域控制器的强制卸载，Active Directory系列之十四

域控制器的强制卸载

上篇博文中我们介绍了如何对域控制器进行常规卸载，本文中我们将介绍如何对域控制器进行强制卸载。为什么需要对域控制器进行强制卸载呢？如果域控制器不能和复制伙伴正常通讯，而且更正无望，那我们就要考虑进行强制卸载了。例如我曾见过一个单位有 10 个域控制器，居然有 7 个不能相互复制，主要是管理员误以为域控制器越多越好 …. 类似这样的情况，我们就可以果断出手，把域控制器强行卸载掉。域控制器强行卸载的原理也很简单，那就是卸载时不再通知复制伙伴，直接把 AD 删除就好。这样的卸载方式是要相对简单一些，但其实后续的操作很麻烦，例如我们需要在 Active Directory 中手工清除被强制卸载的域控制器，手工清除 DNS 中的 SRV 记录等。因此，如果不是万不得已，还是用常规卸载比较好。

如下图所示，我们将利用如下图所示的拓扑为大家演示如何进行域控制器的强制卸载，我们进行强制卸载的目标是 shanghai 站点的 Firenze 。

一 强制卸载域控制器

首先我们在被卸载的域控制器 Firenze 上打开 cmd 命令提示符，执行 dcpromo/forceremoval ， forceremoval 参数的作用就是执行强制卸载，如下图所示，卸载向导提示我们这种卸载方式将不对其他域控制器的 Active Directory 数据进行更新。

        

         接下来我们需要设置 Firenze 本地管理员的口令。

 

强制卸载域控制器后， Firenze 将不再成为域内的成员服务器，而是会从域中脱离出去成为工作组中的独立服务器。

 

如下图所示，点击完成结束了域控制器的强制卸载。

 

二 手工清除 Active Directory 数据

Firenze 被强制卸载后，域内的其他域控制器并不知道这件事情，它们仍然认为 Firenze

是域控制器的一员，因此我们必须手工将 Firenze 从 Active Directory 中清除出去。我们准备在 Berlin 上对 Active Directory 进行手工清理，然后 Berlin 再把清理后的 Active Directory 复制到其他域控制器就可以了。

在 Berlin 上运行 NTDSUTIL ，如下图所示，选择“ Metadata Cleanup ”，准备清除不使用的服务器对象。

 

然后使用“ connections ”准备连接到指定的域控制器执行删除操作，输入“ connect to server berlin ”连接到 Berlin ，然后输入“ quit ”返回上级菜单。

 

接下来我们需要使用“ Select operation target ”来选择被删除的服务器对象，选择服务器时，我们需要指定服务器所在的域和站点。我们可以先用 list 指令列出站点和域，然后再进行选择。 Firenze 隶属于 shanghai 站点， Firenze 所在的域是 adtest.com 。

 

如下图所示，我们首先用“ list sites ”列出了当前站点，然后用“ select site 1 ”选定了 shanghai 站点，我们可以看到对站点的描述用的是数字而不是字符。选择了站点之后，我们接下来使用“ list domains in site ”列出了站点中的域，当前只有一个域 adtest.com ，编号是 0 ，因此我们接下来使用“ select domain 0 ”就可以把域也选定了。域和站点都选定了，我们就可以进行服务器的选择了，使用“ list servers for domain in site ”可以列出所有的服务器，当前 shanghai 站点只有 Firenze 一个域控制器，因此我们使用“ select server 0 ”选定服务器 Firenze 。至此，被手工清理的目标已被我们锁定了。

 

用“ quit ”命令退出选择操作对象的环境，返回到上级菜单，然后我们使用“ Remove selected   Server” 删除被选定的服务器对象 Firenze 。

 

NTDSUTIL 提示我们对删除 Firenze 服务器的行为进行确认，我们选择“ Y ”确定操作。

 

这样 Firenze 被我们从 Berlin 的 Active Directory 中清除了，然后我们在 Berlin 上打开 Active Directory 用户和计算机，如下图所示，删除域控制器 Firenze 。

 

我们需要对删除 Firenze 的原因进行描述，如下图所示， Firenze 是被我们强制卸载的。

 

确定要进行删除 Firenze 的操作，选择“ Y “。

 

至此，我们在 Berlin 上基本完成了对 Firenze 的手工清除，完成操作后还需要注意以下几点：

1         手工清除 DNS 中 Firenze 的 SRV 记录

2         如果 Firenze 承担了操作主机角色，把操作主机角色转移到其他域控制器

3         如果 Firenze 是全局编录服务器，选择其他的域控制器负责全局编录

4         把 Berlin 的 Active Directory 复制到其他域控制器上

综上所述，我们发现其实对域控制器进行强制卸载是很麻烦的事，我们不应该把它当成一种常态行为，只有当域控制器确实没有希望进行常规卸载时，我们才考虑使用强制卸载，而且使用强制卸载后一定要注意后续对 Active Directory 的手工清理！