Aunque inicialmente tenía dos Controladores de Dominio en el bosque, llevaba tiempo planteándome dejar sólo uno, ya que al tener más de un DC, el tiempo de arranque del dominio aumentaba de un minuto a ocho minutos (muestra de tiempo de arranque de la Máquina Virtual en un Host sin carga, y sin ningún DC aún levantado), lo que implica pasar mucho tiempo delante de la pantalla de Preparing network connections. Esto es algo incómodo para un entorno de laboratorio que está habitualmente apagado, y que sólo se enciende para hacer pruebas y demás, ya que en las épocas en que necesitas levantar y parar el entorno de forma diaria o frecuente, se hace bastante pesado y se pierde bastante tiempo. Habiendo uno cualquiera de los Controladores de Dominio y configurando los DNS de forma cruzada, el arranque del DC restante será rápido, pero si no hay ningún DC arrancado, la cosa cambia.
Por ello, aprovechando unos problemas con la Máquina Virtual que actuaba como el Controlador de Dominio que casualmente deseaba eliminar, finalmente decidí asumir la pérdida de dicha Máquina Virtual, y adicionalmente, eliminar manualmente de Directorio Activo y de DNS los restos de la misma (el muerto al hoyo y el vivo al bollo, es lo que dicen ;-). De hecho, este segundo DC llevaba tiempo apagado, y ya estaba configurado sin ningún rol FSMO y tampoco era Global Catalog, todo ello, ya de antes de su pérdida, eso sí, con la previsión de hacer un DCPromo para despromocionarlo, que nunca se llegó a realizar.
La forma de eliminar manualmente un Controlador de Dominio en Windows Server 2003 R2 SP2 en este caso (que ya no existe el DC, es decir, no podemos hacer un DCPROMO para despromocionarlo), está muy bien descrita en el siguiente Artículo de Soporte de Microsoft: How to remove data in Active Directory after an unsuccessful domain controller demotion
Sin embargo, quería aprovechar para incluir aquí los pasos realizados, principalmente porque me ha parecido muy fácil de realizar. Al ver la cantidad de comandos de NTDSUTIL que se deben ejecutar, puede parecer mucho más complicado de lo que realmente es, cuando con un Snapshot (con la máquina apagada) y unos minutos, el trabajo está hecho. Fácil y sencillo.
En mi caso, tenía un Bosque con un único Dominio, el cual tenía dos Controladores de Dominio denominados VDC01 y VDC02. Ambos son Máquinas Virtuales, ejecutándose bajo Hyper-V, y corriendo Windows Server 2003 R2 SP2. El Controlador de Dominio VDC01 posee todos los roles FSMO y es Catálogo Global, mientras que VDC02 no contiene ningún rol FSMO ni es Catálogo Global. Es este VDC02, el Controlador de Dominio que se desea eliminar. El hecho de que estuviese así repartido los roles FSMO, evita tareas adicionales, como por ejemplo tener que hacer un NTDSUTIL para transferir (SEIZE) los roles desde el Controlador de Dominio perdido (VDC02) al aún vivo (VDC01). En cualquier caso, nunca está de más utilizar la herramienta administrativa ReplMon de las Support Tool, para conectarse al Controlador de Dominio que sigue vivo, y mostrar sus propiedades, para comprobar el reparto de los roles FSMO.
Así, al mostrar la pestaña FSMO Roles, de un vistazo nos quedará claro como está el asunto.
También podremos utilizar la opción Show Global Catalog Servers in Enterprise, para así comprobar qué Controladores de Dominio están marcados como Global Catalog.
En nuestro caso, sólo tenemos al DC que queda vivo, el VDC01, así que todo OK.
Ahora que ya hemos comprobado el reparto de roles FSMO y de la configuración de Global Catalog, y teniendo certeza que está todo OK y que no es necesario hacer ninguna tarea previa adicional (salvo un Backup o un Snapshot de la Máquina Virtual), estamos en condiciones de empezar. Para ello, desde una ventana de símbolo del sistema, ejecutaremos ntdsutil, y dentro del prompt de la herramienta ntdsutil ejecutaremos los comandos que a continuación se muestran y que están muy bien documentados en el Artículo de Soporte de Microsoft que antes comentábamos.
Con esto, habremos eliminado dicho Controlador de Dominio. Sin embargo, el Controlador de Dominio que acabamos de eliminar (VDC02) es también servidor DNS de varias zonas, tanto de búsqueda directa como de búsqueda inversa, por lo que para cada una de estas zonas DNS deberemos mostrar sus propiedades desde la herramienta administrativa de DNS.
De este modo, en la pestaña de Name Servers, podremos ver que aún aparece el antiguo Controlador de Dominio VDC02, por lo que le seleccionaremos y le eliminaremos.
Tras repetir este proceso todas las zonas DNS de resolución directa e inversa en las que dicho Controlador de Dominio actuaba como servidor DNS, queda eliminar los registros DNS correspondientes a esta máquina en las diferentes zonas DNS, tanto registros de tipo Host como Alias.
Por último, en la herramienta administrativa Active Directory Sites and Services, eliminaremos los restos del antiguo Controlador de Dominio (nos pedirá confirmación al eliminarlo).
Llegados a este punto, ya habremos eliminado manual y satisfactoriamente el antiguo Controlador de Dominio VDC02. En estos momentos, estamos en condiciones de detener e iniciar el Controlador de Dominio que nos queda (el VDC01) y comprobar que a partir de este momento, ya no se muestran errores en el Visor de Sucesos de VDC01 en lo relacionado con Directorio Activo y DNS, o al menos, si aparecen errores no estarán relacionados con el antiguo VDC02 que acabamos de eliminar.
Poco más por hoy. Como siempre, espero que resulte de interés.
