалять имя компьютера и другие связанные с ним записи DNS. По истечении срока аренды адреса DHCP, выделенного данному серверу, другой компьютер может получить этот IP-адрес.
18.	С помощью консоли управления DNS удалите в DNS запись A. Запись А также называют записью узла. Для удаления записи типа А щелкните ее правой кнопкой мыши и выберите команду Удалить. Удалите также запись типа cname в контейнере _msdcs. Для этого разверните контейнер _msdcs, правой кнопкой мыши щелкните запись cname и выберите команду Удалить. Внимание! Если удаляется сервер DNS, необходимо удалить ссылку на данный контроллер домена на вкладке Серверы имен. Для этого в консоли DNS выберите имя домена в списке Зоны прямого просмотра и удалите сервер на вкладке Серверы имен. Примечание. Кроме того, сервер необходимо удалить из зон обратного просмотра (если они используются).
19.	Если удаленный компьютер был последним контроллером в дочернем домене, который также удаляется, следует с помощью средства ADSIEdit удалить объект trustDomain дочернего домена. Для этого выполните следующие действия: a. Выберите в меню Пуск пункт Выполнить, введите команду adsiedit.msc и нажмите кнопку OК. b. Разверните контейнер Domain NC. c. Разверните DC=имя_домена, DC=COM, PRI, LOCAL, NET. d. Разверните узел CN=System. e. Щелкните правой кнопкой мыши объект Trust Domain и выберите команду Удалить.
20.	Для удаления контроллера домена с помощью оснастки «Active Directory – cайты и службы» Для этого выполните следующие действия: a. Запустите оснастку «Active Directory – сайты и службы». b. Разверните элемент Узлы. c. Разверните узел сервера. По умолчанию используется узел Default-First-Site-Name. d. Разверните элемент Сервер. e. Щелкните правой кнопкой мыши контроллер домена и выберите команду Удалить.

Второй метод: Windows 2000 (все версии) Windows Server 2003 RTM

1.	Нажмите кнопку Пуск и последовательно выберите пункты Программы, Стандартные и Командная строка.
2.	В командной строке введите ntdsutil и нажмите клавишу ВВОД.
3.	Введите metadata cleanup и нажмите клавишу ВВОД. Для фактического выполнения удаления необходимо указать дополнительные параметры.
4.	Введите команду connections и нажмите клавишу ВВОД. Это меню предназначено для подключения к серверу, на котором происходят изменения. Если текущий пользователь не обладает правами администратора, перед подключением следует указать другую учетную запись. Для этого введите команду set creds имя_домена имя_пользователя Пароль и нажмите клавишу ВВОД. В случае использования пустого пароля введите null.
5.	Введите команду connect to server имя_сервераи нажмите клавишу ВВОД. Появится сообщение о подключении к серверу. При возникновении ошибки убедитесь, что доступен контроллер домена, который используется для подключения, а текущая учетная запись обладает правами администратора на сервере. Примечание. Если выполняется подключение к удаляемому серверу, то при попытке его удаления (действие 15) может появиться следующее сообщение об ошибке: Ошибка 2094. Невозможно удалить объект DSA0x2094
6.	Введите команду quit и нажмите клавишу ВВОД. Появится меню Metadata Cleanup.
7.	Введите команду select operation target и нажмите клавишу ВВОД.
8.	Введите команду list domains и нажмите клавишу ВВОД. Появится список доменов леса с номерами.
9.	Введите команду select domain номер и нажмите клавишу ВВОД, где номер – номер домена, которому принадлежит удаляемый сервер. Выбранный домен используется для проверки того, является ли удаляемый сервер последним контроллером в этом домене.
10.	Введите команду list sites и нажмите клавишу ВВОД. Появится список узлов с номерами.
11.	Введите команду select site номер и нажмите клавишу ВВОД, где номер – номер узла, которому принадлежит удаляемый сервер. Появится подтверждение выбранного домена и узла.
12.	Введите команду list servers in site и нажмите клавишу ВВОД. Появится список серверов узла с номерами.
13.	Введите команду select server номер, где номер – номер удаляемого сервера. Появится подтверждение, которое содержит имя выбранного сервера, его DNS-имя и местонахождение учетной записи.
14.	Введите команду quit и нажмите клавишу ВВОД. Появится меню Metadata Cleanup.
15.	Введите команду remove selected server и нажмите клавишу ВВОД. Должно появиться сообщение об успешном удалении сервера. Если появляется следующее сообщение об ошибке: Ошибка 8419 (0x20E3) Не удается найти объект DSA. Это значит, что объект NTDS Settings был удален ранее другим администратором или в результате репликации удаления объекта после запуска программы Dcpromo. Примечание. Это сообщение об ошибке также может появиться при подключении к удаляемому контроллеру домена. Программа Ntdsutil не должна подключаться к контроллеру домена, который будет удаляться при очистке метаданных.
16.	Введите во всех меню команду quit, чтобы завершить работу Ntdsutil. Появится сообщение об отключении от сервера.
17.	Удалите запись типа cname в зоне _msdcs.корневой_домен_леса на сервере DNS. Предположим, контроллер домена будет установлен повторно и его роль будет повышена. В этом случае создается новый объект NTDS Settings с новым идентификатором GUID и новой записью типа cname в DNS. Если не удалить старую запись, то она может быть использована существующими контроллерами домена. Кроме того, рекомендуется удалять имя компьютера и другие связанные с ним записи DNS. По истечении срока аренды адреса DHCP, выделенного данному серверу, другой компьютер может получить этот IP-адрес.

После удаления объекта NTDS Settings можно удалить учетную запись компьютера, объект FRS, запись типа cname (Alias) в контейнере _msdcs, запись A (Host) в DNS, объект trustDomain удаленного дочернего домена и контроллер домена.

Средство Adsiedit входит в состав пакета средств поддержки для Windows 2000 Server и Windows Server 2003. Чтобы установить пакет средств поддержки, выполните следующие действия:

•	Windows 2000 Server: Перейдите в папку Support\Tools, находящуюся на компакт-диске Windows 2000 Server, дважды щелкните файл Setup.exe и следуйте инструкциям, появляющимся на экране.
•	Windows Server 2003: Перейдите в папку Support\Tools, находящуюся на компакт-диске Windows 2003 Server, дважды щелкните файл Suptools.msi, нажмите кнопку Установить и следуйте инструкциям мастера установки.

1.	Для удаления учетной записи компьютера с помощью ADSIEdit Для этого выполните следующие действия: a. Выберите в меню Пуск пункт Выполнить, введите в поле Открыть команду adsiedit.msc и нажмите кнопку ОК. b. Разверните контейнер Domain NC. c. Разверните DC=имя_домена, DC=COM, PRI, LOCAL, NET. d. Разверните узел OU=Domain Controllers. e. Щелкните правой кнопкой мыши CN=имя контроллера домена и выберите команду Удалить. Если появится сообщение об ошибке «Невозможно удалить объект DSA», измените значение параметра UserAccountControl. Для этого щелкните правой кнопкой мыши контроллер домена в ADSIEdit и выберите команду Properties. В списке Select a property to view выберите параметр UserAccountControl. Нажмите кнопку Clear, введите значение 4096 и нажмите кнопку Set. Теперь объект можно удалить. Примечание. Объект подписчика FRS является дочерним объектом учетной записи компьютера и удаляется одновременно с объектом-компьютером.
2.	Для удаления объекта FRS с помощью средства ADSIEdit Для этого выполните следующие действия: a. Выберите в меню Пуск пункт Выполнить, введите в поле Открыть команду adsiedit.msc и нажмите кнопку ОК. b. Разверните контейнер Domain NC. c. Разверните DC=имя_домена, DC=COM, PRI, LOCAL, NET. d. Разверните узел CN=System. e. Разверните узел CN=File Replication Service. f. Разверните узел CN=Domain System Volume (SYSVOL share). g. Правой кнопкой мыши щелкните подлежащий удалению контроллер домена и выберите команду Удалить.
3.	С помощью консоли управления DNS удалите в DNS запись A. Запись А также называют записью узла. Для удаления записи типа А щелкните ее правой кнопкой мыши и выберите команду Удалить. Кроме того, необходимо удалить запись типа cname (Alias) в контейнере _msdcs. Для этого разверните контейнер _msdcs, правой кнопкой мыши щелкните запись cname и выберите команду Удалить. Внимание! Если удаляется сервер DNS, необходимо удалить ссылку на данный контроллер домена на вкладке Серверы имен. Для этого в консоли DNS выберите имя домена в списке Зоны прямого просмотра и удалите сервер на вкладке Серверы имен. Примечание. Кроме того, сервер необходимо удалить из зон обратного просмотра (если они используются).
4.	Если удаленный компьютер был последним контроллером в дочернем домене, который также удаляется, следует с помощью средства ADSIEdit удалить объект trustDomain дочернего домена. Для этого выполните следующие действия: a. Выберите в меню Пуск пункт Выполнить, введите в поле Открыть команду adsiedit.msc и нажмите кнопку ОК. b. Разверните контейнер Domain NC. c. Разверните DC=имя_домена, DC=COM, PRI, LOCAL, NET. d. Разверните узел CN=System. e. Щелкните правой кнопкой мыши объект Trust Domain и выберите команду Удалить.
5.	Для удаления контроллера домена с помощью оснастки «Active Directory – cайты и службы» Для этого выполните следующие действия: a. Запустите оснастку «Active Directory – сайты и службы». b. Разверните элемент Узлы. c. Разверните узел сервера. По умолчанию используется узел Default-First-Site-Name. d. Разверните элемент Сервер. e. Щелкните правой кнопкой мыши контроллер домена и выберите команду Удалить.

Дополнительный синтаксис с расширенными возможностями в пакете обновлений 1 (SP1) версии файла Ntdsutil.exe

В Windows Server 2003 с пакетом обновлений 1 (SP1) для использования представлен новый синтаксис. При использовании нового синтаксиса нет необходимости выполнять привязывание к службе каталогов и выбирать цель операции. Для использования нового синтаксиса необходимы сведения относительно DN объекта NTDS Settings понижаемого сервера. Для использования нового синтаксиса с целью очистки метаданных выполните следующие действия:

1.	Запустите строку ntdsutil.
2.	Выберите команду очистки метаданных prompt.
3.	Запустите следующую команду: remove selected server Ниже приведен пример этой команды. Примечание. Указанная команда состоит из одной строки, которая была разбита на несколько. Remove selected server cn=servername,cn=servers,cn=sitename,cn=sites,cn=configuration,dc=
4.	Удалите запись типа cname в зоне _msdcs.корневой_домен_леса на сервере DNS. Предположим, контроллер домена будет установлен повторно и его роль будет повышена. В этом случае создается новый объект NTDS Settings с новым идентификатором GUID и новой записью типа cname в DNS. Если не удалить старую запись типа cname, то она может быть использована существующими контроллерами домена. Кроме того, рекомендуется удалять имя компьютера и другие, связанные с ним записи DNS. По истечении срока аренды адреса DHCP, выделенного данному серверу, другой компьютер может получить этот IP-адрес.
5.	Если удаленный компьютер был последним контроллером в дочернем домене, который также удаляется, следует с помощью средства ADSIEdit удалить объект trustDomain дочернего домена. Для этого выполните следующие действия: a. Выберите в меню Пуск пункт Выполнить, введите команду adsiedit.msc и нажмите кнопку OК. b. Разверните контейнер Domain NC. c. Разверните DC=имя_домена, DC=COM, PRI, LOCAL, NET. d. Разверните узел CN=System. e. Щелкните правой кнопкой мыши объект Trust Domain и выберите команду Удалить.
6.	Для удаления контроллера домена с помощью оснастки «Active Directory – cайты и службы» Для этого выполните следующие действия: a. Запустите оснастку «Active Directory – сайты и службы». b. Разверните элемент Узлы. c. Разверните узел сервера. По умолчанию используется узел Default-First-Site-Name. d. Разверните элемент Сервер. e. Щелкните правой кнопкой мыши контроллер домена и выберите команду Удалить.

Дополнительные сведения о принудительном понижении роли контроллеров домена под управлением Windows Server 2003 и Windows 2000 см. в следующей статье базы знаний Майкрософт:

Определение DN сервера

Существует несколько способов получения DN объекта сервера, который планируется удалить. В приведенном примере используется средство Ldp.exe. Для получения DN при помощи Ldp.exe выполните следующие действия:

1.	Запустите средство LDP.
2.	Выполните привязку к rootDSE.
3.	Выберите View\tree. Базовым значением для DN должно быть cn=configuration,dc=rootdomain,dc=.
4.	Разверните элемент Узлы.
5.	Разверните узел размещения объекта сервера.
6.	Разверните элемент Серверы.
7.	Разверните удаляемый сервер.
8.	Найдите строку, расположенную справа, которая начинается с DN.
9.	Скопируйте всю строку, за исключением DN. Небольшой пример первой части LDP: Expanding base 'CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites, CN=Configuration,DC=corp,DC=com'... Result : (null) Matched DNs: Getting 1 entries: >> Dn: CN=DC1,CN=Servers, CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=corp,DC=com” Необходимо скопировать следующее: "CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites, CN=Configuration,DC=corp,DC=com"

Источник: support.microsoft.com