Bug Online

Windows Active Directory (AD) Domain Controlleri (DC) obično imaju svoj vijek trajanja u kojem ćete često zaboraviti da uopće postoje; razlog je tome redundantnost arhitekture pri kojoj se maksimalno koristi princip istovrijednih servera i multi-master replikacije. To znači da ispad ili kvar jednog DC-a neće utjecati na rad domene - korisnici će se i dalje normalno logirati, GPO pravila će se primjenjivati i DNS rezolucija će i dalje raditi.

Sve će biti u redu dok ne mijenjate arhitekturu i konfiguraciju mreže i dok ne zaplivate u moru opskurnih grešaka. U svakom slučaju, u ovom članku ćemo se pozabaviti ručnim uklanjanjem domenskog kontrolera koji se oteo kontroli, odnosno koji se nalazi u toliko ozbiljnim problemima da ga je najzdravije ukloniti iz domene (i eventualno ponovno dodati, ovisno o željama i potrebama).

Problematični kontroler

Prije ili kasnije naletjet ćete na DC koji se ne ponaša idealno. U event logu moći ćete pronaći više ili manje jasne naznake što s njim nije u redu - obično se radi o ispadu replikacije ili sličnom problemu međusobne komunikacije među kontrolerima. Većina stvari da se riješiti istraživačkim radom na samom serveru i s pomoću raznih snap-inova (najčešće se radi o DNS problemu na koji je AD jako osjetljiv), no nekada stvari jednostavno zapnu te je najčišće i najjednostavnije rješenje ukloniti DC s domene i mreže, eventualno ga reinstalirati i nanovo dodati u mrežu kao DC. Posebno ćemo razmotriti slučaj kad je DC u pitanju ujedno i FSMO holder.

Flexibile Single Master of Operation (FSMO), odnosno Operations Master DC jest onaj koji drži jednu ili sve od sljedećih rola: RID (Relative ID) Master, Infrastructure Master, PDC Emulator, Schema Master i Doman Naming Master.

RID Master brine se za RID-ove koji se dodjeljuju sigurnosnim objektima (računalima, security grupama i user objektima). Infrastructure Master drži na sebi sve GUID-ove (Global Unique ID), te cross-domain DN-ove. Ne koristi se u single-domain okruženju. PDC Emulator je odgovoran za lozinke i njihove promjene, tj. autoritativan je ako se replicirani podaci o lozinkama ne podudaraju. Schema Master i DN Master su forest-wide uloge i koriste se za održavanje informacija o forest schemi odnosno imenima domena u forestu.

Ako vam DC drži jednu ili sve uloge, prije njegovog uklanjanja s domene potrebno je role prebaciti na drugi DC.

U normalnoj situaciji, demotanje DC-a s mreže klasično se radi aplikacijom dcpromo. Uz par klikova na tipku "Next" skinut ćete sa servera DC rolu i pretvoriti ga u obični member server.

Međutim, ovisno o stanju DC-a koji skidate s domene, dcpromo ne može uvijek uspješno obaviti demote servera i na kraju ćete dobiti poruku o pogrešci zbog koje se postupak nije mogao uspješno okončati. Jedan od puteva kojima možete krenuti jest dijagnostika i popravak servera uporabom dijagnostičkih alata kao što su netdiag i dcdiag do točke kad možete uspješno progurati dcpromo. No, mi ćemo u ovom članku krenuti drugim putem i DC ukloniti na silu.