Windows Server 2012 (R2): Crear un Dominio – Quitar un Controlador de Dominio que No Se Puede “Despromover” y Reemplazarlo

Cuando vamos a reemplazar un Controlador de Dominio siempre es mejor tratar de hacer el procedimiento más seguro, y siguiendo las buenas prácticas, aunque esto no es siempre posible

Este es: mover los “FSMO Roles” a otro, apagarlo, controlar durante un tiempo prudencial que todo siga funcionando de acuerdo a lo esperado, y luego ponerlo en línea nuevamente y despromoverlo para eliminar todas sus referencia en Active Directory

Pero a veces esto no es posible, bien porque no se puede llevar a cabo el procedimiento de despromoción por dar errores y detenerse, o inclusive si el Controlador de Dominio ya no arranca, y no se dispone o no se quiere recuperar desde una copia de seguridad

Entonces siempre lo primero es tratar de utilizar el procedimiento de acuerdo a las buenas prácticas que mencionamos más arriba.

Si no se puede despromover ya sea porque da errores que impiden su ejecución siempre podíamos ejecutar “DCPRMO /FORCEREMOVAL” pero ahora no está más disponible, vamos a ver cómo es el procedimiento equivalente. Cualquier opción que ejecutemos con DCPROMO nos dirá que se debe hacer desde Server Manager y nos dirigirá a un enlace de ayuda de Microsoft totalmente inservible para despromoción

Por lo anterior, decidí tratar de quitar la funcionalidad “Active Directory Domain Services” y encontré el procedimiento para forzar la despromoción

Comenzamos entonces con el procedimiento para quitar roles y seguimos como muestran las siguientes pantallas

Para estas capturas de pantalla, he utilizado DC2, con DC1 apagado para que no se pueda hacer la despromoción normal. Por supuesto que estoy usando “snapshots” de las máquinas virtuales y luego volveré todo a la normalidad

Cuando vamos a desmarcar la opción correspondiente

Aparece

Pero seguidamente aparece el siguiente cuadro, donde deberemos seleccionar “Demote this domain controller”

Parece que no está habilitada ninguna opción, pero hay que esperar

Hasta que al final se habilitarán

Como no tenemos más el “ForceRemoval” debemos seleccionar “Force the removal of this domain controller”. Esto es así, porque no puede contactar a DC1

Confirmamos

Debemos ingresar la contraseña que tomará el administrador local, ya que ahora no será más Controlador de Dominio

Luego de pulsar el botón “Demote” se producirá la despromoción forzada, y reiniciará automáticamente al finalizar el proceso

 

Bueno, volvamos al tema incial como es eliminar la cuenta de un Controlador de Dominio que bien sea porque no se puede o quiere recuperar, o si se hizo el procedimiento anterior forzando la despromoción

Debemos hacer el procedimiento de eliminación en tres lugares diferentes para eliminar de Active Directory todas las referencias al Controlador de Dominio que ya no estará

Comenzamos entonces en DC1, que es el Controlador de Dominio que quedó así que procederemos primero a eliminar la cuenta de DC2 en “Active Directory Users and Computers” como muestran las siguientes pantallas

Y ya está eliminado acá

Pero debemos borrar referencias en otros dos lugares. Sigamos con DNS, debemos eliminar tanto los dos registros A como el NS dentro de la zona

Primero los registros A, tanto DC2 si existiera, como “Same as parent folder” correspondiente a DC2

El registro NS no lo podemos eliminar igual que los anteriores

Debemos hacerlo editando el registro SOA, ficha “Name Servers”

Quedará finalmente así

Por último, debemos eliminar las referencias en “Active Directory Sites and Services”
Eliminamos primero el servidor

Y el objeto conexión desde DC2 a DC1

 

Y ya está todo listo para reemplazarlo. He instalado un nuevo servidor, le he dado el nombre del anterior (DC2), la misma dirección IP (192.168.1.202) y le he puesto como DNS a DC1 (192.168.1.201)

Para asegurarme no tener problemas, he comprobado con NSLOOKUP que se resuelve correctamente el nombre de DC1

No mostraré porque es lo mismo que hemos hecho cuando promovimos el segundo Controlador de Dominio, instalé la funcionalidad y lo promoví como Controlador de Dominio adicional

Y como vemos todo ha funcionado correctamente :)

 

De esta forma, hemos demostrado cómo quitar en forma forzada un Controlador de Dominio, eliminar sus referencias en Active Directory, y reemplazarlo por una nueva instalación con el mismo nombre y dirección IP

 

 

Anuncios
Post a comment or leave a trackback: Trackback URL.

Comentarios

  • Ramón González  On 13/01/2015 at 08:54

    Excelente articulo Guillermo.

  • Alberto  On 13/01/2015 at 12:13

    Muy buen articulo!

  • Eduardo Abanto  On 17/02/2015 at 11:18

    Realmente genial el post. Lo justo y necesario. Si tan solo lo hubiera visto una semana atras…

    Hace una semana al despromover un controlador de dominio que cree para un nuevo subdominio olvide seleccionar “demote this domain controller” y borre los roles sin mas, elimine el servidor (corria en un ESXi) y no fui capaz de eliminar mi subdominio fantasma. Despues de intentos infructuosos (No podia eliminarlo de la forma habitual, pues mis otros controladores de dominio aun compartían informacion con este subdominio fantasma) lo que me resulto fue:

    Los procedimientos se realizan en el DC que posee los roles FSMO. (Mucho cuidado que es delicado)

    1.Editar el tombStoneLifetime y garbageCollPeriod.
    https://social.technet.microsoft.com/Forums/windowsserver/en-US/7320d318-ac2d-4918-bca5-24ac3b5163e4/unable-to-remove-child-domain?forum=winserverDS

    2. Esperar dos días y unas horas.

    3. Borrar la metadata con el genial ntdsutil.
    http://support.microsoft.com/kb/216498/es (Procedimiento 1).

    Por si alguien vive la pesadilla de tener un subdominio (o dominio) fantasma fastidiando en sus sitios y servicios de active directory.

    Quiza Guillermo nos puedas (me puedas) explicar si lo que hice y funcionó estuvo bien, o fue suerte. O si hay algun procedimiento que pude obviar.

    Estaria genial si con tus conocimientos puedes mejorar estos pasos, para que asi personas que sufran lo que sufrí puedan sentirse seguros al querer resolver el problema (porque no sabes cuanto sudé y temble al pensar que si hacia algo erroneo malograría le dominio de donde trabajo)

    Pd: Esta para mi fue la ultima medida, antes probe los metodos que usualmente funcionan, como este:
    https://windowserver.wordpress.com/2012/06/02/eliminar-un-controlador-de-dominio-que-ya-no-existe-fcil/

    Un saludo y gracias por las guias!

    • Guillermo Delprato  On 17/02/2015 at 15:40

      Hola Eduardo ¡Gracias! y me alegro te sirviera el artículo
      Hay que tener en cuenta que todos los DCs de todo el Bosque son conscientes de los otros DCs que hay en todo el AD. Luego, la remoción es algo que hay que hacer ordenadamente y tratando de seguir en lo posible los procedimientos
      Para tu caso creo que habría servido el procedimiento detallado en: How to remove orphaned domains from Active Directory:
      http://support.microsoft.com/kb/230306/en-us Lo pongo en la versión en inglés porque a veces las traducciones son malas o directamente incorrectas ya que traducen literal
      El enlace que pones al otro artículo de este blog es específico para eliminación de los restos de un DC, y no de un subdominio, pienso que por eso no funcionó como esperabas

      Cambiar tombStoneLifetime y garbageCollPeriod cuidado porque afecta todos los elementos borrados. Los valores normales son 180 días y 12 horas respectivamente, o por lo menos así está documentado. Si haz reducido esos valores simplemente lo que hace es que los elementos borrados pero aún no eliminados (“tombstoned”), expiren y sean eliminados antes

      No he tenido nunca que hacerlo en real lo de eliminar un dominio inexistente, pero he leído sobre el tema y sé que en algunos casos hay que hacer lo de modificar estos valores, sobre todo, si luego quieres volver a crear el subdominio, porque los datos quedan “tombstoned”, y no deja la creación del nuevo

      Y quizás lo más importante de todo, ya sabes por qué hay que tener copia de seguridad como para poder reconstruir el Dominio ¿o no? ja ja ja
      Luego, lo que sigue es aprender que no sólo se debe hacer la copia, sino además haber probado que se puede recuperar y que todo sigue funcionando
      Hay un dicho: “Todos hacen backup. Muy pocos lo pueden/saben recuperar” y esto no es ninguna broma :)

      Gracias por la información y enlaces que haz puesto

  • Eduardo Abanto  On 18/02/2015 at 13:30

    Muchísimas gracias por la respuesta. Ahora todo me queda claro. Y si, cada vez que haga un backup lo probaré. Amén.

    • Guillermo Delprato  On 18/02/2015 at 14:06

      ¿Te asusté Eduardo? ja ja ja
      El tema del Backup/Restore muchas veces se aprende sólo después de malas experiencias. Una prueba que no muchos hacen, por ejemplo: ¿se podrá recuperar el servidor en un hardware diferente? Acá la virtualización marca una diferencia importante

  • Eduardo Abanto  On 18/02/2015 at 19:41

    La respuesta a si se puede recuperar el system state de un DC con fallas en un hardware diferente es NO. Vivi la experiencia hace dos años ayudando a un amigo. Tuvimos que rehacer el dominio. Actualmente mis DC corren todos sobre ESXi. He hecho copias, borrado DC, vuelto a levantarlos y hasta ahora todo bien. Cabe mencionar que ya no hago backups de system state sino de TODO el servidor.

    La flexibilidad de la virtualizacion es genial!

    Saludos!

    • Guillermo Delprato  On 18/02/2015 at 20:11

      Hola Eduardo, llegó duplicado tu mensaje, contesto en este y borro el otro
      El System State es un casi desconocido. Porque en un DC no sólo contiene la base de AD, sino que además entre otras cosas, incluye el Registro (“Registry”) y por lo tanto es específico de la máquina donde se crea
      Tiene una utilidad muy específica, poder recuperar borrados accidentales, aunque actualmente se puede hacer más fácil con la Papelera de Reciclaje de AD, o inclusive he hecho alguna nota, con LDP.EXE
      Aún haciendo un backup completo de un DC nadie garantiza que se pueda recuperar en hardware diferente. A veces se puede luego de bastante trabajo de reparación, pero no hay garantía
      Por estos motivos es que siempre es recomendable, aunque el ambiente sea reducido, tener más de un DC
      Y por supuesto con la virtualización, nos olvidamos de los cambios de hardware, que han causado muchos dolores de cabeza, porque un servidor que tiene ya unos años, no hay forma de reponerlo tal cual
      Otra ventaja de la virtualización, es que con la versión actual (W2012R2), se pueden crear “Snapshots” (Congelar estados) de los DCs virtuales, siempre y cuando el sistema de virtualizado soporte “VM-GenerationID”. Por supuesto que tanto Hyper-V como VMware en sus últimas versiones lo soporta. Pero si tienes dudas puedes ver el atributo en los DCs

Este espacio es para comentarios sobre la nota. No es un sitio de soporte

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: