Не могу удалить старый DC на W2003

Всем привет.
Столкнулся с проблемой.
Надо навести порядок в одной организации, а в частности привести в порядок сеть. Одной из проблем стало то, что необходимо удалить старые контроллеры домена и обновиться на что-то более новое.
Так вот, в сети есть два контроллера домена, один из них на win2003 sp2 x86, второй на 2008к2 х64.
Затея в том, чтобы удалить 2003, поднять уровень домена на 2008, к нему добавить что-то типо 2016, удалить 2008 и успокоиться на этом.
Но не тут то было. 2003 категорически отказывается удаляться. На финальной стадии удаления требует права Администратора Предприятия. хоть ты тресни Которые то есть на самом деле.
Мб у кого то был подобный опыт и подскажет что с этим делать? Нагуглить подобный случай не удалось.
Да, с 2003 роли все сняты, в dcdiag прям каких то ошибок нет, как и в repmon.
Да, из анамнеза проблемный dc когда-то давным давно был восстановлен из резервной копии, мб в этом проблема. А может и нет.
Хочется удалить его штатным способом, чтобы все потом опять не полезли какие нибудь проблемы.

Модераторов попрошу, если тема создалась не там где надо, перенести в соответствующий раздел.
Всем откликнувшимся огромное спасибо.

захвати роли, очисть все упоминания о старом КД в днс. всё

Тs с кем сейчас говоришь?

Это сообщение отредактировал Gudvin - 26.09.2025 - 10:58

С ИИ, видимо.

А реально, ТС, попробуй эту писанину отошли ДипСику, что ответит?

Размещено через приложение ЯПлакалъ

ХаУ!
Можно перевести?... "требует права Администратора Предприятия. хоть ты тресни Которые то есть на самом деле."

Поможет?

Размещено через приложение ЯПлакалъ

Корявый метод. Я бы порекомендовал выключить проблемный ДЦ и сделать вот так - https://winitpro.ru/index.php/2011/04/08/ud...ility-ntdsutil/

Просто выкини его в окно!
- Там железо уже пенсионер давно - на пенсию, в металлолом!
- на сданные бабки пива купишь! ;)
- С Пятницом!

да выключи 2003 по питанию!

Тут только таблица по Int 21 поможет

Попробуй новый аккаунт завести и ему дать привилегии администратора предприятия, после этого машину перезагрузить и после поднятия попробовать удалить.

DC можно восстанавливать из резервной копии _только_ если он _единственный_.
Иначе хрень гарантирована.
Если роли все захвачены - почитай на тему удаления из AD _мёртвого_ DC.
Там всё не так уж страшно.
Вот прям в гугле сейчас набрал "active directory remove dead domain controller".

https://techcommunity.microsoft.com/blog/it...r-server/280564

https://www.manageengine.com/products/activ...ger-exists.html

В чем он корявый? Перехватить контроллер и грохнуть его штатными средствами, или млять через утилиту руками выгрызать якобы отключенный контроллер?

Размещено через приложение ЯПлакалъ

А аккаунт тут каким креном если это роль?

Размещено через приложение ЯПлакалъ

Да ваще нихера сложного. Вы это в реальности делали? Я вот делал, чуть не охуел. Там эту херь фиг выгрвзешь. Реально проще с нуля все поднять и машины в домен переваести. Если их не так много

Размещено через приложение ЯПлакалъ

Ошибка

Размещено через приложение ЯПлакалъ

так я тоже самое сказал сделать

Лом не помогает? Попробуй. Как строитель говорю.

Размещено через приложение ЯПлакалъ

Здесь читай -shotweb.ru/katalog-statej/internet-tekhnologii/sisadmin/domen/udalyaem-neispravnyj-domen-kontroller-iz-active-directory-v-server-2008r2

Размещено через приложение ЯПлакалъ

Делал и не раз.
Но если организация не большая - действительно лучше новый домен.
Ибо например есть некоторые групповые политики - которыми реально управлять только из под 2003 винды.
В более новых - просто нет таких оснасток - и может получиться политика-зомби.
Она останется, как-то будет работать, но управлять ей будет нельзя :)

Так что если есть возможность - новый домен лучше, чем тянуть все глюки старого.

Ну я ж не сисадмин, я DC не настраиваю, я как бы с другой стороны, взламывал я их в своё время

ТС же пишет что при попытке удаления, ему написало что нужную привелегию не видит на акканте с которого ТС пытается удаление произвести

Такое может быть или если у сервера большой аптайм и ему чуть мозги скрутило, тогда ребут поможет, или же если восстановление из бека криво прошло, тогда свежий аккаунт с выставленными привелегиями может помочь. Чтобы не углубляться, привелегии это то что ролями даётся, или если упрощённо роли.

Отвечу Medoved.
Проблемный DC восстанавливали из бекапа, когда на тот момент времени он был единственный в домене. 2008 добавился позднее.
VampirBFW А вот перевод всех машин в новый домен не такая уж и плохая идея, благо машин не так уж и много и в сети нет ничего такого, что сильнокритично завязано на AD.
В общем, MaxDez скинул большой ман по этой решению этой проблемы, попробую поковырять и посмотреть что получится, благо это все в виртуальные машины.
Удалять принудительно не хочется, DC вполне живой. Да и чревато проблемами в будущем.

Если прям совсем никак, то наверно да, проще будет перетащить всех в новый домен, чем вычищать старый от всех приколов.

Из-под локального админа не пробовал?

Как это ни прискорбно заявить: но создать новый домен по времени кратно быстрее чем удалить старый. Разве что для получения опыта можно потратить некоторое время. (хотя он в будущем может и не пригодится)

ЗЫ: И да, я наверное тупой ибо в такой же ситуации у меня так и не получилось его удалить. После трех дней мучений мне это надоело и я пошел по первому пункту.

Это сообщение отредактировал brand233 - 26.09.2025 - 11:55

Тем, что в АД записи об этом контроллере все равно останутся. А ТС явно написал, что хочет красиво. :)