Remover dados do Active DirectoryNeste conjunto de artigos vamos repassar a pesquisa feita para solucionar problemas em uma rede de computadores em uma grande Empresa.

São documentos técnicos que facilitarão na manutenção da sua rede. Também pode ser considerado um case. Todas as pesquisas foram feitas na base de dados Microsoft e artigos de Administradores de rede de todo o mundo.

Chamaremos esses documentos de “Serie Servidores”.

Remover dados do Active Directory após uma despromoção sem êxito de um controlador de domínio NESTA TAREFA.

Sumário

Este artigo descreve como remover dados do Active Directory após uma despromoção sem êxito de um controlador de domínio.

Aviso: se utilizar o snap-in ADSI Edit, o utilitário LDP ou qualquer outro cliente LDAP versão 3 e modificar de forma incorrecta os atributos de objetos do Active Directory, poderá provocar problemas graves. Estes problemas poderão forçar a reinstalação do Microsoft Windows 2000 Server, Microsoft Windows Server 2003, Microsoft Exchange 2000 Server, Microsoft Exchange Server 2003 ou de ambos (Windows e Exchange). A Microsoft não garante que os problemas resultantes da modificação incorrecta dos atributos de objetos do Active Directory possam ser resolvidos. Todo e qualquer risco decorrente da modificação destes atributos é da responsabilidade do utilizador.

O Assistente de instalação do Active Directory (Active Directory Installation Wizard, Dcpromo.exe) é utilizado para promover um servidor a controlador de domínio e para despromover um controlador de domínio a servidor membro (ou a servidor autónomo num grupo de trabalho, caso o controlador de domínio seja o último do domínio). Como parte do processo de despromoção, o assistente remove os dados de configuração do controlador de domínio do Active Directory.

Estes dados apresentam-se no formato de um objeto Definições de NTDS (NTDS Settings) que existe como subordinado do objeto de servidor em Serviços e locais do Active Directory (Active Directory Sites and Services).

As informações encontram-se no seguinte local no Active Directory:

CN=NTDS Settings,CN=<nomeservidor>,CN=Servers,CN=<nomesite>,CN=Sites,CN=Configuration,DC=<domínio>...

Os atributos do objeto Definições de NTDS (NTDS Settings) incluem dados que representam o modo de identificação do controlador de domínio relativamente aos respectivos parceiros de replicação, os contextos de atribuição de nomes mantidos no computador, a indicação de que o controlador de domínio é ou não um servidor de catálogo global e a política de consultas predefinida.

O objeto Definições de NTDS (NTDS Settings) também é um contentor que poderá ter objetos subordinados que representem os parceiros de replicação direta do controlador de domínio. Estes dados são necessários para que o controlador de domínio funcione no ambiente, mas são retirados na despromoção.

No caso do objeto Definições de NTDS (NTDS Settings) não ser corretamente removido (por exemplo, se este objeto não for removido correctamente numa tentativa de despromoção), o administrador poderá usar o utilitário Ntdsutil.exe para o remover manualmente. Os passos que se seguem apresentam o procedimento para remover o objeto Definições de NTDS (NTDS Settings) do Active Directory, de um determinado controlador de domínio. Em cada menu do Ntdsutil, o administrador pode escrever help para obter mais informações sobre as opções disponíveis.

Atenção: o administrador também deverá certificar-se de que ocorreu uma replicação desde a despromoção antes de remover manualmente o objeto Definições de NTDS (NTDS Settings) de qualquer

1

servidor. A utilização incorreta do utilitário Ntdsutil poderá resultar na perda parcial ou total das funcionalidades do Active Directory.

Procedimento:

01Clique em Iniciar (Start), aponte para Programas (Programs), aponte para Acessórios (Accessories) e clique em Linha de comandos (Command Prompt).

02 Na linha de comandos, escreva ntdsutil e prima ENTER.

03

Escreva metadata cleanup e prima ENTER. Com base nas opções disponibilizadas, o administrador pode proceder à remoção, mas terão de ser especificados parâmetros de configuração adicionais para que a remoção seja possível.

04

Escreva connections e prima ENTER. Este menu é utilizado para ligar ao servidor específico no qual ocorrem as alterações. Se o utilizador com sessão actualmente iniciada não tiver permissões administrativas, poderá fornecer credenciais alternativas especificando as credenciais a utilizar antes de estabelecer a ligação. Para o fazer, escreva: set creds nome_do_domínio nome_do_utilizador palavra-passe e prima ENTER. Para uma palavra-passe nula, escreva null como parâmetro da palavra-passe.

05

Escreva connect to server nome_do_servidor e prima ENTER. Deverá receber uma confirmação de que a ligação foi estabelecida com êxito. Se ocorrer um erro, certifique-se de que o controlador de domínio em utilização na ligação está disponível e de que as credenciais fornecidas têm permissões administrativas no servidor.

Nota: se tentar ligar ao servidor que pretende eliminar, quando tentar eliminar o servidor a que o passo 15 se refere, poderá receber a seguinte mensagem de erro: Erro 2094. O objeto DSA não pode ser excluído. 0x2094

06Escreva quit e prima ENTER. É apresentado o menu Metadata Cleanup.

07 Escreva select operation target e prima ENTER.

08Escreva list domains e prima ENTER. É apresentada uma lista de domínios existentes na floresta, cada qual com um número associado.

09

Escreva select domain número e prima ENTER, em que número é o número associado ao domínio de que é membro o servidor que está a ser removido. O domínio seleccionado é utilizado para determinar se o servidor que está a ser removido é o último controlador desse domínio.

10Escreva list sites e prima ENTER. É apresentada uma lista de locais, cada qual com um número associado.

2

11

Escreva select site número e prima ENTER, em que número é o número associado ao local de que é membro o servidor que está a ser removido. Deverá receber uma mensagem de confirmação a indicar o local e domínio seleccionados.

12Escreva list servers in site e prima ENTER. É apresentada uma lista de servidores do local, cada qual com um número associado.

13

Escreva select server número, em que número é o número associado ao servidor que pretende remover. Receberá uma mensagem de confirmação que apresenta o servidor seleccionado, o nome de anfitrião do respectivo servidor de nomes de domínio (DNS) e a localização da conta de computador do servidor que pretende remover.

14Escreva quit e prima ENTER. É apresentado o menu Metadata Cleanup.

15

Escreva remove selected server e prima ENTER. Deverá receber uma mensagem a confirmar que a remoção foi concluída com êxito. Se for apresentada a seguinte mensagem de erro:

Erro 8419 (0x20E3) O objeto DSA não foi encontrado.

O objeto Definições de NTDS (NTDS Settings) poderá já ter sido removido do Active Directory em resultado da remoção do objeto por outro administrador ou da replicação da remoção com êxito do objeto após a execução do utilitário DCPROMO.

Nota: também poderá ver este erro quando tentar associar-se ao controlador de domínio a remover. O Ntdsutil tem de associar-se a um controlador de domínio diferente do que vai ser removido, com metadata cleanup.

16Escreva quit em cada menu para sair do utilitário Ntdsutil. Deverá receber uma mensagem a confirmar que a ligação foi desligada com êxito.

17

Remova o registo cname da zona _msdcs.domínio raiz da floresta do DNS. Partindo do princípio que o CD vai ser reinstalado e novamente promovido, será criado um novo objeto Definições de NTDS (NTDS Settings) com um novo GUID e um registo cname correspondente no DNS. Os CDs existentes não devem utilizar o registo cname antigo.

A eliminação do nome de anfitrião e de outros registos do DNS, é o procedimento recomendado. Se o período de concessão restante do endereço do protocolo de configuração dinâmica de anfitrião (DHCP, Dynamic Host Configuration Protocol) atribuído ao servidor offline for excedido, outro cliente poderá obter o endereço IP do CD com problemas.

Uma vez eliminado o objeto Definições de NTDS (NTDS Settings), pode eliminar a conta de computador, o objeto membro do FRS, o registo cname (ou Alias) do contentor _msdcs, o registo A (ou de anfitrião) do DNS, o objeto

3

trustDomain de um domínio subordinado eliminado e o controlador de domínio.

01

Utilize o ADSIEdit para eliminar a conta de computador. Para tal, siga estes passos: a. Inicie o ADSIEdit.b. Expanda o contentor Domain NC.c. Expanda DC=seu domínio, DC=COM, PRI, LOCAL, NET.d. Expanda OU=Domain Controllers.e. Clique com o botão direito do rato em CN=nome controlador domínio e clique em Eliminar (Delete).

Se receber o erro "O objeto DSA não pode ser excluído" ("DSA object cannot be deleted") quando tentar eliminar o objeto, altere o valor UserAccountControl. Para alterar o valor UserAccountControl, clique com o botão direito do rato no controlador de domínio no ADSIEdit e clique em Propriedades (Properties). Em Seleccionar uma propriedade a ver (Select a property to view), clique em UserAccountControl. Clique em Limpar (Clear), altere o valor para 4096 e clique em Definir (Set). Poderá agora eliminar o objeto.

Nota: o objeto subscritor do FRS será eliminado quando o objeto de computador também for, uma vez que é subordinado da conta de computador.

02

Utilize o ADSIEdit para eliminar o objeto membro do FRS. Para tal, siga estes passos: a. Inicie o ADSIEdit.b. Expanda o contentor Domain NC.c. Expanda DC=seu domínio, DC=COM, PRI, LOCAL, NET.d. Expanda CN=System.e. Expanda CN=File Replication Service.f. Expanda CN=Domain System Volume (SYSVOL share).g. Clique com o botão direito do rato no controlador de domínio a remover e clique em Eliminar (Delete).

03

Na consola de DNS, utilize a MMC de DNS para eliminar o registo A do DNS. O registo A também é conhecido como registo de anfitrião. Para eliminar o registo A, clique com o botão direito do rato no registo A e clique em Eliminar (Delete). Elimine também o registo cname (também conhecido como Alias) do contentor _msdcs. Para o fazer, expanda o contentor _msdcs, clique com o botão direito do rato em cname e clique em Eliminar (Delete).

Importante: se este era um servidor de DNS, remova a referência a este CD no separador Servidores de nomes (Name Servers). Para tal, na consola DNS, clique no nome de domínio em Zonas de pesquisa directa (Forward Lookup Zones) e remova este servidor do separador Servidores de nomes (Name Servers).

Nota: se tiver zonas de pesquisa inversa (reverse lookup zones), remova também o servidor destas zonas.

04 Se o computador eliminado era o último controlador de domínio num domínio subordinado e este também tiver sido eliminado, utilize o ADSIEdit para eliminar o objeto trustDomain do subordinado. Para tal, siga estes passos: a. Inicie o ADSIEdit.b. Expanda o contentor Domain NC.c. Expanda DC=seu domínio, DC=COM, PRI, LOCAL, NET.

4

d. Expanda CN=System.e. Clique com o botão direito do rato no objeto Trust Domain e clique em Eliminar (Delete).

05

Utilize o snap-in Serviços e locais do Active Directory (Active Directory Sites and Services) para remover o controlador de domínio. Para tal, siga estes passos: a. Inicie o o snap-in Serviços e locais do Active Directory (Active Directory Sites and Services).b. Expanda Locais (Sites).c. Expanda o local do servidor. O local predefinido é Nome-de-primeiro-site-predefinido (Default-First-Site-Name).d. Expanda Servidor (Server).e. Clique com o botão direito do rato no controlador de domínio e clique em Eliminar (Delete).

5