poniedziałek, 12 października 2015

Usuwanie kontrolera domeny z domeny o poziomie funkcjonalności Windows Server 2003

Jeżeli chcecie podnieść domenę o poziomie Windows 2003 Server do wyższego poziomu, to możecie mieć potrzebę usunięcia kontrolerów domeny opartych właśnie o ten system.

Operację taką wykonujemy najlepiej kiedy w domenie znajduje się już kontroler oparty o nowszy system np. Windows 2012 Server. Jeżeli nie wiecie jak dołączyć kontroler do istniejącej domeny to polecam przeczytanie posta - Dołączanie kontrolera Windows 2012R2 do domeny o poziomie funkcjonalności Windows 2003.


Czynności przygotowawcze

Przed przystąpieniem do usuwania starego kontrolera domeny należy upewnić się, że role FSMO (RID Master, PDC Emulator Master i Infrastructure Master), jak również wykaz globalny (Global Catalog) zostały przeniesione ze starego na nowy serwer.

Przeniesienie ról FSMO

W celu przeniesienia ról logujemy się do nowego kontrolera domeny (tego, który ma przejąć role) i wchodzimy w Acive Directory Users and Computers. Następnie klikamy prawym klawiszem na nazwę domeny i nie wybieramy od razu Operations Masters, bo nie będziemy mogli poprawnie przenieść ról, ale wybieramy Change Domain Controller.

Opcja Change Domain Controller...
Opcja Change Domain Controller...

Następnie zaznaczamy nowy kontroler domeny, który ma przejąć role FSMO i klikamy OK.

Wybór kontrolera mającego przejąć role
Wybór kontrolera mającego przejąć role

Dopiero teraz klikamy ponownie prawym klawiszem na nazwę domeny i wybieramy Operations Masters....
Na zakładce RID widzimy, że w niniejszym przykładzie rolę tą pełni serwer o nazwie win2003.test.local. W polu niżej widnieje wybrany przez nas w poprzednim kroku nowy serwer.

W górnym polu dotychczasowy "wlaściciel" roli, w dolnym przyszły
W górnym polu dotychczasowy "wlaściciel" roli, w dolnym przyszły

Gdybyśmy wcześniej pominęli krok zmiany kontrolera domeny, to w obu polach mielibyśmy nazwę starego serwera i nie moglibyśmy przenieść roli ponieważ przywitałby nas błąd o poniższej treści:

The current Domain Controller is the operations master. To transfer the operations master role to another computer, you must first connect to it

Jeżeli jednak mamy wszystko ok, to klikamy przycisk Change....  i Yes w celu potwierdzenia.

Czy aby na pewno chcesz przetransferować rolę? Ale, czy na pewno? Ale...? ;)


Poprawne zakończenie przenoszenia roli sygnalizowane jest poniższym komunikatem.

Komunikat informujący o prawidłowym przeniesieniu roli
Komunikat informujący o prawidłowym przeniesieniu roli


Następnie klikamy w zakładki PDC i Infrastructure i w sposób analogiczny jak powyżej przenosimy te role na nowy serwer.

Usunięcie Wykazu Globalnego (GC) ze starego kontrolera

Z dużym prawdopodobieństwem Wasz stary kontroler przechowuje wykaz globalny i próba jego usunięcia zakończyłaby się błędem jak poniżej.

Błąd przy próbie usuwania kontrolera domeny przechowującego wykaz globalny
Błąd przy próbie usuwania kontrolera domeny (win 2003) przechowującego wykaz globalny

Aby taki błąd się nie pojawił, zawczasu należy przenieść wykaz globalny na nowy serwer (o ile go jeszcze nie przechowuje), zaś ze starego usunąć.
Zarządzać wykazem globalnym można zarówno na starym, jak i na nowym kontrolerze domeny. Ja w niniejszym przykładzie przedstawię jak wygląda to od strony systemu Windows 2012.

Należy zalogować się do systemu, a następnie poprzez Server Managera uruchomić Active Directory Sites and Services.
Teraz w gałęzi NTDS Settings dotyczącej nowego serwera (1) klikamy prawym klawiszem wybieramy Properties, a następnie w oknie NTDS Settings Properties sprawdzamy, czy zafajkowane jest pole Global Catalog (2). Jeżeli tak, to nasz nowy serwer przechowuje już wykaz globalny, a jeżeli nie, to zafajkowujemy tą opcję.

Weryfikacja przechowywania wykazu globalnego w Windows 2012 Server
Weryfikacja przechowywania wykazu globalnego w Windows 2012 Server
Gdy wykaz globalny jest już przechowywany przez nowy serwer, to postępując podobnie jak powyżej, odfajkowujemy Global Catalog w gałęzi NTDS Settings dotyczącej starego serwera.

Kasowanie partycji TAPI3Directory

Częstym błędem podczas dezautoryzacji kontrolera domeny opartego na systemie Windows 2003 jest informacja o przechowywaniu ostatniej repliki partycji katalogu aplikacji TAPI3Directory. Odpowiada ona za przechowywanie usług telefonicznych w AD i może powodować, że proces dezautoryzacji zakończy się niepowodzeniem. 


Informacja o partycji TAPI3Directory podczas dezautoryzacji kontrolera domeny
Informacja o partycji TAPI3Directory podczas dezautoryzacji kontrolera domeny

Jeżeli nie przechowujemy takich danych w AD (czyli raczej na pewno), możemy usunąć tą partycję poleceniem:
tapicfg remove /Directory:TAPI3Directory.nazwa.domeny /Server:nazwa.serwera.z.domeną

Usuwanie partycji TAPI3Directory zakończone powodzeniem
Usuwanie partycji TAPI3Directory zakończone powodzeniem

Zatrzymanie usługi "NETLOGON"

W końcowym etapie polecam ręczne zatrzymanie usługi NETLOGON, ponieważ jeżeli tego nie zrobimy, to na końcu usuwania kontrolera domeny możemy otrzymać komunikat o timeoucie tej usługi, co z kolei będzie skutkowało niepowodzeniem dezautoryzacji kontrolera domeny. 

Do ręcznego zatrzymania usługi możemy użyć polecenia jak poniżej:
net stop netlogon.

Ręczne zatrzymanie usługi netlogon
Ręczne zatrzymanie usługi netlogon

Usuwanie kontrolera z Windows 2003 Server

Czynności powyższe powinny przygotować nasze środowisko do bezproblemowego usunięcia kontrolera domeny opartego o Windows 2003 Server.

W tym celu logujemy się do niego i poprzez StartUruchom wydajemy polecenie dcpromo.
Pojawia się kreator, który informuje nas, że niniejszy serwer jest już kontrolerem domeny i możemy go użyć do usunięcia usług Active Directory z tego serwera.

Kreator dcpromo
Kreator dcpromo

O ile nasz serwer nie jest ostatnim kontrolerem domeny w domenie, to nie zaznaczamy nic i klikamy Dalej >

NIE ZAZNACZAMY. Chyba, że jesteście na 1000% pewni, że chcecie
NIE ZAZNACZAMY. Chyba, że jesteście na 1000% pewni, że chcecie


Jeżeli w tym momencie macie coś innego niż ustanawianie hasła dla administratora lokalnego (jak poniżej), to wróćcie się wyżej, do podpunktu Kasowanie partycji TAPI3Directory.

Wpisać hasło, zapisać na kartce, kartkę podrzeć, a resztki spalić - żart oczywiście ;)
Wpisać hasło, zapisać na kartce, kartkę podrzeć, a resztki spalić - żart oczywiście ;)

Ostatnim krokiem kreatora jest wyświetlenie podsumowania. Jeżeli nie ma tam nic co by nas wyraźnie niepokoiło, klikamy Dalej > i trzymamy kciuki, aby coś nie wybuchło :)

Jeżeli ktoś nie wie co aktualnie robi, to otrzyma informację podsumowującą z której się dowie
Jeżeli ktoś nie wie co aktualnie robi, to otrzyma informację podsumowującą z której się dowie


Serwer teraz "pomieli" sobie chwilkę....

W oczekiwaniu na... Admini to jednak mają stresującą pracę ....
W oczekiwaniu na... Admini to jednak mają stresującą pracę ....

i jeżeli wszystko przebiegło pomyślnie, to na końcu powinniśmy otrzymać komunikat jak poniżej.

Hurra! Udało się :)
Hurra! Udało się :)

Teraz uruchamiamy serwer od nowa i logujemy się na konto administratora z hasłem, które ustawiliśmy 4 screeny wyżej.

Mam nadzieję, że cała operacja przebiegnie u Was bez problemów :)
Jednocześnie pragnę zaznaczyć, że to jeszcze nie wszystko. Teraz należy "posprzątać" po usuniętym kontrolerze, ale to opiszę w jednym z kolejnych postów. 

Linki:

8 komentarzy:

  1. Przeczytałem artykuł, dla mnie świetnie napisany! Kiedy możba się spodziewać artykułu o "sprzątaniu" wspomnianym w ostatnim zdaniu?

    Pozdrawiam
    Paweł

    OdpowiedzUsuń
    Odpowiedzi
    1. Cześć Pawle :)

      Dzięki za komentarz :)
      Przyznam, że całkiem mi uciekło,że miałem napisać jeszcze posta o sprzątaniu. Postaram się to zrobić, ale muszę wcześniej napisać jeszcze kilka innych tekstów, które też już obiecałem ...

      Pozdrawiam
      Daniel

      Usuń
  2. Czekam z niecierpliwością :)

    OdpowiedzUsuń
  3. Witam, dziękuję za ten artykuł. Mam pytanie, czy w momencie usunięcia usługi AD, maszyna jest wypinana z domeny, którą zarządzają pozostałe kontrolery i muszę ją podpinać ponownie?

    OdpowiedzUsuń
    Odpowiedzi
    1. Cześć ;)

      Tak, maszyna jest wypinana. Z tego też powodu ustawiane jest hasło administratora lokalnego, którego trzeba będzie użyć po restarcie maszyny (konta domenowe nie będą już działać). Patrz screen podpisany "Wpisać hasło, zapisać na kartce, kartkę podrzeć, a resztki spalić - żart oczywiście ;)"

      Pozdrawiam
      Daniel

      Usuń
  4. Rozumiem, czyli ponowne podpięcie spowoduje przywrócenie relacji zaufania? Mam tu na myśli serwer SQL, który bazuje na poświadczeniach domenowych.

    OdpowiedzUsuń
  5. Rozumiem. SQL jest na kontrolerze domeny, który chcesz zdegradować i potem podpiąć do domeny jako zwykłego członka?
    Teoretycznie powinno być tak, że odpięcie od domeny spowoduje brak możliwości korzystania z SQLa przed użytkowników domenowych, aż do czasu ponownego podpięcia go do domeny.
    Ale dla bezpieczeństwa przetestowałbym to na wirtualkach.

    OdpowiedzUsuń
  6. Tak też zrobię. Dzięki jeszcze raz!

    OdpowiedzUsuń

Bardzo proszę o zachowanie netykiety.