1. Remover dados do Active Directory
Neste conjunto de artigos vamos repassar a pesquisa feita para solucionar problemas em uma rede de
computadores em uma grande Empresa.
São documentos técnicos que facilitarão na manutenção da sua rede. Também pode ser considerado um
case. Todas as pesquisas foram feitas na base de dados Microsoft e artigos de Administradores de rede
de todo o mundo.
Chamaremos esses documentos de “Serie Servidores”.
Remover dados do Active Directory após uma despromoção sem êxito de um controlador de domínio
NESTA TAREFA.
Sumário
Este artigo descreve como remover dados do Active Directory após uma despromoção sem êxito de um
controlador de domínio.
Aviso: se utilizar o snap-in ADSI Edit, o utilitário LDP ou qualquer outro cliente LDAP versão 3 e modificar
de forma incorrecta os atributos de objetos do Active Directory, poderá provocar problemas graves. Estes
problemas poderão forçar a reinstalação do Microsoft Windows 2000 Server, Microsoft Windows Server
2003, Microsoft Exchange 2000 Server, Microsoft Exchange Server 2003 ou de ambos (Windows e
Exchange). A Microsoft não garante que os problemas resultantes da modificação incorrecta dos atributos
de objetos do Active Directory possam ser resolvidos. Todo e qualquer risco decorrente da modificação
destes atributos é da responsabilidade do utilizador.
O Assistente de instalação do Active Directory (Active Directory Installation Wizard, Dcpromo.exe) é
utilizado para promover um servidor a controlador de domínio e para despromover um controlador de
domínio a servidor membro (ou a servidor autónomo num grupo de trabalho, caso o controlador de
domínio seja o último do domínio). Como parte do processo de despromoção, o assistente remove os
dados de configuração do controlador de domínio do Active Directory.
Estes dados apresentam-se no formato de um objeto Definições de NTDS (NTDS Settings) que existe
como subordinado do objeto de servidor em Serviços e locais do Active Directory (Active Directory Sites
and Services).
As informações encontram-se no seguinte local no Active Directory:
CN=NTDS Settings,CN=<nomeservidor>,CN=Servers,CN=<nomesite>,
CN=Sites,CN=Configuration,DC=<domínio>...
Os atributos do objeto Definições de NTDS (NTDS Settings) incluem dados que representam o modo de
identificação do controlador de domínio relativamente aos respectivos parceiros de replicação, os
contextos de atribuição de nomes mantidos no computador, a indicação de que o controlador de domínio
é ou não um servidor de catálogo global e a política de consultas predefinida.
O objeto Definições de NTDS (NTDS Settings) também é um contentor que poderá ter objetos
subordinados que representem os parceiros de replicação direta do controlador de domínio. Estes dados
são necessários para que o controlador de domínio funcione no ambiente, mas são retirados na
despromoção.
No caso do objeto Definições de NTDS (NTDS Settings) não ser corretamente removido (por exemplo, se
este objeto não for removido correctamente numa tentativa de despromoção), o administrador poderá
usar o utilitário Ntdsutil.exe para o remover manualmente. Os passos que se seguem apresentam o
procedimento para remover o objeto Definições de NTDS (NTDS Settings) do Active Directory, de um
determinado controlador de domínio. Em cada menu do Ntdsutil, o administrador pode escrever help para
obter mais informações sobre as opções disponíveis.
Atenção: o administrador também deverá certificar-se de que ocorreu uma replicação desde a
despromoção antes de remover manualmente o objeto Definições de NTDS (NTDS Settings) de qualquer
1
2. servidor. A utilização incorreta do utilitário Ntdsutil poderá resultar na perda parcial ou total das
funcionalidades do Active Directory.
Procedimento:
01
Clique em Iniciar (Start), aponte para Programas (Programs),
aponte para Acessórios (Accessories) e clique em Linha de
comandos (Command Prompt).
02 Na linha de comandos, escreva ntdsutil e prima ENTER.
03
Escreva metadata cleanup e prima ENTER. Com base nas
opções disponibilizadas, o administrador pode proceder à remoção,
mas terão de ser especificados parâmetros de configuração
adicionais para que a remoção seja possível.
04
Escreva connections e prima ENTER. Este menu é utilizado para
ligar ao servidor específico no qual ocorrem as alterações. Se o
utilizador com sessão actualmente iniciada não tiver permissões
administrativas, poderá fornecer credenciais alternativas
especificando as credenciais a utilizar antes de estabelecer a
ligação. Para o fazer, escreva: set creds nome_do_domínio
nome_do_utilizador palavra-passe e prima ENTER. Para uma
palavra-passe nula, escreva null como parâmetro da palavra-
passe.
05
Escreva connect to server nome_do_servidor e prima ENTER.
Deverá receber uma confirmação de que a ligação foi estabelecida
com êxito. Se ocorrer um erro, certifique-se de que o controlador de
domínio em utilização na ligação está disponível e de que as
credenciais fornecidas têm permissões administrativas no servidor.
Nota: se tentar ligar ao servidor que pretende eliminar, quando
tentar eliminar o servidor a que o passo 15 se refere, poderá
receber a seguinte mensagem de erro:
Erro 2094. O objeto DSA não pode ser excluído. 0x2094
06
Escreva quit e prima ENTER. É apresentado o menu Metadata
Cleanup.
07 Escreva select operation target e prima ENTER.
08
Escreva list domains e prima ENTER. É apresentada uma lista de
domínios existentes na floresta, cada qual com um número
associado.
09
Escreva select domain número e prima ENTER, em que número
é o número associado ao domínio de que é membro o servidor que
está a ser removido. O domínio seleccionado é utilizado para
determinar se o servidor que está a ser removido é o último
controlador desse domínio.
10
Escreva list sites e prima ENTER. É apresentada uma lista de
locais, cada qual com um número associado.
2
3. 11
Escreva select site número e prima ENTER, em que número é o
número associado ao local de que é membro o servidor que está a
ser removido. Deverá receber uma mensagem de confirmação a
indicar o local e domínio seleccionados.
12
Escreva list servers in site e prima ENTER. É apresentada uma
lista de servidores do local, cada qual com um número associado.
13
Escreva select server número, em que número é o número
associado ao servidor que pretende remover. Receberá uma
mensagem de confirmação que apresenta o servidor seleccionado,
o nome de anfitrião do respectivo servidor de nomes de domínio
(DNS) e a localização da conta de computador do servidor que
pretende remover.
14
Escreva quit e prima ENTER. É apresentado o menu Metadata
Cleanup.
15
Escreva remove selected server e prima ENTER. Deverá receber
uma mensagem a confirmar que a remoção foi concluída com
êxito. Se for apresentada a seguinte mensagem de erro:
Erro 8419 (0x20E3) O objeto DSA não foi encontrado.
O objeto Definições de NTDS (NTDS Settings) poderá já ter sido
removido do Active Directory em resultado da remoção do objeto
por outro administrador ou da replicação da remoção com êxito do
objeto após a execução do utilitário DCPROMO.
Nota: também poderá ver este erro quando tentar associar-se ao
controlador de domínio a remover. O Ntdsutil tem de associar-se a
um controlador de domínio diferente do que vai ser removido, com
metadata cleanup.
16
Escreva quit em cada menu para sair do utilitário Ntdsutil. Deverá
receber uma mensagem a confirmar que a ligação foi desligada
com êxito.
17
Remova o registo cname da zona _msdcs.domínio raiz da floresta
do DNS. Partindo do princípio que o CD vai ser reinstalado e
novamente promovido, será criado um novo objeto Definições de
NTDS (NTDS Settings) com um novo GUID e um registo cname
correspondente no DNS. Os CDs existentes não devem utilizar o
registo cname antigo.
A eliminação do nome de anfitrião e de outros registos do DNS, é o
procedimento recomendado. Se o período de concessão restante
do endereço do protocolo de configuração dinâmica de anfitrião
(DHCP, Dynamic Host Configuration Protocol) atribuído ao servidor
offline for excedido, outro cliente poderá obter o endereço IP do CD
com problemas.
Uma vez eliminado o objeto Definições de NTDS (NTDS Settings), pode eliminar a conta de computador,
o objeto membro do FRS, o registo cname (ou Alias) do contentor _msdcs, o registo A (ou de anfitrião) do
DNS, o objeto trustDomain de um domínio subordinado eliminado e o controlador de domínio.
3
4. 01
Utilize o ADSIEdit para eliminar a conta de computador. Para tal,
siga estes passos:
a. Inicie o ADSIEdit.
b. Expanda o contentor Domain NC.
c. Expanda DC=seu domínio, DC=COM, PRI, LOCAL, NET.
d. Expanda OU=Domain Controllers.
e. Clique com o botão direito do rato em CN=nome controlador
domínio e clique em Eliminar (Delete).
Se receber o erro "O objeto DSA não pode ser excluído" ("DSA
object cannot be deleted") quando tentar eliminar o objeto, altere o
valor UserAccountControl. Para alterar o valor UserAccountControl,
clique com o botão direito do rato no controlador de domínio no
ADSIEdit e clique em Propriedades (Properties). Em Seleccionar
uma propriedade a ver (Select a property to view), clique em
UserAccountControl. Clique em Limpar (Clear), altere o valor para
4096 e clique em Definir (Set). Poderá agora eliminar o objeto.
Nota: o objeto subscritor do FRS será eliminado quando o objeto
de computador também for, uma vez que é subordinado da conta
de computador.
02
Utilize o ADSIEdit para eliminar o objeto membro do FRS. Para tal,
siga estes passos:
a. Inicie o ADSIEdit.
b. Expanda o contentor Domain NC.
c. Expanda DC=seu domínio, DC=COM, PRI, LOCAL, NET.
d. Expanda CN=System.
e. Expanda CN=File Replication Service.
f. Expanda CN=Domain System Volume (SYSVOL share).
g. Clique com o botão direito do rato no controlador de domínio a
remover e clique em Eliminar (Delete).
03
Na consola de DNS, utilize a MMC de DNS para eliminar o registo
A do DNS. O registo A também é conhecido como registo de
anfitrião. Para eliminar o registo A, clique com o botão direito do
rato no registo A e clique em Eliminar (Delete). Elimine também o
registo cname (também conhecido como Alias) do contentor
_msdcs. Para o fazer, expanda o contentor _msdcs, clique com o
botão direito do rato em cname e clique em Eliminar (Delete).
Importante: se este era um servidor de DNS, remova a referência
a este CD no separador Servidores de nomes (Name Servers).
Para tal, na consola DNS, clique no nome de domínio em Zonas
de pesquisa directa (Forward Lookup Zones) e remova este
servidor do separador Servidores de nomes (Name Servers).
Nota: se tiver zonas de pesquisa inversa (reverse lookup zones),
remova também o servidor destas zonas.
04
Se o computador eliminado era o último controlador de domínio
num domínio subordinado e este também tiver sido eliminado,
utilize o ADSIEdit para eliminar o objeto trustDomain do
subordinado. Para tal, siga estes passos:
a. Inicie o ADSIEdit.
b. Expanda o contentor Domain NC.
c. Expanda DC=seu domínio, DC=COM, PRI, LOCAL, NET.
d. Expanda CN=System.
e. Clique com o botão direito do rato no objeto Trust Domain e
clique em Eliminar (Delete).
4
5. 05
Utilize o snap-in Serviços e locais do Active Directory (Active
Directory Sites and Services) para remover o controlador de
domínio. Para tal, siga estes passos:
a. Inicie o o snap-in Serviços e locais do Active Directory
(Active Directory Sites and Services).
b. Expanda Locais (Sites).
c. Expanda o local do servidor. O local predefinido é Nome-de-
primeiro-site-predefinido (Default-First-Site-Name).
d. Expanda Servidor (Server).
e. Clique com o botão direito do rato no controlador de domínio e
clique em Eliminar (Delete).
5
6. 05
Utilize o snap-in Serviços e locais do Active Directory (Active
Directory Sites and Services) para remover o controlador de
domínio. Para tal, siga estes passos:
a. Inicie o o snap-in Serviços e locais do Active Directory
(Active Directory Sites and Services).
b. Expanda Locais (Sites).
c. Expanda o local do servidor. O local predefinido é Nome-de-
primeiro-site-predefinido (Default-First-Site-Name).
d. Expanda Servidor (Server).
e. Clique com o botão direito do rato no controlador de domínio e
clique em Eliminar (Delete).
5