Am 14. September 2017 haben wir eine überarbeitete Fassung unserer Datenschutzrichtlinie veröffentlicht. Wenn Sie video2brain.com weiterhin nutzen, erklären Sie sich mit diesem überarbeiteten Dokument einverstanden. Bitte lesen Sie es deshalb sorgfältig durch.

Windows Server 2012 R2: Hochverfügbarkeit von Infrastrukturservern

Domänencontroller entfernen

LinkedIn Learning kostenlos und unverbindlich testen!

Jetzt testen Alle Abonnements anzeigen
Falls ein bestimmter Domänencontroller nicht mehr funktioniert, muss dieser aus der Infrastruktur entfernt werden. Wie Sie dazu vorgehen und welche Maßnahmen in Active Directory zwingend durchgeführt werden müssen, sehen Sie in diesem Video.
10:28

Transkript

Zum Bereich der Hochverfügbarkeit für Infrastrukturserver und Domaincontroller gehören auch Maßnahmen, die Sie dann durchführen müssen, wenn ein bestimmter Domaincontroller nicht mehr funktioniert beziehungsweise nicht mehr im Netzwerk integrierbar ist. Damit Ihr Active Directory weiterhin fehlerfrei funktioniert, müssen Sie solche Domainencontroller aus Active Directory entfernen. Der sauberste Weg, um nach einem Ausfall eines Domainencontrollers wieder für eine gewisse Hochverfügbarkeit in Active Directory zu sorgen, ist den ausgefallenen Domaincontroller komplett aus Active Directory zu entfernen und durch einen neuen Domaincontroller zu ersetzen. Domaincontroller sind in der OU Domaincontrollers zu sehen. Ihr kennt sie. Hier gibt es den Domaincontroller DC2, der als virtueller Server zur Verfügung gestellt wird. Ich verbinde mich jetzt mit dem Remote Desktop meines Ivory Hosts und Sie sehen hier wird nun der virtuelle Domaincontroller DC2 ausgeführt. Über das Kontextmenü lasse ich jetzt den Server zunächst ausschalten und ich kann den Server nun hier löschen. Das heißt, dieser Löschvorgang entspricht auch dem Ausfall der Hardware. Der virtuelle Domaincontroller DC2 steht nicht mehr zur Verfügung. Auf dem Server S1 gibt es auch keinen Domaincontroller und ich kann jetzt zusätzlich noch auf dem Server S2 im Explorer im Verzeichnis der VMs überprüfen, ob der Domaincontroller noch zur Verfügung steht. Sie sehen, hier ist der Domaincontroller ebenfalls nicht mehr verfügbar. Wenn ich jetzt auf meinem Server DC1, also meinen ersten Domaincontroller, die OU überprüfe, merke ich hier zunächst keinen Unterschied. Das heißt, für das Active Directory ist dieser Domaincontroller noch genauso verfügbar, wie wenn er noch funktionieren würde. Damit der Domaincontroller jetzt generell aus Active Directory verschwindet, und auch nicht für gewisse Unsicherheiten sorgt, also dass zum Beispiel bestimmte Serverdienste sich an diesen Domaincontroller anmelden, muss ich verschiedene Aufgaben durchführen. Im ersten Schritt lösche ich zunächst das Computerkonto des Domaincontrollers aus der OU Domaincontrollers. Der Assistent erkennt, dass es sich um einen Domaincontroller handelt schlägt mir natürlich vor, ich soll möglichst den Domaincontroller herabstufen, sodass die Assistenten in Active Directory die entsprechenden Daten in Active Directory selbst pflegen können. Das ist aber natürlich nicht mehr möglich, da der Domaincontroller nicht mehr funktioniert. Ich setze also hier den Haken, dass der Domaincontroller auf jeden Fall entfernt wird, da er im Netzwerk nicht mehr zur Verfügung steht. Der Assistent erkennt jetzt auch, dass dieser Domaincontroller ein globaler Katalog ist, das heißt, ich muss den Löschvorgang nochmal besonders bestätigen. Danach erhalte ich die Informationen, dass der von mir ausgewählte Server auch noch FSMO-Rollen hostet, das heißt, die Active Directory-Umgebung kann jetzt die notwendigen Domainenrollen auf den Server DC1 übertragen. Das funktioniert allerdings nicht immer, aber in vielen Fällen. Ich bestätige jetzt hier das Löschen. Der Domaincontroller wird jetzt entsprechend bereinigt und die Daten werden aus Active Directory gelöscht. Der nächsten Schritt, den ich an dieser Stelle durchführen muss, ist das Snap-in Active Directory Standorte und Dienste aufzurufen. Ich suche das Snap-in auf meinem Domaincontroller, starte es und lasse mich mit dem Active Directory verbinden. Und wie Sie sehen, gibt es hier noch ein Objekt für den Server DC2, obwohl der Server nicht mehr zur Verfügung steht. Ich kann hier über das Kontextmenü das Objekt auch aus dieser Stelle löschen. So ist auch hier jetzt sichergestellt, dass das Objekt in Active Directory nicht mehr zur Verfügung steht. Des weiteren klicke ich hier bei NTDS Settings und sehe, es gibt jetzt hier noch eine Replikationsverbindung zum DC2, obwohl der Server nicht mehr funktioniert. Das heißt, der Server DC1 versucht Daten zu replizieren, kann das aber nicht mehr, weil er den Domaincontroller dazu nicht mehr erreicht. Ich kann also auch hier über das Kontextmenü dieses Objekt löschen und habe so sicher gestellt, dass an dieser Stelle ebenfalls das Objekt aus Active Directory verschwunden ist. Der nächste wichtige Vorgang, den ich durchführen muss, nehme ich in der DNS-Verwaltung vor, denn in den meisten Fällen sind Domaincontroller auch noch DNS Server für Active Directory. Ich überprüfe daher die einzelnen Zonen, die hier zur Verfügung stehen, das heißt die Zone für Active Directory und die beiden anderen Zonen, rufe deren Eigenschaften auf und finde dann anschließend auf der Registerkarte Namenserver, welche DNS Server für diese Zone zur Verfügung stehen. Wie Sie erkennen, wurde der Server auch hier nicht gelöscht, das heißt, für diese Zone wäre dieser Server noch ein DNS Server, obwohl er nicht mehr im Netzwerk zur Verfügung steht. Ich entferne also den Server auch an dieser Stelle, das Ganze mache ich auch für die anderen Zonen. Auch hier ist der DC2 noch als Domaincontroller integriert, und auch bei der dritten Zone sehe ich jetzt hier, dass der Namenserver noch integriert ist. Nachdem ich diese Bereinigung vorgenommen habe, habe ich den Server auch generell aus DNS gelöscht. Achten Sie auch darauf, dass in den einzelnen IP-Einstellungen in Ihrem Netzwerk der Domaincontroller ebenfalls nicht mehr als zweiter DNS Server genutzt wird. Das spielt zum Beispiel eine Rolle, wenn Sie DHCP konfiguriert haben, da im Bereich von DHCP auch der Server eingetragen ist, zum Beispiel auch als DNS Server. Auch hier müssen Sie entsprechende Maßnahmen vornehmen, damit der Server nicht verwendet wird. Nachdem ich den Domaincontroller in der grafischen Oberfläche entfernt habe, überprüfe ich in der Befehlszeile, die ich mit cmd starte, zunächst mit netdom query fsmo, ob auch die Übertragung der FSMO-Rollen funktioniert hat. Und wie Sie hier sehen, hat der Assistent die Rollen auf den Server DC1 übertragen. Der Server ist jetzt also aus Active Directory gelöscht. Ich kann jetzt zusätzlich noch überprüfen, ob der Server in Active Directory eingetragen ist. Dazu rufe ich zunächst cmd auf dem Domaincontroller mit Administratorrechten auf, also über das Kontextmenü als Administrator und verwende das tool ntdsutil. Im ersten Schritt gebe ich ein, dass ich die Metadaten des Active directory bereinigen will, also metadata cleanup. Sie sehen, das wird jetzt vom Tool bestätigt. Danach muss ich mich verbinden. Dazu wähle ich "connections" und verbinde mich jetzt connect to server mit einem Domaincontroller, der noch funktioniert. Die Verbindung wurde jetzt aufgebaut. Ich kann jetzt mit quit zurückgehen und befinde mich jetzt wieder im metadata cleanup. Hier muss ich jetzt also auswählen, welche Daten ich bereinigen will. Dazu wähle ich zunächst den Befehl select operation target aus. Ich wähle also das Ziel aus, das ich bereinigen will. Dazu lasse ich mir zuerst mit list domains alle Domainen anzeigen. Sie sehen, es gibt hier die Domaine contoso.int, das heißt, ich wähle jetzt die Domaine mit der Nummer aus, die ich bereinigen will, das ist die Domaine 0. Select domain 0. Die Domaine ist jetzt ausgewählt. Sie sehen das hier: Domaine wird DC contoso.int verwendet. Als nächstes lasse ich mir meine Standorte anzeigen, dazu wähle ich list sites und auch hier gibt es nur einen Standort, nämlich Bad-Wimpfen, also wähle ich hier select site und die Nummer, also 0. In einem produktiven Active Directory werden Sie hier natürlich mehrere Standorte angezeigt bekommen, wenn Sie mehrere Standorte einsetzen. In einem Test Active Directory so wie hier gibt es meist nur einen Standort. Sie sehen, hier fehlen noch zwei Informationen, die der Assistent braucht, nämlich der Server und ich kann mir nämlich jetzt hier select list servers in site anzeigen. Und hier sehe ich, jetzt gibt es an diesem Standort im Active Directory tatsächlich nur mehr einen Domaincontroller. Das heißt, das Active Directory ist auch hier an dieser Seite bereinigt. Würde jetzt hier noch ein Server zum Beispiel hier der veraltete Server DC2 aufgelistet werden, habe ich jetzt hier dann die Möglichkeit mit select server und dem Namen des Servers diesen auszuwählen und danach mit quit wieder zu metadata cleanup zurückzukehren. Danach kann ich dann mit remove selected server diesen ausgewählten Server löschen. Dann wird er aus dem Active Directory vollends entfernt und das Active Directory ist jetzt von diesem Server bereinigt. Danach können Sie einen Mainserver in der Domaine installieren. Das kann durchaus auch der gleiche Name sein, Sie müssen nicht unbedingt einen unterschiedlichen Namen verwenden. Wenn Sie den gleichen Namen verwenden, sollten Sie möglichst warten, bis die Active Directory Replikation in Ihrem Netzwerk abgeschlossen ist , das heißt, je mehr Domainencontroller Sie einsetzen, umso länger sollten Sie warten, damit die Daten, die Sie bereinigt haben, auch wirklich von allen Domaincontrollern bereinigt wurden. Danach können Sie den Server mit gleichem Namen und auf Wunsch auch mit gleicher IP-Adresse neu installieren und danach überprüfen, ob die Daten funktionieren. Auf diesem Weg können Sie sehr einfach einen Domaincontroller aus dem Netzwerk entfernen und wieder neu in das Netzwerk integrieren.

Windows Server 2012 R2: Hochverfügbarkeit von Infrastrukturservern

Betreiben Sie Ihre Domänencontroller, DNS- und DHCP-Server mit hoher Zuverlässigkeit.

3 Std. 18 min (24 Videos)
Derzeit sind keine Feedbacks vorhanden...
 

Die meisten Vorgänge in diesem Training funktionieren auch mit Windows Server 2008 R2 und Windows Server 2012, wurden aber für Windows Server 2012 R2 erstellt.

Dieser Online-Kurs ist als Download und als Streaming-Video verfügbar. Die gute Nachricht: Sie müssen sich nicht entscheiden - sobald Sie das Training erwerben, erhalten Sie Zugang zu beiden Optionen!

Der Download ermöglicht Ihnen die Offline-Nutzung des Trainings und bietet die Vorteile einer benutzerfreundlichen Abspielumgebung. Wenn Sie an verschiedenen Computern arbeiten, oder nicht den ganzen Kurs auf einmal herunterladen möchten, loggen Sie sich auf dieser Seite ein, um alle Videos des Trainings als Streaming-Video anzusehen.

Wir hoffen, dass Sie viel Freude und Erfolg mit diesem Video-Training haben werden. Falls Sie irgendwelche Fragen haben, zögern Sie nicht uns zu kontaktieren!