Degradar un DC

 Degradar un Domain Controler (demote)

En un momento dado todos nos hemos podido encontrar con la situación de tener la necesidad de degradar un Domain Controler. En principio no debería ser una tarea demasiado complicada pero como ya sabemos todos no siempre todo es bonito.

Para realizar el demote del DC lo primero que deberíamos chequear és que roles tiene asignados el server (netdom query fsmo). Antes de degradarlo deberíamos transferir los roles a otro DC (ntdsutil ; transfer rol). En caso de no poder fructificar el transfer deberíamos optar por la opción de desastre del seize. El “Seize rol” se usa para apropiarse de un rol en concreto si no se ha podido hacer una transferencia ordenada.

Un vez transferidos los roles, nos deberíamos fijar si el DC es GC (Global Catalog) y si existe algún otro GC en el dominio. De no ser así, antes de degradar este DC deberíamos convertir otro DC en GC. Si no aseguramos un GC mínimo tendremos problemas en los logon de los usuarios. Este punto lo podemos chequear en la consola de “Sites And Services” por ejemplo.

 

 GC

Para chequear si un DC es GC o no también podemos seguir lo descrito en el siguiente post: https://onlyit.wordpress.com/2008/11/04/is-this-dc-a-global-catalog/

Una vez transferidos los roles y asegurados que existe otro GC, podemos proceder a degradar. Este punto es tan simple como seguir el wizard que se nos mostrará ejecutando DCPROMO en un CMD.

En cualquier caso si no se pudiera realizar un DCPROMO tal qual siempre podemos probar con un DCPROMO /forceremoval . Si la finalidad de la degradación es eliminar el server, tambien podríamos optar por otro camino, eso si, mucho más agresivo, que seria el de eliminar el servidor (parándolo o simplemente pegándole patadas) y a posteriori realizar un Metadata Cleanup mediante la herramienta NTDSUTIL desde un CMD.  Con Metadata Cleanup estamos haciendo una limpieza en Active Directory de cualquier referencia al DC que hemos eliminado.

Adjunto un par de articulos de Microsoft en los que se describen estos procesos y que encuentro muy interesantes.

Domain controllers do not demote gracefully when you use the Active Directory Installation Wizard to force demotion in Windows Server 2003 and in Windows 2000 Server
http://support.microsoft.com/kb/332199/en-us

Using Ntdsutil.exe to transfer or seize FSMO roles to a domain controller
http://support.microsoft.com/kb/255504/en-us

Clean up server metadata
http://technet.microsoft.com/en-us/library/cc736378.aspx

Hasta la próxima.

Joan.

Advertisements

Published by

onlyit

Ingeniero de Sistemas, amante de la tecnología e informática.

One thought on “Degradar un DC”

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s