Comment nettoyer vos clones de DC AD

vmware

Comment nettoyer les clones des DC ( Domain controller) ?

Plan

  1. introduction
  2. choix du Dc à cloner
  3. FSMO
  4. NTDSutil
  5. Nettoyage du DNS
  6. Bonus : PowerShell

Introduction

Après avoir fait le clone d’un contrôleur de domaine pour une bulle dans VMware, il faut nettoyer l’annuaire AD qui ne comporte plus qu’un seul serveur, celui que l’on vient de cloner.

Cet article explique comment nettoyer l’annuaire.

  Choix du DC à cloner

Choisir le DC contenant le plus de rôles FSMO, ou celui qui impactera le moins la procution lors du clonage à chaud qui fera « freezer » la VM quelques instant.

FSMO

Netdom query fsmo

Faire une premier fois la commande afin de vérifier les roles FSMO présent sur votre VM, ensuite il faudra passer les commandes si dessous, mais uniquement celles dont il faut récupérer les roles FSMO.

Normalement vous devriez avoir à passer celle ci :

Move-ADDirectoryServerOperationMasterRole -Identity "Target-DC" -OperationMasterRole PDCEmulator -Force

Move-ADDirectoryServerOperationMasterRole -Identity "Target-DC" -OperationMasterRole RIDMaster -Force

Move-ADDirectoryServerOperationMasterRole -Identity "Target-DC" -OperationMasterRole DomainNamingMaster -Force

Si besoin voici les autres commandes pour récupérer les autres rôles FSMO (non listé ci-dessus car normalement déjà sur le DC cloné)

Move-ADDirectoryServerOperationMasterRole -Identity "Target-DC" -OperationMasterRole SchemaMaster -Force

Move-ADDirectoryServerOperationMasterRole -Identity "Target-DC" -OperationMasterRole InfrastructureMaster -Force

Lancer de nouveau la commande ci dessous pour verifier.

Netdom query fsmo

NTDSutil : meta data clean up

Lancer une invite de commande et saisir les commandes ci dessous pour chacun des DCs non présents dans la bulle (donc x serveurs et x site à supprimer)

Connection

NTDSUTIL

Metadata cleanup

connections

connect to server <ServerName>

Q

Suppression du 1er serveur

select operation target

list domains

select domain <number>

list site

select site <number>

list servers in site

select server <number>

Quit
remove selected server

quit

Confirmer la suppression

  1. Recommencer pour tous les autres serveurs non compris dans la bulle
  1. Recommencer en supprimant cette fois le site, donc sans préciser de serveur

 Nettoyage du DNS

Suppression sites dans Sites et Services AD et des autres serveurs.

Avoir les droits suffisants pour le faire (entre admin par exemple)

Suppression des enregistrements DNS (sites, servers DC de tous les enregistrements SRV (ldap, kerberos, gc, kpasswd)

Dans _msdcs_DomainName.local

Suppression des serveurs de noms

Clic droit sur la zone DNS et choisir « propriété »

Aller dans l’onglet « Servers de Noms »

Sélectionner les serveurs

Nettoyer les données DNS obsolètes

Clic droit sur le serveur DNS dans le gestionnaire DNS

Puis choisir l’option « Nettoyer… »

Liens en PowerShell : ici

Laisser un commentaire