In questi giorni mi sono trovato a dover ripristinare un dominio Active Directory che aveva perso il proprio Primary Domain Controller (che era designato per tutti i ruoli FSMO).
Fortunatamente il dominio aveva a disposizione un secondo Domain Controller ed è stato per cui possibile spostare forzatamente i ruoli FSMO sul DC operativo.
Durante la procedura che ho eseguito non mi è stato possibile effettuare gli screen dei vari passaggi, ma li ho recuperati da un post di un blog che ho seguito come guida.
Per prima cosa è necessario assicurarsi di eseguire le attività con un’utenza che abbia i permessi di Domain Admins e Schema Admins.
Collegarsi ad uno dei Domain Controller rimasti operativi e verificare lo stato del dominio con il domando:
dsquery server -forest
Verificare quali domain controller sono proprietari dei ruoli FSMO:
netdom query fsmo
Per trasferire i ruoli verso altri domain controller è necessario caricare una DLL specifica, usando il comando:
regsvr32 schmmgmt.dll
Ora è possibile trasferire i ruoli del Domain Controller fallito usando il tool ntdsutil.
Ntdsutil
roles
connections
connect to server DC2
q
In seguito è possibile forzare lo spostamento dei 5 ruoli FSMO usando i seguenti comandi:
seize naming master
seize infrastructure master
seize rid master
seize schema master
seize pdc
q
Ogni processo richiede la conferma, prima dell’avvio della migrazione del ruolo.
Al termine della migrazione dei 5 ruoli è necessario rimuovere i riferimenti al vecchio Domain Controller fallito:
metadata cleanup
connections connect to server DC2
q
Elencare la lista dei siti Active Directory:
select operation target
list sites
Selezionare il sito nel quale è presente il DC fallito:
select site 0
list servers in site
Selezionare il Domain Controller fallito e visualizzare la lista dei domini:
select server 0
list domains
Selezionare il dominio e tornare alla funzione di metadata cleanup:
select domain 0
q
A questo punto rimuovere il Domain Controller fallito:
remove selected server
Ora dobbiamo ripulire l’AD dalle voci rimanenti relative al Domain Controller eliminato.
Apri lo strumento di amministrazione dello snap-in -> Siti e servizi di Active Directory . Espandi il sito in cui si trova il Domain Controller eliminato, selezionalo e scegli Elimina . Conferma la rimozione due volte.
Quindi, aprire lo snap-in DNS e rimuovere i record PTR e A relativi al Domain Controller appena eliminato.
Rimuovere l’oggetto relativo al Domain Controller anche dalla console Active Directory Users and Computers:
Così facendo abbiamo spostato di forza i ruoli FSMO dal Domain Controller fallito ed abbiamo rimosso completamente le tracce della sua esistenza da DNS e Active Directory. Il Domain Controller rimasto è diventato il controller di dominio primario (e proprietario di tutti i ruoli di FSMO).