Togliere il controller secondario

[Filippo-B]

Salve a tutti. Spero che questa sia la sezione adatta per postare il seguente quesito.
Da una rete con dominio Windows Server SBS 2003, composta, oltre che dai client, da un server primario (che fra i vari servizi ospita anche ISA) e uno secondario (che funge anche da terminal Server, servizio che però in pratica non viene usato), dovrei togliere questo server secondario, lasciando solo il primo (la rete è di piccole dimensioni).
Chiedo agli esperti del forum: è possibile semplicemente staccare il server dalla rete? Il "primario" ne risentirebbe? E il funzionamento generale della rete?
Active Directory continuerebbe a funzionare?

Grazie per le risposte. Sapete, prima di combinare "casini" ho pensato che è meglio chiedere a persone più esperte....

[BTS]

ma scusa... non puoi fare semplicemente un demote?

[Filippo-B]

Per favore, puoi spiegarmi come?
(Scusa l'ignoranza...)

[slowped]

Quote:

Originariamente inviato da Filippo-B

Chiedo agli esperti del forum: è possibile semplicemente staccare il server dalla rete? Il "primario" ne risentirebbe? E il funzionamento generale della rete?
Active Directory continuerebbe a funzionare?

Ti sconsiglio vivamente di semplicemente staccare il server dalla rete, ma di utilizzare la procedura corretta suggerita da BTS, ossia fare un demote del controller di dominio. Con la soluzione da te prospettata andresti incontro sicuramente a dei casini se, per un motivo qualunque, dovessi riaccendere il controllore in questione dopo che è stato spento per più di qualche settimana.

Per avviare la rimozione
1) vai sul menu "Start"
2) scegli la voce "Esegui"
3) digita "dcpromo"
4) click su OK (o digita invio)

Il comando dcpromo fa partire il processo di Installazione guidata di Active Directory dal quale puoi procedere alla rimozione del controller dal dominio. Dovrai fornire alla procedura le informazioni richieste, quindi devi avere cognizione della configurazione del tuo dominio.

[Filippo-B]

Grazie mille.
In sostanza, se ho capito bene, grazie all'utility "dcpromo" si deve "degradare" il server secondario, in modo che non sia più rilevato, appunto, così.
Dopodiché si può toglierlo dalla rete.
Giusto?

[slowped]

Quote:

Originariamente inviato da Filippo-B

Grazie mille.
In sostanza, se ho capito bene, grazie all'utility "dcpromo" si deve "degradare" il server secondario, in modo che non sia più rilevato, appunto, così.
Dopodiché si può toglierlo dalla rete.
Giusto?

Sì, con dcpromo togli al sever il ruolo di controller di dominio e gli altri eventuali ruoli ad esso connessi. Dopo che l'hai "degradato" diventa un "member server", ossia un server semplice, ma sempre appartenente al dominio. A questo punto se la macchina ti serve per altri scopi puoi rimuoverlo dal dominio rendendolo quindi un server "standalone" cioé membro di un gruppo di lavoro.

[BTS]

e non dimentichiamoci di cancellare l'oggetto workstation relativo al suo SID, se questo server verrà tolto dal dominio.

[slowped]

Quote:

Originariamente inviato da BTS

e non dimentichiamoci di cancellare l'oggetto workstation relativo al suo SID, se questo server verrà tolto dal dominio.

Se segue la procedura "canonica" (demote e poi rimozione dal dominio) l'oggetto *dovrebbe* essere cancellato automaticamente. In alcuni casi purtroppo, mi è capitato che l'oggetto workstation rimanesse, a vario titolo, nella struttura dati di AD e ho dovuto cancellarlo manualmente.

L'importante è la procedura per il demote vada a buon fine. In caso contrario, per scongiurare possibili corruzioni di AD, dovresti seguire una procedura di rimozione manuale che può diventare un incubo.
http://support.microsoft.com/kb/332199/
http://support.microsoft.com/?id=216498

[BTS]

come quando il metadata si sbocchina e nemmeno ntfsutil aiuta...

[slowped]

Quote:

Originariamente inviato da BTS

come quando il metadata si sbocchina e nemmeno ntfsutil aiuta...

Infatti, nel mio post avevo omesso di dire che un mio domain controller "problematico" era rimasto tale anche dopo la cura suggerita da mamma M$

Fortunatamente, il problema che lo affligge è noto (non si tratta di uno "sbocchinamento" dei metadati), e nutro ancora qualche speranza di poterlo uccidere "gracefully"...

[BTS]

temo di no...

a mano nel regedit...

[slowped]

Quote:

Originariamente inviato da BTS

temo di no...

a mano nel regedit...

Scusate se riesumo questo post, ma volevo semplicemente dire che l'ultima versione di ntdsutil.exe ha fatto in ieno il suo lavoro senza dover ricorrere al "rimedio estremo" suggerito da bts

Il server Domain controller problematico era diventato tale dopo essere stato offline per troppo tempo. In questi casi AD non consente la replica del database di AD ma il server risulta attivo comunque con DC ma un db inconsistente che crea grossi problemi (utenti non riuscivano più a fare logon nel dominio). Chiaramente la procedura "canonica" (dcpromo.exe) in questi casi non funziona ed è necessario un intervento manuale sul DC da uccidere (dcpromo /forcedemote) e sulle strutture dati di AD (tramite ntdsutil.exe).

La procedura è descritta nei due link che ho postato qualche messaggio fa e, fortunatamente, ha funzionato.