Windows server 2016 понизил уровень контроллера домена

Обновлено: 01.07.2024

Ваш контроллер домена не работает и вы хотите удалить его вручную?

В этом руководстве я рассмотрю два варианта удаления контроллера домена. Если у вас все еще есть доступ к серверу, предпочтительным вариантом является вариант 1.

Вариант 1. Понизьте роль контроллера домена с помощью диспетчера серверов

Используйте этот вариант, если у вас все еще есть доступ к серверу.

Используйте этот вариант, если сервер не работает или у вас больше нет к нему доступа.

В обоих примерах я буду использовать сервер Windows Server 2016, но эти шаги будут работать для Server 2012 и более поздних версий.

Видеоруководство

Если вам не нравятся видеоуроки или вы хотите получить более подробную информацию, продолжайте читать приведенные ниже инструкции.

Вариант 1. Понизить роль контроллера домена с помощью диспетчера серверов

Это рекомендуемый Microsoft метод удаления контроллера домена.

Шаг 1. Откройте диспетчер серверов

< /p>

Шаг 2. Выберите «Удаленные роли и функции»

Нажмите "Далее" на странице "Перед началом работы"

< бр />

Шаг 3. На странице выбора сервера выберите сервер, который хотите понизить, и нажмите кнопку "Далее".

В этом примере я понижаю уровень сервера «srv-2016»

Шаг 4. Снимите флажок «Доменные службы Active Directory» на странице «Роли сервера».

Когда вы снимете флажок, появится всплывающее окно для удаления функций, требующих доменных служб Active Directory.

< бр />

Если вы планируете использовать сервер для управления Active Directory, оставьте их установленными. В этом примере я планирую вывести сервер из эксплуатации, поэтому я удалю эти инструменты управления.

Шаг 5. Выберите Понизить уровень этого контроллера домена

На следующем экране убедитесь, что НЕ ВЫБРАН вариант «Принудительно удалить этот контроллер домена». Этот вариант следует выбирать только в том случае, если вы удаляете последний контроллер домена в домене.

При необходимости вы также можете изменить учетные данные на этом экране.

< /p>

Шаг 6. На экране предупреждений появится предупреждение, что на этом сервере размещены дополнительные роли. Если у вас есть клиентские компьютеры, использующие этот сервер для DNS, вам потребуется обновить их, чтобы они указывали на другой сервер, поскольку роль DNS будет удалена.

Установите флажок "Продолжить удаление и нажмите "Далее"

Шаг 7. Если у вас есть делегирование DNS, вы можете выбрать «Удалить делегирование DNS и нажать «Далее». В большинстве случаев у вас не будет делегирования DNS, и вы можете снять этот флажок.

Шаг 8. Теперь введите новый пароль администратора. Это будет для учетной записи локального администратора на этом сервере.

Шаг 9. Просмотрите параметры и нажмите "Понизить"

При нажатии кнопки "Понизить" сервер будет понижен и перезагружен. После перезагрузки сервер станет рядовым сервером. Вы можете войти на сервер с учетными данными домена.

Дополнительные шаги по очистке

По какой-то причине Microsoft решила не включать сайты и службы в процесс очистки. Возможно, он остался там на случай, если вы захотите снова повысить уровень сервера до контроллера домена. Если вы не собираетесь повышать уровень сервера до контроллера домена, выполните следующие действия.

Вы можете видеть выше, что сервер, который я только что понизил, все еще указан в списках сайтов и служб. Я просто щелкну по нему правой кнопкой мыши и удалю.

Это вариант 1. Вы можете зайти в папку «Контроллеры домена» и убедиться, что сервер удален.Также рекомендуется запустить dcdiag после удаления контроллера домена, чтобы убедиться, что в вашей среде нет серьезных ошибок.

Возможно, вам также потребуется просмотреть и протестировать репликацию. Вы можете использовать команду repadmin для проверки наличия проблем с репликацией.

Вариант 2. Удаление контроллера домена вручную

Используйте этот вариант, если сервер не работает, отключен или вы просто не можете получить к нему доступ. На самом деле есть только 1 шаг.

Шаг 1. На другом контроллере домена или компьютере с инструментами RSAT откройте «Active Directory — пользователи и компьютеры»

Перейдите в папку Контроллеры домена. Щелкните правой кнопкой мыши контроллер домена, который хотите удалить, и выберите "Удалить".

< /p>

На следующем экране установите флажок «Все равно удалить этот контроллер домена» и нажмите «Удалить»

< /p>

Если DC является сервером глобального каталога, вы получите дополнительное сообщение для подтверждения удаления. Я нажму Да.

Это почти все. Легко?

Последним шагом будет удаление сервера из Сайтов и служб, как я показал вам в варианте 1.

Как я упоминал в начале этой статьи, начиная с сервера 2008, очистка метаданных выполняется автоматически в обоих вариантах. Большинство практических руководств скажут вам открыть командную строку и запустить ntdsutil для очистки метаданных. В этом нет необходимости, если на вашем сервере установлена операционная система 2008 или более поздней версии.

Кажется, проще вручную удалить контроллер домена, чем использовать мастер диспетчера серверов. Технически я не уверен, в чем разница, но Microsoft рекомендует использовать мастер удаления, если вы можете. В крайнем случае используйте ручной метод.

Обзор

В этом руководстве я показал вам два метода удаления контроллера домена. Microsoft упростила этот процесс, автоматически очищая метаданные, начиная с сервера 2008. Поскольку сети и системы постоянно меняются, может наступить время, когда вам потребуется удалить контроллер домена. Я предоставил несколько ссылок Microsoft ниже, если вы хотите узнать больше об этой теме.

Источники

Рекомендуемый инструмент: анализатор разрешений для Active Directory

Этот БЕСПЛАТНЫЙ инструмент позволяет мгновенно просматривать разрешения пользователей и групп. Быстро проверяйте разрешения пользователей или групп для файлов, сетевых ресурсов и общих папок.

Анализ разрешений пользователей на основе членства отдельного пользователя или группы.

В этом разделе объясняется, как удалить AD DS с помощью диспетчера серверов или Windows PowerShell.

Рабочий процесс удаления AD DS

Удаление ролей AD DS с помощью Dism.exe или модуля DISM Windows PowerShell после повышения роли до контроллера домена не поддерживается и не позволит серверу нормально загружаться.

В отличие от диспетчера сервера или модуля ADDSDeployment для Windows PowerShell, DISM — это собственная система обслуживания, не имеющая встроенных знаний об AD DS или ее конфигурации. Не используйте Dism.exe или модуль DISM Windows PowerShell для удаления роли AD DS, если сервер больше не является контроллером домена.

Понижение роли и удаление роли с помощью PowerShell

Командлеты ADDSDeployment и ServerManager	Аргументы (аргументы выделены жирным шрифтом. Аргументы курсивом можно указать с помощью Windows PowerShell или мастера настройки AD DS. )
Uninstall-ADDSDomainController	-SkipPreChecks

-Учетные данные

-IncludeManagementTools

Аргумент -credential требуется только в том случае, если вы еще не вошли в систему в качестве члена группы администраторов предприятия (понижение последнего контроллера домена в домене) или группы администраторов домена (понижение реплики контроллера домена). Аргумент -includemanagementtools имеет значение требуется только в том случае, если вы хотите удалить все утилиты управления AD DS.

Понизить

Удалить роли и функции

Диспетчер сервера предлагает два интерфейса для удаления роли доменных служб Active Directory:

Меню "Управление" на главной панели управления с помощью функции "Удалить роли и функции"

На панели навигации щелкните AD DS или Все серверы. Прокрутите вниз до раздела «Роли и функции». Щелкните правой кнопкой мыши доменные службы Active Directory в списке «Роли и компоненты» и выберите «Удалить роль или компонент». Этот интерфейс пропускает страницу выбора сервера.

Командлеты ServerManager Uninstall-WindowsFeature и Remove-WindowsFeature не позволят вам удалить роль AD DS, пока вы не понизите роль контроллера домена.

Выбор сервера

В диалоговом окне «Выбор сервера» можно выбрать один из серверов, ранее добавленных в пул, если он доступен. Локальный сервер, на котором работает Диспетчер серверов, всегда доступен автоматически.

Роли и функции сервера

Снимите флажок Доменные службы Active Directory, чтобы понизить роль контроллера домена; если сервер в настоящее время является контроллером домена, это не удаляет роль AD DS, а вместо этого переключает к диалоговому окну результатов проверки с предложением понизить роль. В противном случае двоичные файлы удаляются, как и любая другая ролевая функция.

Не удаляйте никакие другие роли или функции, связанные с доменными службами Active Directory, такие как DNS, GPMC или инструменты RSAT, если вы намерены немедленно снова повысить уровень контроллера домена. Удаление дополнительных ролей и функций увеличивает время повторного повышения, так как диспетчер серверов переустанавливает эти функции при переустановке роли.

Удалите ненужные роли и функции AD DS по своему усмотрению, если вы намерены навсегда понизить роль контроллера домена. Для этого необходимо снять флажки для этих ролей и функций.

Полный список ролей и функций, связанных с AD DS, включает:

Модуль Active Directory для функции Windows PowerShell
Функция инструментов AD DS и AD LDS
Функция центра администрирования Active Directory
Функция оснастки AD DS и инструментов командной строки
DNS-сервер
Консоль управления групповыми политиками

Учетные данные

Параметры понижения можно настроить на странице учетных данных. Предоставьте учетные данные, необходимые для выполнения понижения, из следующего списка:

Для понижения роли дополнительного контроллера домена требуются учетные данные администратора домена. Выбор принудительного удаления этого контроллера домена понижает уровень контроллера домена без удаления метаданных объекта контроллера домена из Active Directory.

Не выбирайте этот параметр, если только контроллер домена не может связаться с другими контроллерами домена и нет разумного способа решить эту проблему с сетью. Принудительное понижение роли оставляет потерянные метаданные в Active Directory на оставшихся контроллерах домена в лесу. Кроме того, все нереплицированные изменения на этом контроллере домена, такие как пароли или новые учетные записи пользователей, теряются навсегда. Бесхозные метаданные являются основной причиной значительного процента обращений в службу поддержки клиентов Майкрософт в отношении AD DS, Exchange, SQL и другого программного обеспечения.

Если вы принудительно понизили роль контроллера домена, вы должны вручную немедленно выполнить очистку метаданных. Инструкции см. в разделе Очистка метаданных сервера.

Для понижения роли последнего контроллера домена в домене требуется членство в группе администраторов предприятия, так как при этом удаляется сам домен (если последний домен в лесу, то удаляется и весь лес).Диспетчер серверов сообщает вам, является ли текущий контроллер домена последним контроллером домена в домене. Установите флажок Последний контроллер домена в домене, чтобы подтвердить, что контроллер домена является последним контроллером домена в домене.

Предупреждения

Страница предупреждений предупреждает вас о возможных последствиях удаления этого контроллера домена. Чтобы продолжить, необходимо выбрать Приступить к удалению.

Если вы ранее выбрали Принудительное удаление этого контроллера домена на странице Учетные данные, на странице Предупреждения отображаются все роли Flexible Single Master Operations, размещенные на этом контроллере домена. Вы должны захватить роли с другого контроллера домена немедленно после понижения роли этого сервера. Дополнительные сведения о захвате ролей FSMO см. в разделе Захват роли хозяина операций.

Эта страница не имеет эквивалентного аргумента ADDSDeployment Windows PowerShell.

Параметры удаления

Отображение страницы «Параметры удаления» зависит от того, был ли ранее выбран «Последний контроллер домена в домене» на странице «Учетные данные». На этой странице можно настроить дополнительные параметры удаления. Выберите «Игнорировать последний DNS-сервер для зоны», «Удалить разделы приложений» и «Удалить делегирование DNS», чтобы активировать кнопку «Далее».

Параметры отображаются только в том случае, если они применимы к этому контроллеру домена. Например, если для этого сервера нет делегирования DNS, этот флажок не будет отображаться.

Нажмите «Изменить», чтобы указать альтернативные учетные данные администратора DNS. Щелкните Просмотр разделов, чтобы просмотреть дополнительные разделы, которые мастер удаляет во время понижения. По умолчанию единственными дополнительными разделами являются DNS-зоны домена и DNS-зоны леса. Все остальные разделы не являются разделами Windows.

Новый пароль администратора

На странице «Новый пароль администратора» необходимо указать пароль для встроенной учетной записи администратора локального компьютера, как только понижение будет завершено и компьютер станет сервером-членом домена или компьютером рабочей группы.

Командлет Uninstall-ADDSDomainController и аргументы имеют те же значения по умолчанию, что и диспетчер серверов, если они не указаны.

Аргумент LocalAdministratorPassword является особым:

Если в качестве аргумента не указано, командлет предложит вам ввести и подтвердить замаскированный пароль. Это предпочтительное использование при интерактивном запуске командлета.
Если указано со значением, значение должно быть защищенной строкой. Это не рекомендуется при интерактивном запуске командлета.

Например, вы можете вручную запросить пароль с помощью командлета Read-Host, чтобы запросить у пользователя строку безопасности.

Поскольку предыдущие два варианта не подтверждают пароль, будьте предельно осторожны: пароль не виден.

Вы также можете предоставить защищенную строку как преобразованную текстовую переменную, хотя это крайне не рекомендуется. Например:

Не рекомендуется указывать или хранить пароль в виде открытого текста. Любой, кто запускает эту команду в сценарии или заглядывает вам через плечо, знает пароль локального администратора этого компьютера. Зная это, они получают доступ ко всем его данным и могут выдавать себя за сам сервер.

Подтверждение

На странице подтверждения показано запланированное понижение; на странице не указаны параметры конфигурации понижения. Это последняя страница, которую показывает мастер перед началом понижения. Кнопка View Script создает сценарий понижения Windows PowerShell.

Нажмите "Понизить", чтобы запустить следующий командлет развертывания AD DS:

Используйте необязательный аргумент Whatif с Uninstall-ADDSDomainController и командлетом для просмотра информации о конфигурации. Это позволяет вам видеть явные и неявные значения аргументов командлета.

Запрос на перезагрузку — это последняя возможность отменить эту операцию при использовании ADDSDeployment Windows PowerShell. Чтобы переопределить это приглашение, используйте аргументы -force или confirm:$false.

Понижение

При отображении страницы понижения уровня начинается настройка контроллера домена, которую нельзя остановить или отменить. Подробные операции отображаются на этой странице и записываются в журналы:

%systemroot%\debug\dcpromo.log
%systemroot%\debug\dcpromoui.log

Поскольку команды Uninstall-ADDSDomainController и Uninstall-WindowsFeature имеют только по одному действию, они отображаются здесь на этапе подтверждения с минимальными требуемыми аргументами. Нажатие ENTER запускает процесс безвозвратного понижения и перезапускает компьютер.

Чтобы принять запрос на перезагрузку автоматически, используйте аргументы -force или -confirm:$false с любым командлетом ADDSDeployment Windows PowerShell. Чтобы предотвратить автоматическую перезагрузку сервера по окончании повышения, используйте аргумент -norebootoncompletion:$false.

Отмена перезагрузки не рекомендуется. Рядовой сервер должен перезагрузиться для правильной работы.

Вот пример принудительного понижения с минимально необходимыми аргументами -forceremoval и -demoteoperationmasterrole. Аргумент -credential не требуется, поскольку пользователь вошел в систему как член группы администраторов предприятия:

Вот пример удаления последнего контроллера домена в домене с минимально необходимыми аргументами -lastdomaincontrollerindomain и -removeapplicationpartitions:

Если вы попытаетесь удалить роль AD DS перед понижением роли сервера, Windows PowerShell заблокирует вас с ошибкой:

Вы должны перезагрузить компьютер после понижения роли сервера, прежде чем сможете удалить двоичные файлы ролей AD-Domain-Services.

Результаты

На странице "Результаты" отображается успех или неудача продвижения, а также вся важная административная информация. Контроллер домена автоматически перезагрузится через 10 секунд.

В сегодняшней статье вы узнаете, как понизить уровень контроллера домена Windows Server 2016 в инфраструктуре Active Directory компании.

В следующем сценарии предполагается, что контроллер домена подключен к сети, функционирует и обменивается данными как минимум с одним другим контроллером домена инфраструктуры. Мы также увидим, как происходит процесс понижения, как с использованием графического интерфейса диспетчера серверов, так и с помощью PowerShell. В противном случае, если DC не работает, вам придется выполнить принудительное удаление из Active Directory.

Прежде чем начать процесс понижения роли, вам необходимо определить, имеет ли контроллер домена одну из ролей FSMO. Если это так, вам нужно будет перенести роли FSMO на другой контроллер домена.

Прежде чем начать понижение роли контроллера домена

Хотя в этом нет необходимости, мы сначала воспользуемся командлетом Test-ADDSDomainControllerUninstallation, чтобы протестировать любые зависимости или потенциальные проблемы, которые могут возникнуть при удалении контроллера домена из Active Directory. Думайте об этом как о моделировании без каких-либо изменений.

Основной синтаксис команды для типичного моделирования следующий. Хорошо бы взглянуть на другие параметры, чтобы попробовать тот, который подходит для вашего случая.

Вам будет предложено ввести пароль локального администратора, и через несколько секунд появится соответствующее сообщение об успешном или неудачном завершении. В случае сбоя вам придется исправить ошибку, например передать роли FSMO, а затем перейти к понижению DC.

Понизить уровень контроллера домена с помощью диспетчера серверов

Откройте диспетчер серверов, нажмите «Управление», а затем «Удалить роли и компоненты».

В разделе «Перед началом работы» нажмите «Далее», чтобы продолжить.

В разделе "Выбор сервера" выберите DC и нажмите "Далее", чтобы продолжить.

В разделе "Роли сервера" снимите флажок с роли доменных служб Active Directory.

В новом окне нажмите кнопку Удалить компоненты.

Сразу после этого появится новое окно, информирующее вас о том, что вы не можете просто удалить роль и что вам нужно будет сначала понизить DC. Нажмите Понизить уровень этого контроллера домена, чтобы запустить мастер.

В разделе «Учетные данные» выберите учетную запись пользователя (например, администратора домена или предприятия), которая имеет право на удаление контроллера домена, и нажмите «Далее», чтобы продолжить. Если контроллер домена не взаимодействует хотя бы с одним другим контроллером домена, включите только параметр Принудительное удаление этого контроллера домена. Кроме того, Force оставит потерянные метаданные в Active Directory, и вам нужно будет немедленно очистить их, чтобы избежать проблем в будущем.

В подразделе «Предупреждения», который отображается только в том случае, если у вас установлены роли сервера DNS и глобального каталога, выберите «Продолжить удаление» и нажмите «Далее», чтобы продолжить.

В разделе «Новый пароль администратора» введите новый пароль учетной записи администратора и нажмите «Далее», чтобы продолжить.

В разделе "Параметры проверки" нажмите кнопку "Понизить", чтобы продолжить.

Затем начнется процесс понижения статуса DC, и ваш сервер автоматически перезагрузится.

После перезагрузки ваш старый контроллер домена теперь кажется частью домена в качестве рядового сервера, а не контроллера домена. Если вы планируете повторно продвигать его в DC через короткий промежуток времени, вам пока ничего делать не нужно.

В противном случае вам потребуется удалить роль доменных служб Active Directory, как вы пытались это сделать ранее. Повторно откройте мастер из раздела Удаление ролей и компонентов.

В разделе "Роли сервера" снимите флажок с роли доменных служб Active Directory и нажмите "Далее", чтобы продолжить. Как вы увидите, сообщение больше не появляется, так как ваш сервер больше не является контроллером домена.

Понизить уровень контроллера домена с помощью PowerShell

Когда вы повысили уровень сервера до контроллера домена, вы сначала установили доменные службы Active Directory, а затем повысили его до уровня контроллера домена. Соответственно, но в обратном направлении, мы поступим в случае, если хотим удалить Контроллер домена из домена Active Directory. То есть сначала понизим, а потом удалим роль.

Сначала откройте PowerShell с правами администратора. Затем введите следующую команду и нажмите Enter. Вам будет предложено дважды ввести учетную запись локального администратора, а затем подтвердить свое действие, нажав Y или A, в зависимости от ваших предпочтений.

Сразу после этого произойдет понижение роли контроллера домена, и сервер будет перезапущен автоматически.

После того, как вы снова войдете в систему, открыв Диспетчер серверов, вы увидите соответствующее уведомление о повышении роли сервера до контроллера домена. Очевидно, когда роль доменных служб Active Directory все еще существует.

Чтобы удалить его, используйте следующую команду в PowerShell.

Вот оно! После перезапуска ваш сервер больше не является контроллером домена, а просто сервером-членом домена Active Directory.

Привет, как дела? Конечно, контроллеры домена являются фундаментальной частью организации. И тем более, когда он использует инфраструктуру на базе Windows Server. Так как это облегчает администрирование объектов домена. Действительно, необходимо повысить уровень сервера до контроллера домена, чтобы роли работали правильно. Однако иногда необходимо внести изменения в контроллер. Либо обновив контроллер, либо определив другое имя. В этих случаях необходимо будет понизить роль контроллера домена. После понижения роли контроллера домена он потеряет свое состояние. Однако он по-прежнему может принадлежать домену и продолжать работу в качестве сервера. Кроме того, вы можете применить необходимые изменения и повторно продвигать их при необходимости. Вот как понизить роль контроллера домена Windows Server 2019/2016.

Вход в диспетчер серверов для понижения роли контроллера домена.

Для выполнения этой задачи необходимо использовать диспетчер серверов. Оказавшись там, нажмите «Управление». Затем нажмите «Удалить инструменты и компоненты».

Удаляет роли и функции

Мастер будет отображен немедленно. Пожалуйста, нажмите "Далее".

Нажмите "Далее", чтобы продолжить

Теперь пришло время выбрать сервер, на котором будет понижена роль контроллера домена.

Выберите сервер

Далее отобразится список установленных ролей. Снимите флажок для доменных служб Active Directory.

Снимите флажок, соответствующий доменным службам Active Directory.

Откроется окно с предупреждением, в котором будут показаны все функции, которые необходимо удалить. Подтвердите задание.

Подтвердить удаление функций

Чтобы продолжить, необходимо подтвердить понижение роли контроллера домена.

Подтвердите понижение роли контроллера домена.

В следующей таблице приведены учетные данные пользователя. Кроме того, установите флажок, чтобы принудительно удалить контроллер домена.

Подтвердить пользователя

После этого вы увидите сводку ролей, размещенных на контроллере домена. Установите флажок, чтобы продолжить удаление.

Продолжайте удаление.

Теперь для подтверждения необходимо ввести пароль администратора.

Пожалуйста, введите пароль администратора.

Последний шаг перед продолжением — подтвердить понижение.

Подтвердите снижение производительности контроллера домена

Понижение роли контроллера домена и перезапуск сервера.

Подождите несколько секунд, пока контроллер домена будет понижен в должности.

Выполняется процесс понижения роли контроллера домена

Через несколько секунд сервер запросит перезагрузку.

Перезагрузка сервера

После перезагрузки вы увидите, что компьютер больше не настроен как контроллер домена.

Таким образом, мы увидели, как понизить уровень контроллера домена Windows Server 2019/2016. В какой-то момент это необходимая административная задача для сервера. Надеемся, мы развеяли все ваши сомнения. Прежде чем я начну, предлагаю вам посмотреть наш пост о том, как отключить автоматический запуск диспетчера серверов в Windows Server 2019/2016.

Читайте также: