Logo faq-o-matic.net
Logo faq-o-matic.net

Ehemaliger DC lässt sich nicht löschen

von veröffentlicht am1. September 2020, 06:27 Uhr Kurzlink und Zitatlink einblenden
Kategorie Kategorie: Active Directory, AD: Daten bearbeiten   Translate with Google Translate Translate EN   Die angezeigte Seite drucken

Auch Domänencontroller segnen irgendwann das Zeitliche. Weiß man das vorher, dann kann (und sollte) man den DC geordnet aus dem Active Directory entfernen. Das geht recht einfach über eine ordentliche Deinstallation.

Nun kann ein DC aber auch einfach “versterben” – der Server ist kaputt und lässt sich nicht reparieren. Für den laufenden Betrieb ist das meist nur ein geringes Problem, weil man “einfach” einen neuen DC installieren kann und so die gewünschte Redundanz wieder herstellt. Nun hat man allerdings das verwaiste Objekt des ehemaligen Domänencontrollers noch im AD.

In den meisten Fällen ist auch dies unproblematisch. Schon seit vielen Jahren kann man das DC-Objekt einfach über das Dienstprogramm “Active-Directory-Benutzer und -Computer” löschen, das Tool kümmert sich dann um den Rest. Früher musste man umständlich mit ntdsutil arbeiten, das leider etwas krude in der Bedienung ist*.

Was aber, wenn sich Active Directory weigert mit dem Hinweis: Zugriff verweigert? In den meisten Fällen ist dafür das Häkchen “Objekt vor zufälligem Löschen schützen” zuständig. Ist es aktiv, dann kann man das Objekt nicht löschen. Man muss erst den Haken entfernen. Eine zusätzliche Hürde lauert dabei, denn das Häkchen kann an mindestens zwei stellen stehen.

Einmal könnte es in “Active-Directory-Benutzer und -Computer” stehen:

image

Auch in “Active-Directory-Standorte und –Dienste” kann es auftauchen:

image

Auf der Kommandozeile lässt sich das so prüfen. Falls das Häkchen gesetzt ist, wird ganz am Anfang der Liste mindestens ein Eintrag mit “Verweigern” (Deny) auftauchen:

dsacls "CN=DC-Name,OU=Domain Controllers,DC=domain,DC=tld"
dsacls "CN=NTDS Settings,CN=DC01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=domain,DC=tld"

An beiden Stellen muss das Häkchen leer sein, damit das Löschen funktioniert.

* Eine Anmerkung noch zu ntdsutil: Leider gibt es zu dem Tool eine ganze Reihe falscher Anleitungen. Auch die Anleitung auf einigen Microsoft-Seiten ist leider falsch. Die folgende Seite enthält eine korrekte Anleitung:

[Forced removal of a Domain Controller from Active Directory – Dimitris Tonias]
https://www.dtonias.com/forced-removal-domain-controller/

© 2005-2020 bei faq-o-matic.net. Alle Rechte an den Texten liegen bei deren Autorinnen und Autoren.

Jede Wiederveröffentlichung der Texte oder von Auszügen daraus - egal ob kommerziell oder nicht - bedarf der ausdrücklichen Genehmigung durch die jeweiligen Urheberinnen oder Urheber.

Das Impressum findet sich unter: http://www.faq-o-matic.net/impressum/

Danke, dass du faq-o-matic.net nutzt. Du hast ein einfaches Blog sehr glücklich gemacht!