Удаление подчиненного домена

Для удаления подчиненного домена из леса Active Directory с помощью утилиты samba-tool используется подкоманда domain delete.

Общие сведения

В некоторых ситуациях возникает необходимость удалить подчиненный домен из структуры леса. Это может быть связано с реорганизацией, миграцией, упрощением инфраструктуры или устранением ошибок в проектировании. Удаление домена требует тщательной подготовки и предусматривает определенную последовательность шагов.

Предварительные требования

Для успешного удаления подчиненного домена должны быть выполнены следующие требования:

  1. В родительском домене доступен контроллер домена с FSMO-ролью PDC Emulator.

  2. В родительском домене доступен сервер на ОС Windows Server с установленной ролью Active Directory Domain Services (AD DS) или машина под управлением ОС Windows с установленным набором инструментов удаленного управления службами серверов Remote Server Administrative Tools (RSAT) для работы с утилитой ntdsutil.

  3. При выполнении операции удаления используются учетные данные пользователя, включенного в группу Enterprise Admins.

Последовательность удаления

Чтобы удалить подчиненный домен:

  1. Выполните операцию demote для всех контроллеров в удаляемом домене, кроме одного (см. описание операции и примеры ее вызова в разделе «Удаление контроллера домена»).

  2. Для удаления метаданных, используемых для идентификации последнего контроллера в удаляемом домене, на контроллере домена на ОС Windows Server или машине под управлением ОС Windows с установленным набором инструментов RSAT в родительском домене с помощью утилиты ntdsutil выполните команду metаdata cleanup: remove selected server, выбрав в качестве цели операции сервер, на котором работает последний контроллер в удаляемом домене.

  3. На контроллере домена Эллес в родительском домене выполните подкоманду samba-tool domain delete, указав в качестве аргументов DN удаляемого домена и адрес сервера с FSMO-ролью PDC Emulator.

  4. Выполните необходимые проверки, чтобы убедиться, что домен удален из леса.

Формат вызова

Общий формат вызова:

samba-tool domain delete <domain-dn> [options]

В качестве обязательного аргумента ожидается уникальное имя (distinguished name, DN) удаляемого домена.

Подкоманда должна выполняться на сервере с FSMO-ролью PDC Emulator в родительском домене. По умолчанию она выполняется на том сервере, на котором вызывается. При необходимости сервер с FSMO-ролью PDC Emulator может быть указан с помощью дополнительного параметра --server.

Параметры

Параметры вызова:

  • --server=PDC — IP-адрес, имя хоста или доменное имя сервера контроллера домена с FSMO-ролью PDC Emulator.

Примеры

Пример основан на следующих допущениях:

  • лес доменов — samdom.example.com;

  • удаляемый подчиненный домен — subsamdom.samdom.example.com;

  • все серверы находятся в одном сайте — Default-First-Site-Name;

  • DN сервера последнего контроллера в подчиненном домене — CN=SMBDC-2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=samdom,DC=example,DC=com;

  • в родительском домене доступен сервер контроллера домена на ОС Windows Server с FSMO-ролью PDC Emulator, IP-адресом 10.0.9.100 и DN CN=WINDC,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=samdom,DC=example,DC=com;

  • в родительском домене доступен сервер контроллера домена Эллес с DN CN=SMBDC-1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=samdom,DC=example,DC=com.

Пример удаления дочернего домена:

  1. На сервере контроллере домена на ОС Windows Server запустите утилиту ntdsutil от имени пользователя, включенного в группу Enterprise Admins.

  2. В ntdsutil подключитесь к серверу с FSMO-ролью PDC Emulator в родительском домене, выберите последний сервер в удаляемом подчиненном домене и выполните удаление метаданных.
    Пример последовательности команд в контексте ntdsutil:

    ntdsutil: metadata cleanup

metadata cleanup: connections

server connections: connect to server windc
Binding to windc ...
Connected to windc using credentials of locally logged on user.

server connections: q

metadata cleanup: select operation target

select operation target: list sites
Found 1 site(s)
0 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=samdom,DC=example,DC=com

select operation target: select site 0
Site - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=samdom,DC=example,DC=com
No current domain
No current server
No current Naming Context

select operation target: list domains in site
Found 2 domain(s)
0 - DC=samdom,DC=example,DC=com
1 - DC=subsamdom,DC=samdom,DC=example,DC=com

select operation target: select domain 1
Site - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=samdom,DC=example,DC=com
Domain - DC=subsamdom,DC=samdom,DC=example,DC=com
No current server
No current Naming Context

select operation target: list servers in site
Found 3 server(s)
0 - CN=WINDC,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=samdom,DC=example,DC=com
1 - CN=SMBDC-1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=samdom,DC=example,DC=com
2 - SMBDC-2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=samdom,DC=example,DC=com

select operation target: select server 2
Site - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=samdom,DC=example,DC=com
Domain - DC=subsamdom,DC=samdom,DC=example,DC=com
Server - CN=SMBDC-2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=samdom,DC=example,DC=com
        DSA object - CN=NTDS Settings,CN=SMBDC-2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=samdom,DC=example,DC=com
        DNS host name - smbdc-2.subsamdom.samdom.example.com
No current Naming Context

select operation target: q

metadata cleanup: remove selected server
Transferring / Seizing FSMO roles off the selected server.
Unable to determine FRS owner for role PDC.
Unable to determine FRS owner for role Rid Master.
Unable to determine FRS owner for role Infrastructure Master.
"CN=SMBDC-2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=samdom,DC=example,DC=com" removed from server "windc"

  3. На сервере Эллес в родительском домене выполните подкоманду удаления домена от имени пользователя, включенного в группу Enterprise Admins, указав в параметре --server IP-адрес контроллера домена с FSMO-ролью PDC Emulator:

    samba-tool domain delete DC=subsamdom,DC=samdom,DC=example,DC=com --server=10.0.9.100 -U Administrator@SAMDOM.EXAMPLE.COM

  4. Убедитесь, что домен удален, любым доступным способом. Например, с помощью утилиты ntdsutil:

    ntdsutil: metadata cleanup

metadata cleanup: connections

server connections: connect to server windc
Binding to windc ...
Connected to windc using credentials of locally logged on user.

server connections: q

metadata cleanup: select operation target

select operation target: list domains
Found 1 domain(s)
0 - DC=samdom,DC=example,DC=com