quinta-feira, 22 de fevereiro de 2018

Como ativar e desativar replicação do Active Directory

A replicação é bidirecional, ocorrendo tanto de entrada e saída. Cada uma dessas instruções pode ser desabilitada / habilitada indepedentemente da outra usando o comando repadmin. O comando repadmin faz parte das ferramentas de suporte, incluídas no Windows por padrão.

Quando você está fazendo grandes mudanças no Active Directory, é recomendável que você desative a replicação de saída no DC que você está modificando. Isso permitirá que você possa testar todas as mudanças que você fez em um único DC sem propagar essas alterações para o restante de seu diretório. Se você cometer um erro ou achar que as alterações feitas não foram bem sucedidas, você pode restaurar um único DC ao invés de ter que realizar uma operação de recuperação de desastre em todo o seu domínio.

Para desativar a replicação de saída em um controlador de domínio, digite o seguinte:

Comando: repadmin /options <DC_NAME> +DISABLE_OUTBOUND_REPL

Para reativar a replicação de saída, digite o seguinte:

Comando: repadmin /options <DC_NAME> -DISABLE_OUTBOUND_REPL

Para desativar a replicação de entrada, digite o seguinte:

Comando: repadmin /options <DC_NAME> +DISABLE_INBOUND_REPL

Para reativar a replicação de entrada, digite o seguinte:

Comando: repadmin /options <DC_NAME> -DISABLE_INBOUND_REPL

É importante notar que a desativação de replicação de saída em um controlador de domínio não terá qualquer efeito sobre a replicação de entrada. O DC ainda receberá atualização de seus outros parceiros de replicação, a menos que você desative a replicação de entrada sobre eles também.

Fazendo uso deste procedimento podemos garantir manutenções e mudanças no DC com mais segurança, evitando a propagação de possiveis erro para o diretório.

Como remover do AD um DC que não pode ser despromovido pelo dcpromo



Algumas vezes encontramos Domain Controllers (DC’s) no Active Directory (AD) pore os mesmos não mais existem em nosso ambiente, mas porque isto acontece?

Não é incomun precisarmos remover um DC da rede, porem nem sempre o processo é realizado da forma correta (pela ferramenta dcpromo), algumas vezes o servidor simplesmente é desligado da rede e ai ficamos com “lixo” do mesmo no AD.

Quando por qualquer motivo enfrentamos este tipo de problema, precisamos realizar o que chamamos de “Metadata Cleanup”, que consiste basicamente em remover o lixo deixado pelo servidor da metabase do AD.

Mas antes disso, vá até o servidor com o Windows Server 2003 e use o dcpromo /forceremoval e assim que o processo finalizar, desligue o servidor.

Para realizarmos esta limpeza, precisamos apenas iniciar a ferramenta “ntdsutil” (atraves de uma console MS-DOS ou do menu iniciar/executar/ntdsutil), em seguida devemos executar os seguintes comandos (todo comentario se encontra entre parenteses):

·          metadata cleanup

·          connections

·          connect to server nome-do-servidor (onde o nome-do-servidor não deve ser o nome do servidor a ser removido e sim o nome de um DC funcional da floresta)

·          quit

·          select operation target

·          list domains

·          select domain X (onde X é o numero do dominio que contem o servidor a ser removido)

·          list sites

·          select site X (onde X é o numero do site que contem o servidor a ser removido)

·          list servers in site

·          select server X (onde X é o servidor a ser removido)

·          list current selections (para que seja exibida uma lista com as seleções realizadas – dominio, site e servidor)

·          quit

·          remove selected server

·          quit

·          quit

Se estiver utilizando o SP1 (ou superior) do Windows 2003 server, fica mais simples a remoção, basta utilizar o ntdsutil da seguinte forma:

    • ntdsutil "Metadata Cleanup" "Remove selected server CN=DC-01,CN=Servers,CN=Site-01,CN=Sites,CN=Configuration,DC=jsathler,DC=spaces,DC=live,DC=com" Quit Quit

Caso este seja um dominio filho ou um dominio em outra arvore, sera necessario remover tambem atraves do Ntdsutil o dominio:

·          metadata cleanup

·          connections

·          connect to server nome-do-servidor (onde o nome-do-servidor pode ser qualquer DC funcional na floresta)

·          quit

·          select operation target

·          list domains

·          select domain X (onde x é o numero do dominio a ser removido)

·          remove selected domain

·          quit

·          quit

Caso o servidor removido tenha sido o proprietario de alguma das regras FSMO, sera necessario fazer a transferencia das mesmas para outro servidor, para esta operacao tambem é utilizado o Ntdsutil (so utilize a opcao “Seize” se realmente o servidor for removido da floresta, caso contrario utilize “transfer”):

·          roles

·          connections

·          connect to server nome-do-servidor (onde o nome-do-servidor é o servidor que recebera as regras FSMO)

·          quit

·          seize domain naming master  (uma janela aparecera pedindo a confirmação)

·          seize infrastructure master

·          seize PDC

·          seize rid master

·          seize schema master

·          quit

·          quit

No servidor DNS remova todas as entradas referentes ao servidor removido, para esta operação garanta que os seguintes registros sejam removidos:

·          Alias existente na zona _msdcs.dominio-root.com.br (procure pelo ID que aponte para o servidor removido)

·          Caso o mesmo tenha desempenhado a funcao de DNS server , nas propriedades da zona remova o servidor da guia “Name Servers”

·          Expanda a zona _tcp.nome-site._sites.dc._msdcs.dominio-root.com.br e exclua os registros referente ao servidor removido

·          Expanda a zona _tcp.dc._msdcs.dominio-root.com.br e exclua os registros referente ao servidor removido

·          Expanda a zona _tcp.id-dominio.domains._msdcs.dominio-root.com.br e exclua os registros referente ao servidor removido

·          Caso o servidor removido fosse um GC sera necessario remover as entradas sob a zona _tcp.nome-site._sites.gc._msdcs.dominio-root.com.br, _tcp.gc._msdcs.dominio-root.com.br e gc._msdcs.dominio-root.com.br

Através da ferramenta Active Directory Sites and Services expanda o site onde se encontrava o servidor e exclua o objeto com o nome do mesmo.

Fonte:https://jsathler.wordpress.com/2008/09/06/como-remover-do-ad-um-dc-que-nao-pode-ser-despromovido-pelo-dcpromo/