rafiki
Goto Top

Wie eine Domain aus dem Forrest manuell löschen?

Nicht bloss einen Domain Controller sondern die ganze Domain löschen wenn kein DC mehr vorhanden ist.

Hallo,

vereinfacht gesagt: Es gibt bei einem Kunden im Forrest eine Masterdomain, " Master " und drei Tochterfirmen: "nord", "sued", und "mitte". Jede Tochterfirma betreibt eine Domain im Forrest, jeweils am eigenen Standort mit zwei Domain Controllern.
Der Server heißt also: server1.nord.master.de oder email3.sued.master.de

Jetzt wurde die Tochterfirma "mitte" verkauft und beide Domain Controller sind weg. Oooops. Dem Kunden ist aufgefallen, dass die alte Domain noch im AD steht und für Probleme sorgt da z.B. die Benutzerkonten der verkauften Kollegen nicht mehr aufgelöst werden. Dann habe ich nach einem Backupband vom DC gefragt. Gibt es nicht mehr, das ist alles verkauft. Aber wir versuchen es mal ob wir evtl. doch ein Backupband bekommen können. (Vorstand, Juristen, Vertrag, viel Gelaber und kein Ergebnis)

Ich weiß sehr wohl wie man mit NTDSutil einen verlorenen Domain Controller aus der eigenen Domain entfernt, aber der Kunde fragt wie man die Domain, mit allen Resten im AD, entfernt. Da nun kein DC mehr erreichbar ist kann man auch keinen DC zu der Domain hinzufügen.

Hätte man mich vorher gefragt . . . und warum fragt ihr mich jetzt?!
Bin für Vorschläge und Hinweise dankbar.

Gruß Rafiki

Content-ID: 77112

Url: https://administrator.de/contentid/77112

Ausgedruckt am: 05.11.2024 um 21:11 Uhr

TuXHunt3R
TuXHunt3R 03.01.2008 um 14:57:20 Uhr
Goto Top
Hallo Rafiki

Eventuell ist das hier was für dich:
http://support.microsoft.com/?id=230306

Gruss TuXHunT3R
nils-0401
nils-0401 03.01.2008 um 15:05:23 Uhr
Goto Top
Die Informationen in diesem Artikel beziehen sich auf:
• Microsoft Windows 2000 Advanced Server
• Microsoft Windows 2000 Datacenter Server
• Microsoft Windows 2000 Server

Also evtl etwas Vorsicht bei der Anleitung.
Rafiki
Rafiki 03.01.2008 um 16:13:50 Uhr
Goto Top
Hi TuXHunT3R,

vielen Dank! Das ist sehr hilfreich, ich habe mir gerade den KB Artikel durchgelesen. Warum habe ich den nicht gefunden? Ich hoffe das funktioniert und melde mich dann wieder.

Gruß Rafiki
Rafiki
Rafiki 03.01.2008 um 16:14:35 Uhr
Goto Top
die englische Version ist aktueller ! und gilt auch für Windows Server 2003.
TuXHunt3R
TuXHunt3R 03.01.2008 um 20:36:39 Uhr
Goto Top
Warum habe ich den nicht gefunden?

Ich habe ihn auch nicht gleich gefunden, musste einen Kollegen fragen, der den Link in den Favoriten gespeichert hatte face-smile
Rafiki
Rafiki 03.01.2008 um 21:01:57 Uhr
Goto Top
Nur mal so ein kleines Update zu allgemeinen Erheiterung.
In dem KB Artikel von Microsoft, den ich befolgen möchte, steht ausdrücklich das es zu Problemen kommen kann und man solle unbedingt ein funktionierendes Backup haben.

Standort "Master" hat ein Backup von dem einen DC aber kein Backup von dem anderen DC.
Standort "nord" war sich nicht sicher wann man das letzte Backup gemacht hat und ob das ActiveDirectory mit gesichert wird. - Da habe ich lieber nicht gefragt ob man schon mal ausprobiert hat ob das Wiederherstellen funktioniert.
Standort "mitte" ist nun verkauft, warum sollte man "die anderen" Informieren? Auf meinen Einwand, dass deren Domain möglicherweise Probleme bekommt wenn über die Thombstone Zeit hinaus kein Kontakt zur Master Domain erfolgt interessiert hier niemanden. Finde ich schade wie schnell man seine Kollegen vergißt.
Wer am Standort "sued" für die EDV zuständig ist war innerhalb von nur einem Tag nicht wirklich zu klären. Immerhin liegt mir das Passwort für den Domainadmin vor. (Ich bin glücklich!) Nach Dokumentation oder Backup habe ich noch nicht einmal gewagt zu fragen.

Und weil’s so schön ist: Auf einem Domain Controller sind Tools installiert um Passworte von ZIP und Word Dateien zu knacken aber keine AntiVirus Software. Der "Server" ist ein PC, steht unter dem Schreibtisch und ist vollständig zugestaubt. Von außen (Firmengebäude, Webseite) sieht diese Firma echt Professionell aus.
"Never judge a Book by it's cover"

Als mir diese Aufgabe von meinem Chef so zugeschoben wurde, mit den Worten: "Hilf mal unseren Freunden, ist doch bestimmt nur 10min für dich." dachte ich noch so: Warum werde ich damit bestraft? Was habe ich böses gemacht? Ach ja, es viel mir wieder ein: Ich bin vom Beruf ein Admin! face-sad

Gruß euer tapferer Rafiki, heute mal leicht frustriert.
Rafiki
Rafiki 31.01.2008 um 21:18:18 Uhr
Goto Top
Dem schwer angeschlagenen Active Directory aus dem Beitrag von oben geht es wieder gut. Jeder Standort hat mittlerweile ein funktionierendes Backup und auch USV Notstrombatterien werden gerade eingebaut.

Für die alle die evtl. mal vor einem ähnlichem Problemchen stehen sollten, hier die nötigen KB Artikel. Bei allen Microsoft Knowledge Base Artikeln empfehle ich die englische Fassung im Original. Die automatische Übersetzung ist nicht immer eindeutig zu verstehen.

This how-to article describes the steps to automatically or manually remove Microsoft Exchange Server 2003 from your computer.
http://support.microsoft.com/kb/833396
Im zweiten Abschnitt von diesem Artikel wird beschrieben wie man einen Exchange Server, der nicht mehr existiert im Exchange Systems Manger und AD löscht damit die anderen Exchange Server den verlorenen Server nicht mehr suchen. Wenn dem Domainadmin hier das löschen verwehrt wird, steht ganz am Ende von dem Artikel warum und wie die nötigen Berechtigungen eingestellt werden.


How to remove data in Active Directory after an unsuccessful domain controller demotion
http://support.microsoft.com/kb/216498/EN-US/



Nils sagte bereits:

How to remove orphaned domains from Active Directory
http://support.microsoft.com/kb/230306/EN-US/

Wenn dann bei der Anleitung, wie in unserem Fall auch, der Fehler auftritt das die Domain noch nicht leer ist dann hilft die folgende Anleitung.

How can I avoid receiving an 0x2015 error when I use Ntdsutil to delete a nonexistent domain?
If you have a child domain that no longer exists and has no servers, you can use Ntdsutil's Active Directory (AD) metadata cleanup capability to delete the domain. However, when you use metadata cleanup, you might receive the error "metadata cleanup: remove selected domain DsRemoveDsDomainW error 0x2015 (The directory service can perform the requested operation only on a leaf object.)" The error means that the domain still contains information (usually a domain DNS zone). You can check the domain and resolve the problem as follows:
http://www.windowsitpro.com/Articles/ArticleID/42485/42485.html



Wenn ich schon mal dabei bin:
Active Directory Backup and Restore
http://technet.microsoft.com/en-us/library/bb727048.aspx