[Windows Server 2003] DCpromo demote

Domain controllers do not demote gracefully when you use the Active Directory Installation Wizard to force demotion in Windows Server 2003 and in Windows 2000 Server (dcpromo /forceremoval) zou volgens mij dat moeten doen

Op zich is het niet raar dat je problemen hebt natuurlijk, je USN (Update Sequence Number ) telde gewoon door op die Domain Controller en ineens staat er een veel oudere USN actief omdat je de Mirror Disk terug hebt gezet. Persoonlijk vindt ik dit een nogal risicovolle manier van security updates testen, ik neem aan dat je een OTA omgeving hiervoor?

Anyways, dcpromo /forceremoval zou moeten werken waarbij je goed moet kijken met adsiedit en ntdsutil of er niet oude objecten zijn achter gebleven voordat je hem weer als Domain Controller gaat gebruiken..

Ik weet niet of bovenstaande post hieraan ook refereren, maar vergeet ff niet om als je een dcpromo /forceremoval doet op de 'orphaned' DC, je deze server ook in je Active Directory nog moet opruimen!

Zie hiervoor KB artikel 216498 van Microsoft.

Anders gaat een nieuwe promo geheid verkeerd omdat je operationele ActiveDirectory denkt dat de 'orphaned' DC nog steeds bestaat.

Verwijderd schreef op zondag 01 november 2009 @ 22:06:
[...]

Excuses, ik sprak elke keer over UNC maar bedoelde ook USN..... Security updates waren zeker getest en bij alle andere DC's is ook alles goed gegaan. Alleen deze ene raakte er van overstuur (de server zelf niet, maar de applicatie die erop draait.


[...]


Kun je ook precies vertellen wat ik daarmee moet bekijken? Moet ik deze twee command line tools gebruiken op de betreffende DC? En wat moet ik precies uitvoeren met deze twee tools?

Zul je altijd zien natuurlijk dat het in productie fout gaat, maar de manier van updates doorvoeren (Een schijf eruit trekken van een Mirrorset als een soort van backup?) lijkt me niet de beste...Waarom draait er een applicatie op de Domain Controller eigenlijk?

Met dcpromo /forceremoval demote je geforceerd een bestaande Domain Controller. Na deze procedure kun je met Adsiedit kijken (Misschien eerst regsvr32 schmmgmt.dll doen voordat je adsiedti.msc kan starten) of er nog in de Domain Controllers OU objecten staan van de Domain Controller die je hebt gedemote.

Met ntdsutil kun je zien of Active Directory nog denkt dat er objecten in een bepaalde site staan van de Domain Controller die je hebt gedemote, misschien moet je ook nog FSMO rollen overzetten? (Weet niet of de Domain Controller bepaalde FSMO rollen had?)

Met beide tools is het wel weten wat je doet, het kan de situatie nog erger maken als je niet weet wat je doet (Heb bij Microsoft een training gehad voor recovery van Active Directory en gezien de dingen die er fout kunnen gaan is het wel zeker weten wat je doet voordat je iets doet zeg maar...)

En... Wat voor versie Active Directory draai je eigenlijk? WIndows 2000, 2003 of 2008? Ken zelf alleen Windows 2000 en 2003 qua AD, 2008 is misschien anders?

Waarschijnlijk is je applicatie in de war geraakt door de security hotfixes. Eenvoudiger was geweest om de fixes te de-installeren ipv. de mirrorschijf terug te plaatsen.

Voor zover ik het nu begrijp heb je dus vervolgens de 'oude' mirror schijf teruggeplaatst waarna AD vervolgens die betreffende server is 'teruggeplaatst in de tijd'. Wat er gebeurt is, is dat de andere DC's van je domain/forest de replicatie met die 'time-warped' DC stoppen. Omdat zij nieuwere USN nummers hebben van de DC die je ge-'time-warpped' hebt met het terugplaatsen van de mirrorschijf.

Om dit op te lossen moet je dus vervolgens de 'time-warped' DC ontdoen van AD middels het opstarten van dcpromo.exe met de /forceremoval optie. In dat geval wordt AD verwijderd van die betreffende server zonder dat er nog wijzigingen worden weggerepliceerd naar de rest van het forest.

Alleen, je volgende probleem is vervolgens dat je Forest of Domain nog steeds de informatie heeft van het bestaan van de 'time-warped' DC. Deze info kun je dan vervolgens verwijderen met ofwel Adsiedit of NTDSutil. KB216498 in de MS Knowledgebase beschrijft dit in detail.

Als je zover bent kun je vervolgens je oude DC (=inmiddels een member-of workgroup server) weer op nieuw DCpromo-en in je ActiveDirectory.

@-={Fred_Perry}=-
In dat KB artikel staan exact te stappen om de oude DC te verwijderen. Wel ff opletten idd, anders gaat er meer stuk dan je lief is..

[ Voor 5% gewijzigd door Verwijderd op 01-11-2009 22:41 ]

Verwijderd schreef op donderdag 05 november 2009 @ 07:51:
Ik zal de KB216498 eens goed bestuderen. Kan ik dit artikel niet echt duidelijk opmaken waar ik deze commandos moet draaien. Ik neem aan op één van de nog bestaande goede DC's?

Als je de Domain Controller hebt kunnen demoten met dcpromo, dan kun je op een goede/werkende Domain Controller de mogelijk resterende objecten opruimen door KB216498 door te lopen. Hierna kan de machine weer opnieuw via dcpromo Domain Controller worden in je domain.

Verwijderd schreef op donderdag 26 november 2009 @ 20:51:
Uiteindelijk gelukt met een dcpromo /demote en daarna "handmatig" metadata uit AD verwijderen. Was wel even spannend, maar is goed gelukt.

Bedankt voor de reacties.

en wat hebben we hier van geleerd

dat je nooit, maar dan ook nooit in een netwerk met meerdere DC's een image of snapshot terugzet.

* Zwelgje zet op virtuele machines altijd snapshotting uit juist om dit soort shit te voorkomen.

Powershell schreef op vrijdag 27 november 2009 @ 10:31:
[...]


en wat hebben we hier van geleerd

dat je nooit, maar dan ook nooit in een netwerk met meerdere DC's een image of snapshot terugzet.

* Tags NL zet op virtuele machines altijd snapshotting uit juist om dit soort shit te voorkomen.

True, true... Problemen met USN's van objects is niet echt grappig