Cuando vamos a reemplazar un Controlador de Dominio siempre es mejor tratar de hacer el procedimiento más seguro, y siguiendo las buenas prácticas, aunque esto no es siempre posible
Este es: mover los "FSMO Roles" a otro, apagarlo, controlar durante un tiempo prudencial que todo siga funcionando de acuerdo a lo esperado, y luego ponerlo en línea nuevamente y despromoverlo para eliminar todas sus referencia en Active Directory
Pero a veces esto no es posible, bien porque no se puede llevar a cabo el procedimiento de despromoción por dar errores y detenerse, o inclusive si el Controlador de Dominio ya no arranca, y no se dispone o no se quiere recuperar desde una copia de seguridad
Entonces siempre lo primero es tratar de utilizar el procedimiento de acuerdo a las buenas prácticas que mencionamos más arriba.
Si no se puede despromover ya sea porque da errores que impiden su ejecución siempre podíamos ejecutar “DCPRMO /FORCEREMOVAL” pero ahora no está más disponible, vamos a ver cómo es el procedimiento equivalente. Cualquier opción que ejecutemos con DCPROMO nos dirá que se debe hacer desde Server Manager y nos dirigirá a un enlace de ayuda de Microsoft totalmente inservible para despromoción
Por lo anterior, decidí tratar de quitar la funcionalidad “Active Directory Domain Services” y encontré el procedimiento para forzar la despromoción
Comenzamos entonces con el procedimiento para quitar roles y seguimos como muestran las siguientes pantallas
Para estas capturas de pantalla, he utilizado DC2, con DC1 apagado para que no se pueda hacer la despromoción normal. Por supuesto que estoy usando “snapshots” de las máquinas virtuales y luego volveré todo a la normalidad
Cuando vamos a desmarcar la opción correspondiente
Aparece
Pero seguidamente aparece el siguiente cuadro, donde deberemos seleccionar “Demote this domain controller”
Parece que no está habilitada ninguna opción, pero hay que esperar
Hasta que al final se habilitarán
Como no tenemos más el “ForceRemoval” debemos seleccionar “Force the removal of this domain controller”. Esto es así, porque no puede contactar a DC1
Confirmamos
Debemos ingresar la contraseña que tomará el administrador local, ya que ahora no será más Controlador de Dominio
Luego de pulsar el botón “Demote” se producirá la despromoción forzada, y reiniciará automáticamente al finalizar el proceso
Bueno, volvamos al tema incial como es eliminar la cuenta de un Controlador de Dominio que bien sea porque no se puede o quiere recuperar, o si se hizo el procedimiento anterior forzando la despromoción
Debemos hacer el procedimiento de eliminación en tres lugares diferentes para eliminar de Active Directory todas las referencias al Controlador de Dominio que ya no estará
Comenzamos entonces en DC1, que es el Controlador de Dominio que quedó así que procederemos primero a eliminar la cuenta de DC2 en “Active Directory Users and Computers” como muestran las siguientes pantallas
Y ya está eliminado acá
Pero debemos borrar referencias en otros dos lugares. Sigamos con DNS, debemos eliminar tanto los dos registros A como el NS dentro de la zona
Primero los registros A, tanto DC2 si existiera, como “Same as parent folder” correspondiente a DC2
El registro NS no lo podemos eliminar igual que los anteriores
Debemos hacerlo editando el registro SOA, ficha “Name Servers”
Quedará finalmente así
Por último, debemos eliminar las referencias en “Active Directory Sites and Services”
Eliminamos primero el servidor
Y el objeto conexión desde DC2 a DC1
Y ya está todo listo para reemplazarlo. He instalado un nuevo servidor, le he dado el nombre del anterior (DC2), la misma dirección IP (192.168.1.202) y le he puesto como DNS a DC1 (192.168.1.201)
Para asegurarme no tener problemas, he comprobado con NSLOOKUP que se resuelve correctamente el nombre de DC1
No mostraré porque es lo mismo que hemos hecho cuando promovimos el segundo Controlador de Dominio, instalé la funcionalidad y lo promoví como Controlador de Dominio adicional
Y como vemos todo ha funcionado correctamente 🙂
De esta forma, hemos demostrado cómo quitar en forma forzada un Controlador de Dominio, eliminar sus referencias en Active Directory, y reemplazarlo por una nueva instalación con el mismo nombre y dirección IP
