Alte Objekte im ADS finden

Computer in einem Netzwerk kommen und gehen. Beim Ausrangieren alter Hardware wird jedoch allzu oft vergessen, diese auch sauber aus dem Active Directory zu entfernen. Die Folge sind ein ADS voll alter Computer Objekte.

Es gibt einen komfortablen Befehl, diese zu finden: dsquery

Auf 2003 R2 Servern muss dafür das Support Tools Package (Adminpak) installiert sein.

Man benötigt auf dem Domaincontroller eine administrative Kommandozeile.

Search..

dsquery computer -inactive 52

Dieser Befehl sucht Computerobjekte, die seit 52 Wochen inaktiv sind, also sich seither nicht mehr beim Domaincontroller gemeldet haben.

Die Ausgabe lässt sich auch in eine Textdatei umleiten:

dsquery computer -inactive 52 > c:\temp\inactive.txt

and destroy

Achtung! Es ist empfehlenswert, zunächst den obigen Suchbefehl abzusetzen und dabei das Inaktivitätsintervall vernünftig groß zu halten. Denkbar wäre zum Beispiel, daß ein Mitarbeiter sein Notebook seit mehreren Wochen nicht mehr am internen LAN hatte. Diesen ohne Prüfung aus dem ADS zu werfen hätte unangenehme Nebeneffekte. 😉

dsquery computer -inactive 52 | dsrm -noprompt -c

Dieser Befehl ist gnadenlos. Er löscht alle gefundenen Objekte aus dem ADS. Normalerweise muss man jedes einzelne Objekt zur Löschung bestätigen. Der Parameter ‘-noprompt’ unterdrückt dies. Durch den Parameter ‘-c’ werden Fehler gemeldet, aber der Prozess nicht abgebrochen (continue).

Wer es etwas moderater angehen möchte, kann die Computerobjekte zunächst nur deaktivieren.

dsquery computer -inactive 52 | dsmod computer –disabled yes

 

Links

  • Microsoft TechNet – DSRM
  • Microsoft TechNet – DSMOD

ADS: Schema Erweiterung 2012 R2

Der Support für Windows Server 2003 endet zum 14. Juli 2015 und noch immer finden sich zahlreiche 2003 Server-Systeme im produktiven Umfeld. Eine Migration auf die Plattform Server 2008 R2 wird meist zugunsten von Server 2012 R2 übersprungen.

Ich schildere hier das Upgrade durch hinzufügen eines weiteren Domänencontrollers 2012 R2 zur bestehenden Domäne auf Basis von Server 2003 R2 mit der ADS Schema Erweiterung auf Server 2012 R2.

Voraussetzungen

  • Domänen Funktionsmodus (domain functional level) muss mindestens “Server 2003” sein. Dazu das Tool “Active Directory Domänen und Vertrauensstellungen” öffnen und das Kontextmenü auf dem Domänennamen öffnen. Gleichermassen im Tool Active Directory Benutzer und Computer” Kontextmenü auf den Forest.
  • Neuer Windows Server 2012 R2 mit fester IP als Memberserver in der bestehenden Domäne.
  • Alle bestenden Domänencontroller müssen sauber replizieren. Es existieren keine Tombstones. Das Ereignislog ist sauber.
  • Microsoft SP1 Support Tools sind auf den 2003 Servern installiert.

„ADS: Schema Erweiterung 2012 R2“ weiterlesen

How To Reset the Directory Services Restore Mode Administrator Account Password in Windows Server

Bei der Einrichtung einer Domäne muss das Directory Services Restore Mode (DSRM) Passwort festgelegt werden. Leider wird dies dann gerne vergessen, da es jahrelang nicht gebraucht wird. Was also tun, wenn das Passwort nicht mehr verfügbar ist? Hierfür gibt es ein Bordmittel von Microsoft.

Diese Methode funktioniert für Server:

  • Windows Server 2003
  • Windows Server 2003 R2
  • Windows Server 2003 SP1
  • Windows Server 2008

Ablauf

start > run > ntdsutil

Bei Windows 2008 und 2008 R2 ist eine administrative Konsole notwendig. start > run > cmd (als Administrator ausführen) > ntdsutil

set dsrm password

Das Passwort des lokalen Servers zurücksetzen

 reset password on server null

Passworteingabe. Die Zeichen werden nicht dargestellt.

Das Passwort eines Remote Servers zurücksetzen

reset password on server myserver.domain.com

Passworteingabe. Die Zeichen werden nicht dargestellt.

DSRM mit q verlassen.

NTDSUTIL mit q verlassen.

Vielen Dank an Al für diesen Hinweis. 🙂

Links

Microsoft Support – How To Reset the DSRM Administrator Account Password

Microsoft TechNet – set DSRM password

Microsoft TechNet – DRSM Command Syntax

 

Dateireplikationsdienst neu starten

Gelegentlich bringt ein Domaincontroller einen Fehler im Ereignisprotokoll unter Dateireplikationsdienst (NT File Replication Service NTFRS).

Der Dateireplikationsdienst konnte die Replikation von DC1 nach DC2 für c:\winnt\sysvol\<DOMAIN> mit DNS-Namen DC2.domain.com nicht aktivieren. Es wird ein neuer Versuch gestartet.

Das Protokoll auf der Gegenseite zeigt jedoch keinerlei Probleme mit dem Dateireplikationsdienst. Oft ist diese Meldung ein Artefakt oder Hinweis auf eine Störung in der Vergangenheit, die aber aktuell nicht mehr besteht.

Zur Klärung ist es nicht notwendig, den Domaincontroller neu zu starten. Oft genügt es, den Dateireplikationsdienst neu zu starten.

net stop ntfrs

Nach erfolgreicher Beendigung des Dienstes wird dieser neu gestartet.

net start ntfrs

Wenn wirklich kein Problem mehr besteht, dann findet man im Ereignisprotokoll den Event 13516.

Der Dateireplikationsdienst verhindert nicht mehr die Heraufstufung des Computers DC1 zum Domänencontroller. Der Systemdatenträger wurde erfolgreich initialisiert. Der Anmeldedienst wurde benachrichtigt, dass der Systemdatenträger jetzt als SYSVOL freigegeben werden kann.

Links:

Microsoft TechNet zum Fehler 13508