Разное

Понизить роль контроллера домена: Вы заблудились на сайте компьютерного мастера

17.09.2000

Содержание

Как понизить контроллер домена? | Компьютерная помощь

 У меня есть несколько контроллеров домена, один из них мне надо понизить до роли рядового сервера, как это сделать?

Для того чтобы превратить контроллер домена в рядовой сервер, также используется утилита DCPromo, т. е. мастер установки Active Directory.

Процесс понижения роли контроллера домена имеет ряд особенностей, связанных с количеством контроллеров в домене (доменах) и их функциями.

Если понижается контроллер домена, являющийся сервером глобального каталога, то будет выдано предупреждение. Его можно проигнорировать в двух случаях:

  • если контроллер домена — единственный и уничтожается вся доменная структура;
  • если в лесе имеются другие контроллеры, выполняющие эту функцию.


В противном случае нужно назначить сервером глобального каталога другой контроллер домена и выполнить репликацию, после чего можно снова запускать мастер установки Active Directory.

Кроме того, мастеру установки Active Directory необходимо указать, является ли контролер домена последним в домене.

Если флажок Этот сервер — последний контроллер домена в данном домене

(This server is the last domain controller in the domain) остается сброшенным (т. е. контроллер домена становится рядовым сервером), то в следующем окне нужно указать и подтвердить пароль администратора на выбранном компьютере. Если же флажок установить (т. е. контроллер домена становится изолированным сервером, и домен полностью уничтожается), то в следующем окне нужно указать имя пользователя с правами администратора предприятия для этого леса, пароль и имя домена, а затем — пароль, назначаемый администратору компьютера.

Выводится окно сводки, в котором можно проверить правильность выполняемых действий. После нажатия кнопки Далее начинается сам процесс понижения роли сервера. После появления сообщения об удалении Active Directory с компьютера нужно перёзагрузиться.

 

 

Понижение роли контроллера домена ADDS

В связи с переводом подконтрольных мне контроллеров домена на Win 2008 и появилась эта напоминалка.

Итак, у меня два контроллера домена под Win 2003 (ALPHA и BETHA). Необходимо поэтапно заменить их на контроллеры с Win 2008.
1. Третий сервер под Win Srv 2008 R2 Ent делаем третьим контроллером домена: если проблем с AD не было, то с этим шагом проблем быть тоже не должно, сервак сам напишет все команды, которые надо ввести в консоли хозяина схемы домена, чтобы модернизировать лес, после этого встанет как родной.
2. Понизим роль контроллера ALPHA до роли простого сервера предварительно лишив его максимального количества ролей (крайне не рекомендуется понижать роль контроллера без этих шагов):
2.1. Лишаем контроллер ALPHA роли глобального каталога и переносим (если необходимо) эту роль на новый DC1: Оснастка «Active Directory — сайты и службы» в ней раскрываем Sites -> Default-First-Site-Name -> Servers, находим сервер DC1 и в свойствах NTDS Settings ставим галку «Глобальный каталог» (если она еще не стоит), далее в соответствующих свойствах ALPHA такую же галку снимаем.
2.2. Переназначаем роль хозяина схемы: Оснастка «Схема Active Directory» (если ее нет в Администрировании, то вытаскивайте через mmc /a, там она точно есть). ПКМ на «Схема Active Directory», строка «Хозяин операций», вводим в диалоге имя нового хозяина, т.е. DC1.
2.3. Переназначаем роль «Хозяин именования домена»: Оснастка «Active Directory — домены и доверие», ПКМ на «Active Directory — домены и доверие», строка «Подключение к контроллеру домена» (или «Сменить контроллер Active Directory», если под 2008-й), вводим в диалоге имя нового хозяина именования домена, т.е. опять DC1, далее там же выбираем строку «Хозяин операций», проверяем имена на замену, если все верно — жмем «Изменить».
2.4. Переназначаем роль хозяина RID и роль эмулятора PDC: Оснастка «Active Directory — пользователи и компьютеры», ПКМ на «Active Directory — пользователи и компьютеры», строка «Подключение к контроллеру домена» (или «Сменить контроллер Active Directory», если под 2008-й) и выбираем DC1, опять ПКМ там же, строка «Все задачи», далее «Хозяева операций», вкладки RID и PDC. Проверяем правильность замены, если все нормально, жмем «Изменить».
2.5. Переназначения роли хозяина инфраструктуры проходит также как в п.2.4. с одним замечанием. Если хотя бы один контроллер в домене не выполняет роль глобального каталога, то именно он должен выполнять роль хозяина инфрастуктуры. Если глобальный каталог обслуживают все контроллеры, то роль хозяина инфраструктуры может нести любой. У меня, в связи с миграцией, сервер BETHA роль глобального каталога не несет, поэтому его и назначаю хозяином инфраструктуры.
3. На понижаемом контроллере запускаем dcpromo и, собственно, понижаем его роль.
4. После перезагрузки пониженного в правах сервера также не забываем удалить с него роль сервера DNS (и при необходимости почистить оставшиеся сервера от NS записей этого сервера), если таковая была и уже больше именно на нем не нужна.
5. Для понижения роли контроллера BETHA используем те же шаги.
6. Если лезут ошибки — курим доки MS.

Как понизить роль контроллера домена 2012 r2

У меня есть несколько контроллеров домена, один из них мне надо понизить до роли рядового сервера, как это сделать?

Для того чтобы превратить контроллер домена в рядовой сервер, также используется утилита DCPromo, т. е. мастер установки Active Directory.

Процесс понижения роли контроллера домена имеет ряд особенностей, связанных с количеством контроллеров в домене (доменах) и их функциями.

Если понижается контроллер домена, являющийся сервером глобального каталога, то будет выдано предупреждение. Его можно проигнорировать в двух случаях:

  • если контроллер домена — единственный и уничтожается вся доменная структура;
  • если в лесе имеются другие контроллеры, выполняющие эту функцию.

В противном случае нужно назначить сервером глобального каталога другой контроллер домена и выполнить репликацию, после чего можно снова запускать мастер установки Active Directory.

Кроме того, мастеру установки Active Directory необходимо указать, является ли контролер домена последним в домене.

Если флажок Этот сервер — последний контроллер домена в данном домене

(This server is the last domain controller in the domain) остается сброшенным (т. е. контроллер домена становится рядовым сервером), то в следующем окне нужно указать и подтвердить пароль администратора на выбранном компьютере. Если же флажок установить (т. е. контроллер домена становится изолированным сервером, и домен полностью уничтожается), то в следующем окне нужно указать имя пользователя с правами администратора предприятия для этого леса, пароль и имя домена, а затем — пароль, назначаемый администратору компьютера.

Выводится окно сводки, в котором можно проверить правильность выполняемых действий. После нажатия кнопки Далее начинается сам процесс понижения роли сервера. После появления сообщения об удалении Active Directory с компьютера нужно перёзагрузиться.

В статье показано как понизить роль резервного контролера домена Windows Server 2012 или проще говоря удалить второй контролер домена.

Возникла необходимость понизить роль резервного контролера домена под управлением Windows Server 2012, цель: сделать его простым штатным сервером в составе домена. Эта процедура очень простая в отличии от старых реализации Windows сервера. Для понижения роли, достаточно просто вызвать удаление компонентов доменных служб, ну и соответственно удалить их, так как они больше не нужны, и процессе удаления дать команду для понижения.

Из панели мониторинга, нажимаем Управление и вызываем мастер удаления компонентов:

Выбираем целевой сервер

Снимаем галку с Доменные службы Active Directory:

После проведения проверки, мастер сообщит что необходимо понизить роль, здесь Мы и даем команду для понижения роли контролера домена:

Необходимо указать учетные данные с правами администратора:

Предупреждение что на контролере домена имеются другие роли, отмечаем продолжить удаление:

Итоговое подтверждение:

После автоматического выполнения всех процедур произойдет понижение роли контролера домена и удаляться доменные службы Active Directory, далее сервер перезагрузиться и станет штатным сервером состоящим в текущем домене.

Применимо к:Windows Server 2012

В этом разделе описывается, как удалить доменные службы Active Directory с помощью диспетчера сервера или Windows PowerShell.

Процесс удаления доменных служб Active Directory

Понижение и удаление роли с помощью Windows PowerShell

Удаление ролей доменных служб Active Directory с помощью программы Dism.exe или модуля Windows PowerShell DISM после повышения роли до контроллера домена не поддерживается и приводит к тому, что сервер перестает загружаться нормально.

В отличие от диспетчера сервера или модуля ADDSDeployment для Windows PowerShell, DISM — это собственная система обслуживания, которая не распознает доменные службы Active Directory или их конфигурацию. Не используйте программу Dism.exe или модуль Windows PowerShell DISM для удаления роли доменных служб Active Directory, если сервер все еще является контроллером домена.

Командлеты ADDSDeployment и ServerManager

Аргументы (аргументы, выделенные жирным шрифтом , являются обязательными. Аргументы, выделенные курсивом, можно указать с помощью Windows PowerShell или мастера настройки доменных служб Active Directory).

-Credential

-Name

-IncludeManagementTools

Внимание

Аргумент -credential требуется только в том случае, если вы еще не выполнили вход в качестве члена группы «Администраторы предприятия» (при понижении роли последнего контроллера домена в домене) или группы «Администраторы домена» (при понижении роли реплики контроллера домена). Аргумент -includemanagementtools необходим, только если вы хотите удалить все служебные программы управления доменными службами Active Directory.

В диспетчере сервера имеется два интерфейса для удаления роли доменных служб Active Directory.

В меню Управление на главной информационной панели выберите пункт Удалить роли и компоненты

На панели навигации выберите пункт

AD DS или Все серверы. Перейдите вниз к разделу Роли и компоненты. В списке Роли и компоненты щелкните правой кнопкой мыши Доменные службы Active Directory и выберите команду Удалить роль или компонент. В этом интерфейсе пропускается страница Выбор сервера.

Командлеты ServerManager Uninstall-WindowsFeature и Remove-WindowsFeature не позволяют удалить роль доменных служб Active Directory, пока не будет понижена роль контроллера домена.

В диалоговом окне Выбор сервера можно выбрать один из серверов, ранее добавленных в пул, если он доступен. Локальный сервер, на котором запущен диспетчер сервера, доступен всегда.

Чтобы понизить роль контроллера домена, снимите флажок Доменные службы Active Directory. Если сервер в настоящее время является контроллером домена, роль доменных служб Active Directory не удаляется, а открывается диалоговое окно Результаты проверки с предложением понизить роль. В противном случае двоичные файлы удаляются так же, как в случае с любой другой ролью.

Не удаляйте другие роли или компоненты, связанные с доменными службами Active Directory, такие как DNS, консоль управления групповыми политиками или средства удаленного администрирования сервера, если вы планируете немедленно повысить роль контроллера домена снова. Удаление дополнительных ролей и компонентов увеличивает время, необходимое для повторного повышения роли, так как диспетчер сервера повторно устанавливает их при переустановке роли.

Если вы планируете понизить роль контроллера домена навсегда, удалите ненужные роли и компоненты доменных служб Active Directory по собственному усмотрению. Для этого необходимо снять флажки, соответствующие этим ролям и компонентам.

Вот полный список ролей и компонентов, связанных с доменными службами Active Directory:

Модуль Active Directory для Windows PowerShell

Средства AD DS и AD LDS

Центр администрирования Active Directory

Оснастки и программы командной строки AD DS

Консоль управления групповыми политиками

Эквивалентные командлеты модулей ADDSDeployment и ServerManager Windows PowerShell:

Параметры понижения уровня настраиваются на странице Учетные данные. Учетные данные, необходимые для понижения уровня, представлены в следующем списке:

Для понижения уровня дополнительного контроллера домена требуются учетные данные администратора домена. Выбрав Принудительное удаление контроллера домена, можно понизить уровень контроллера домена без удаления метаданных объекта контроллера домена из Active Directory.

Примечание

Этот параметр следует выбрать, только если контроллер домена не может установить связь с другими контроллерами домена и нет другого способа разрешить эту сетевую проблему. Принудительное понижение уровня оставляет потерянные метаданные в Active Directory на оставшихся контроллерах домена леса. Помимо этого, все нереплицированные изменения на этом контроллере домена, например пароли и новые учетные записи пользователей, навсегда теряются. Потерянные метаданные — это основная причина обращения в службу поддержки пользователей Майкрософт по поводу AD DS, Exchange, SQL и другого программного обеспечения.

При принудительном понижении уровня контроллера домена необходимо немедленно почистить метаданные вручную. Этапы очистки см. в разделе Очистка метаданных сервера.

Для понижения уровня последнего контроллера домена требуется членство в группе администраторов предприятия, так как при этом удаляется сам домен (если это последний домен леса, при этом удаляется лес). Диспетчер сервера сообщает, является ли текущий контроллер последним контроллером в домене. Для подтверждения того, что контроллер является последним в домене, необходимо установить флажок Последний контроллер домена в домене.

Эквивалентные аргументы Windows PowerShell ADDSDeployment:

Страница Предупреждения информирует о возможных последствиях удаления контроллера домена. Чтобы продолжить, необходимо установить флажок Продолжить удаление.

Предупреждение

Если ранее на странице Учетные данные вы выбрали параметр Принудительно удалить контроллер домена, на странице Предупреждения будут показаны все роли FSMO, размещенные в этом контроллере домена. Необходимо захватить роли с другого контроллера домена сразу после понижения роли этого сервера. Дополнительные сведения о захвате ролей FSMO см. в разделе Захват роли хозяина операций.

У этой страницы нет эквивалентного аргумента в модуле Windows PowerShell ADDSDeployment.

Страница Параметры удаления выводится или не выводится в зависимости от того, был ли выбран параметр Последний контроллер домена в домене на странице Учетные данные. На ней можно настроить дополнительные параметры удаления. Чтобы активировать кнопку Далее, выберите параметры Игнорировать последний DNS-сервер в зоне, Удалить разделы приложений и Удалить делегирование DNS.

Параметры выводятся, только если они применимы к этому контроллеру домена. Например, если делегирование DNS для сервера не используется, соответствующий флажок отображаться не будет.

Чтобы указать альтернативные учетные данные администратора DNS, нажмите кнопку Изменить. Чтобы просмотреть дополнительные разделы, которые мастер удалит во время понижения роли, нажмите кнопку Просмотр разделов. По умолчанию единственными дополнительными разделами являются зоны DNS-домена и DNS-леса. Все остальные разделы не относятся к Windows.

Эквивалентные аргументы командлета ADDSDeployment:

После того как уровень был понижен и компьютер стал рядовым сервером домена или компьютером рабочей группы, на странице Новый пароль администратора нужно ввести пароль для встроенной учетной записи администратора локального компьютера.

Если аргументы командлета Uninstall-ADDSDomainController не заданы, они имеют те же значения по умолчанию, что и параметры в диспетчере сервера.

Аргумент LocalAdministratorPassword действует особым образом.

Если этот аргумент не указан, командлет предлагает ввести и подтвердить скрытый пароль. Это предпочтительный вариант использования при интерактивном выполнении командлета.

Если аргумент указан со значением, это значение должно быть защищенной строкой. Это не является предпочтительным вариантом использования при интерактивном выполнении командлета.

Например, можно вручную ввести запрос пароля с помощью командлета Read-Host , чтобы запрашивать у пользователя ввод защищенной строки.

Предупреждение

Поскольку в предыдущих вариантах пароль не подтверждается, соблюдайте повышенную осторожность: пароль невидим.

Можно также ввести защищенную строку в качестве переменной с преобразованным открытым текстом, хотя использовать такой вариант настоятельно не рекомендуется. Например:

Предупреждение

Ввод или хранение пароля в виде открытого текста не рекомендуется. Любой пользователь, выполняющий эту команду в сценарии или заглядывающий через ваше плечо, сможет узнать пароль локального администратора этого компьютера. Зная пароль, он получит доступ ко всем данным на нем и сможет персонифицировать сам сервер.

На странице Подтверждение приводится описание запланированного понижения роли. Список параметров конфигурации понижения роли не отображается. Это последняя страница мастера, отображаемая перед тем, как начнется понижение роли. При нажатии на кнопку «Просмотреть сценарий» создается сценарий понижения роли Windows PowerShell.

Нажмите кнопку Понизить уровень, чтобы выполнить следующий командлет ADDSDeployment:

Для просмотра информации о конфигурации используйте необязательный аргумент Whatif с командлетом Uninstall-ADDSDomainController . Это позволит просмотреть явные и неявные значения аргументов командлета.

Запрос на перезагрузку — это последняя возможность отменить эту операцию при использовании модуля Windows PowerShell ADDSDeployment. Чтобы подавить этот запрос, используйте аргумент -force или confirm:$false .

Когда появляется страница Понижение уровня, это означает, что настройка контроллера домена началась и ее нельзя остановить или отменить. Подробная информация об операциях выводится на этой странице и записывается в следующие журналы:

Так как командлеты Uninstall-AddsDomainController и Uninstall-WindowsFeature выполняют по одному действию каждый, они показаны здесь на этапе подтверждения с минимальным необходимым набором аргументов. При нажатии на клавишу ВВОД запускается процесс понижения роли, после чего компьютер перезапускается.

Чтобы автоматически закрывать напоминание о перезагрузке, используйте аргументы -force или -confirm:$false с любым командлетом Windows PowerShell ADDSDeployment. Чтобы предотвратить автоматическую перезагрузку сервера по завершении повышения роли, используйте аргумент -norebootoncompletion:$false .

Предупреждение

Отключать перезагрузку не рекомендуется. Для правильной работы рядовой сервер должен перезагрузиться.

Ниже приводится пример принудительного понижения с минимальным набором обязательных аргументов -forceremoval и -demoteoperationmasterrole . Аргумент -credential не требуется, поскольку пользователь выполнил вход как член группы администраторов предприятия:

Ниже приведен пример удаления последнего контроллера домена в домене с минимальным набором обязательных аргументов -lastdomaincontrollerindomain и -removeapplicationpartitions:

Среда Windows PowerShell блокирует попытки удалить роль доменных служб Active Directory перед понижением роли сервера и выводит сообщение о внутренней ошибке:

Предупреждение

Чтобы получить возможность удалить двоичные файлы роли доменных служб Active Directory, необходимо перезапустить компьютер после понижения роли сервера.

На странице Результаты показано, успешно ли было выполнено повышение роли, а также приводится важная для администраторов информация. Контроллер домена автоматически перезагрузится через 10 секунд.

Важно

Удаление второго контроллера домена или понижение роли AD DS Windows Server 2012

По тем или иным причинам иногда требуется удалить роль «дополнительного» контроллера домена с сервера Windows Server 2012. Желательно это делать полностью корректно и без неприятных последствий.

Процессом понижения роли и удаления служб можно управлять из консоли, но пользуясь новым диспетчером серверов все сделать проще. Итак в диспетчере серверов, в меню Управление нужно выбрать пункт «Удалить роли и компоненты»

Мастер удаления ролей и компонентов предложит на выбор с какого из подключенных серверов нужно произвести удаление.

Далее будет предложен список установленных ролей в котором с удаляемых ролей нужно снять флажок.

После снятия флажка мастер покажет какие сопутствующие средства могут быть так же удалены.

Если уровень роли контроллера домена еще не был понижен мастер сообщит об этом и предложит понизить роль.

Далее мастер настройки доменных служб запросит учетные данные обладающие правами администратора и предложит принудительное удаление роли. Принудительно удалять следует только в крайнем случае поскольку после такого действия придется вычищать метаданные, днс и возможно другие ненужные последствия.

В следующем окне будут показаны сопутствующие роли которые будут удалены.

В процессе понижения роли требуется смена пароля администратора.

Далее показан список производимых изменений и, если этот контроллер домена не последний в домене, то сервер будет присоединен к текущему домену.

В течении нескольких минут будет происходить процесс понижения роли с выводом подробных результатов.

После перезагрузки Windows Server 2012 роль контроллера домена уже удалена, но службы AD DS все еще остались и требуют настройки либо удаления.

Снова в диспетчере серверов, в меню Управление пункт «Удалить роли и компоненты» с удаляемых ролей следует снять флажок.

Подтвердить удаление средств управления.

Если нужно, можно так же удалить ненужные более компоненты, например WINS.

Далее будет предложен список всех производимых изменений в ролях и компонентах, с возможностью автоматической перезагрузки после завершения.

Пока проходит процесс удаления можно проследить за ходом выполнения или закрыть окно. Если закрыть окно, процесс удаления будет выполняться в фоновом режиме и если ранее была выбрана автоматическая перезагрузка, то она будет выполнена после завершения всех операций.

Если не была выбрана автоматическая перезагрузка, то мастер удаления ролей и компонентов, после завершения всех операций, будет ожидать перезагрузки для применения изменений.

После всех вышеуказанных действий перезагрузку можно выполнить вручную.

Рассказать:

Как понизить роль контроллера домена 2003

Для понижения роли контроллера домена, достаточно превратить контроллер домена в рядовой сервер. Это делается утилитой dcpromo.exe, при запуске которой запускается мастер установки Active Directory. Процесс понижения роли имеет сои особенности, связанные с количеством контроллеров в домена в лесе и их функциональностью. Если контроллер домена, является сервером глобального каталога, то будет выдано предупреждение! Его можно проигнорировать в двух случаях: если контроллер домена — единственный и уничтожается вся доменная структура; если в лесе имеются другие контроллеры, выполняющие эту функцию.

Пуск — Выполнить — dcpromo.exe, при запуске которой запускается мастер установки Active Directory

Выходит предупреждение что данный контроллер домена, является сервером глобального каталога. Под глобальным каталогом понимается возможность авторизировать учетными данными данного контролера домена.
Что бы убрать функцию глобального каталога, необходимо перейти в оснастку Active Directiry Sites and Services.Выбрать сервер, и войти в его свойства.

Снять галку с Global Catalog. Об успешном отключении данной функции можно посмотреть в логах windows.Если мастер запущен уже после этой процедуры, предупреждения уже не будет. На данном этапе, мастеру установки Active Directory необходимо указать, является ли контролер домена последним в домене. Если поставить галку, на «сервер последний контроллер домена в данном домене» (This server is the last domain controller in the domain), то контроллер домена становится изолированным сервером и все данные и настройки удаляются.

В данном случае, понижается роль резервного контролера домена, и галку в предыдущем шаге не ставили. На данном этапе сбрасывается пароль учетной записи Администратора.Завершающий шаг запуска процесса понижения роли.
Процесс удаления Active Directory, понижение роли.

После завершения процесса, необходимо перезагрузить сервер. После перезагрузки, сервер станет рядовым, состоящий в домене.

Принудительное понижение роли контроллеров домена Windows Server 2003

Бывают случаи когда корректно понизить роль контроллера домена под управлением Windows 2000 или Windows Server 2003 с помощью мастера установки Active Directory (Dcpromo.exe) не удается. Такая ситуация может быть в случае сбоя зависимости или операции, например сбой подключения к сети, проверки аутентификации, репликации службы каталогов Active Directory, разрешения имен и тд.. Для начала нужно выяснить причину возникновения данной ситуации, для этого нужно запустить мастер установки Active Directory. В случае неудачи при установке или удалении выйдет ошибка! Также рекомендуется просмотреть ошибки в eventlog.

Для начала работ по принудительному понижению роли контроллеров домена, необходимо иметь административный пароль ОС, потому как после понижения роли войти под учетными данными не удастся.

Действия:

Нажмите кнопку Пуск, выберите пункт Выполнить и введите команду

Нажмите кнопку ОК.

В диалоговом окне мастера установки Active Directory нажмите кнопку Далее.

Нажмите в окне сообщения кнопку ОК, если удаляемый компьютер является сервером глобального каталога.
Примечание. Если удаляемый компьютер является сервером глобального каталога, в соответствующем лесу или узле эту роль необходимо передать другому контроллеру домена.

На странице Удаление Active Directory снимите флажок Этот сервер — последний контроллер домена в данном домене и нажмите кнопку Далее.

На странице Сетевые учетные данные введите имя, пароль и имя домена для учетной записи, которая обладает правами администратора предприятия в данном лесу, и нажмите кнопку Далее.

На странице Пароль администратора введите и подтвердите пароль, который должен быть назначен учетной записи администратора в локальной базе данных SAM, и нажмите кнопку Далее.

Нажмите кнопку Далее на странице Сводка.

На оставшемся в лесу контроллере домена выполните удаление метаданных пониженного в роли контроллера домена.

Если домен был удален из леса с помощью утилиты Ntdsutil используя коменду: remove selected domain, перед введением в этот лес нового домена под тем же именем убедитесь, что на всех контроллерах домена и серверах глобального каталога уничтожены все объекты и ссылки на удаленный домен. Удаление объектов и контекстов именования на серверах глобального каталога под управлением Windows 2000 с пакетом обновления версии 3 (SP3) и ниже происходит значительно медленнее, чем в системах под управлением Windows Server 2003.

Если записи управления доступом (АСЕ) на компьютере, с которого была удалена служба Active Directory, основаны на локальных группах домена, то, возможно, их придется настроить снова, поскольку эти группы недоступны рядовым и изолированным серверам. Если предполагается, установив Active Directory, сделать компьютер контроллером в исходном домене, настраивать таблицы управления доступом (Access Control List, ACL) нет необходимости. Если компьютер будет использоваться в качестве рядового или изолированного сервера, все разрешения, основанные на локальных группах домена, необходимо заменить или преобразовать.

Принудительное понижение роли контроллера домена приводит к потере локально хранимых в Active Directory на контроллере домена изменений, включая добавление, изменение и удаление пользователей, компьютеров, групп, доверительных отношений, групповой политики и конфигурации Active Directory, которые не были реплицированы до запуска команды dcpromo /forceremoval. Кроме того, удаляются изменения всех атрибутов таких объектов (например паролей для пользователей, компьютеров, доверительных отношений и членства в группах).

Принудительное понижение роли контроллера домена возвращает операционную систему в состояние, которое аналогично состоянию после успешного понижения роли последнего контроллера домена, включая тип запуска служб, установленные службы, использование диспетчера SAM на базе реестра и членство в рабочей группе. На пониженном в роли контроллере домена сохраняются установленные программы.

После принудительного понижения роли контроллера домена необходимо выполнить следующие действия.

  1. Удалите из домена учетную запись компьютера.
  2. Удалите оставшиеся DNS-записи, включая записи A, CNAME и SRV.
  3. Удалите оставшиеся объекты члена FRS (FRS и DFS). Дополнительные сведения см. в следующей статье базы знаний Майкрософт:

Как подменить контроллер домена и не сломать текущую инфраструктуру / Хабр

Так уж получилось в нашей организации, что инфраструктуру надо было делать быстро, а на покупку лицензий требовалось время. Поэтому было решено использовать образы Windows Server 2012R2 Evaluation, а после тестового периода уже лицензировать. Тогда еще никто не знал, что нельзя просто так взять, прописать лицензию Standard в релизе Evaluation, и на выходе получить лицензионный Standard, иначе, думаю, сначала бы все таки купили лицензии. Но делать нечего, что имеем, с тем и работаем. Итак.

Задача: после покупки лицензий Microsoft на Windows server 2012R2 Standard необходимо активировать их на наших серверах. Приступаем.

При выполнении задачи была обнаружена проблема. Так как изначально мы устанавливали Windows server 2012R2 Standard Evaluation, то при попытке прописать ключ для Standard — сервер говорит, что ему этот ключ не подходит. Начали поиск решения проблемы перевода сервера из версии Evaluation в Standard. Ответ был найден на сайте microsoft в статье TechNet.

Частично статья помогла решить проблему. Мы смогли поменять версию на трех физических серверах и активировать их нашими лицензиями. Но, к сожалению, не все так просто складывалось с контроллерами домена. В вышеуказанной статье прямым текстом говорится, что контроллеры домена НЕВОЗМОЖНО перевести из выпуска Evaluation в Standard. Нам же это необходимо сделать в самые кратчайшие сроки, т.к. количество возможных /rearm у PDC закончилось, а дней до окончания ознакомительной версии осталось меньше 3 дней.

Варианта решения вопроса я видел два. Либо поочередно между BDC и PDC передавать права хозяина схемы и прочие роли, понижать до рядовых серверов и после поднимать обратно. Но идею этого доменного волейбола я отмел, по причине того, что просто напросто делал все это впервые и боялся поломать.

Поэтому было решено поднимать новый сервер, повышать до контроллера домена и передавать ему хозяина схемы, а после выключать старый PDC и назначать новому его IP, этот вариант тогда мне показался проще и безопаснее. Замечу, что после описанных ниже событий, я по прежнему считаю это хорошим решением, по крайней мере все прошло без эксцессов, иначе бы статья имела совсем другой заголовок, или ее бы не было вовсе.

Схему можно без проблем воспроизвести в течение рабочего дня. Оставалось полтора дня, так что, помечтать о том, как я буду все это делать времени не было, надо было срочно приступать. Далее действия по пунктам.

1. Создаем новую виртуальную машину с параметрами соответствующими текущему PDC. Желательно создать на физическом сервере, на котором нет других контроллеров домена, но это если у вас несколько гипервизоров, как в моем случае, если нет, то это не принципиально, вопрос только в отказоустойчивости. Ну а если вы работаете не с гипервизорами, а с реальными серверами, то отказоустойчивость PDC и BDC вещь и так само собой разумеющаяся.

2. Устанавливаем Windows Server 2012R2. Выбираем выпуск Standard с графическим интерфейсом. Настраиваем TCP/IP и переименовываем сервер в соответствии со стандартном наименований в IT инфраструктуре.

3. После установки в диспетчере серверов включаем серверу новые роли. Нас интересует AD, DNS и прочие роли и компоненты, используемые на текущих домен-контроллерах.

4. Повышаем сервер до контроллера домена. Проходит репликация между основным контроллером домена и новым.

5. Передаем роли хозяина схемы со старого DC на новый.
Для этого заходим на контроллер домена, которому будут назначаться роли FSMO, запускаем командную строку, и вводим команды в указанной ниже последовательности:

ntdsutil
roles
connections
connect to server <имя сервера PDC>
q

Успешно подключившись к серверу, мы получим приглашение к управлению ролями (FSMO maintenance), и можем приступать к передаче ролей:

transfer naming master — передача роли хозяина доменных имен.
transfer infrastructure master — передача роли хозяина инфраструктуры;
transfer rid master — передача роли хозяина RID;
transfer schema master — передача роли хозяина схемы;
transfer pdc — передача роли эмулятора PDC

Для завершения работы Ntdsutil вводим команду q.

6. После передачи хозяина схемы смотрим системный журнал и dcdiag на предмет ошибок. Их быть не должно. Если есть, исправляем. (я столкнулся с ошибкой dns, где сервер жаловался на неправильно указанные сервера пересылки. В этот же день я узнал, что в серверах пересылки DNS не должен быть указан сервер на котором установлен DNS (как правило указывают сервера DNS провайдера и Yandex(Google), что в общем-то логично, это по сути порождает петлю в DNS.

7. Если ошибки исправлены, или их нет. Приступаем к сменам IP-адресов. Назначаем старому PDC любой свободный IP-адрес в сети, а новому PDC назначаем адрес старого.

8. Снова проверяем на ошибки. Проводим тесты. Выключаем старый PDC и BDC. Проверяем возможность авторизации в домене. Затем оставляем включенным только BDC, проверяем принимает ли он на себя роль контроллера домена в случае недоступности PDC.

9. Если все тесты проходят удачно. Можно уничтожать старый PDC и приниматься за смену версии BDC.

10. В нашем случае cтарый PDC все еще нельзя было выкинуть на помойку так как на нем функционировала роль пространства имен DFS, а мы не знали, как ее реплицировать на новый сервер.

11. Все оказалось очень просто. Входим в графическую оснастку «Управление DFS». В «Пространстве имен» добавляем существующие пространства имен, затем каждому пространству имен добавляем сервер пространства имен и в общем-то все. Корень dfs автоматически вместе с ссылками на сетевые ресурсы появляется на c:\ и все работает. На всякий случай проверяем работу выключением старого PDC. Сначала сетевые ресурсы будут недоступны (DFS нужно 300 секунд для репликации). По истечении 5 минут сетевые ресурсы снова должны стать доступны.

12. Оставляем старый PDC выключенным и через какое то время понижаем до рядового сервера и после удаляем. Можно конечно и сразу, но мне было страшно и я до последнего не верил, что все получилось без проблем.

P.S.: Все вышеописанные действия проводились после внимательного изучения книги Windows server 2012R2 — Полное руководство. В частности глав посвященных конкретно AD, DNS и DFS, а так же контроллерам домена. Без понимания и планирования к данным действиям лучше не приступать, т.к. можно потерять рабочую инфраструктуру.

Надеюсь, для кого-то эта статья окажется полезной и нужной. Спасибо за внимание!

⚙КАК ОБНОВИТЬ КОНТРОЛЛЕР ДОМЕНА WINDOWS SERVER 2019, 2016

Контроллеры домена являются неотъемлемой частью любой организации, реализующей инфраструктуру на базе Windows Server, поскольку они упрощают централизованное администрирование всех объектов домена.

Когда процесс повышения уровня сервера до контроллера домена выполняется так, чтобы все роли работали правильно, но если мы решим обновить контроллер, определить другое имя или для какой-либо административной задачи необходимо внести изменения в контроллер, это будет вам нужно понизить роль контроллера домена .

При деградации контроллера домена он перестает быть контроллером домена, но может продолжать принадлежать к домену и продолжать работу в качестве сервера, после этого необходимые изменения могут быть применены и повторно продвинуты при необходимости.

TechnoWikis теперь объяснит, как понизить уровень контроллера домена с Windows Server 2016 или 2019.

Шаг 1

Чтобы начать этот процесс, мы переходим к администратору сервера, нажимаем на меню «Управление» и выбираем опцию «Удалить роли и функции»:

Шаг 2

Будет отображен следующий мастер:

Нажмите «Далее», и мы должны выбрать сервер, на котором будет снижена производительность Контроллера домена:

Шаг 3

Снова нажимаем «Далее» и переходим в раздел «Роли сервера», где увидим следующее:

Здесь мы нажимаем на поле «Доменные службы Active Directory», и открывается следующее окно:

Шаг 4

Там мы нажимаем кнопку «Удалить функции», чтобы удалить эти функции, и после небольшого анализа мы увидим следующее:

..

Там мы нажимаем на строку «Понизить уровень этого контроллера домена», и мы будем перенаправлены в следующее окно, где мы должны установить флажок «Принудительно удалить этот контроллер домена»:

Шаг 5

Нажмите «Далее», и мы увидим следующий список предупреждений:

Нажимаем на поле «Продолжить удаление» и затем вводим пароли, которые были зарегистрированы в процессе продвижения этого драйвера:

ШАГ 6

После ввода нажмите «Далее», и появится следующее сообщение:

Там мы нажимаем кнопку «Понизить уровень», чтобы продолжить действие.

Шаг 7.

После этого система автоматически перезапустится:

Получив доступ к сеансу, мы можем убедиться, что этот компьютер больше не является контроллером домена, в данном случае Windows Server 2019. С помощью этого процесса мы можем просто деградировать контроллер домена с Windows Server, чтобы выполнить в нем необходимые действия.

Наконец, мы напоминаем вам, что если вы думаете об изменении имени домена Windows Server, это вас очень заинтересует. Обратите внимание на раздел Windows Server, который мы обычно часто обновляем.

Чтобы не отставать, не забудьте подписаться на наш канал на YouTube! ПОДПИСЫВАТЬСЯ


Понижение роли контроллеров домена и доменов (уровень 200)

  • Статья
  • 7 минут на чтение
  • 14 участников

Полезна ли эта страница?

да Нет

Любая дополнительная обратная связь?

Отзыв будет отправлен в Microsoft: при нажатии кнопки отправки ваш отзыв будет использован для улучшения продуктов и услуг Microsoft.Политика конфиденциальности.

Представлять на рассмотрение

В этой статье

Применяется к: Windows Server 2022, Windows Server 2019, Windows Server

В этом разделе объясняется, как удалить AD DS с помощью диспетчера серверов или Windows PowerShell.

Рабочий процесс удаления AD DS

Осторожно

Удаление ролей AD DS с помощью Dism.exe или модуль Windows PowerShell DISM после повышения уровня до контроллера домена не поддерживается и не позволяет серверу нормально загружаться.

В отличие от диспетчера серверов или модуля ADDSDeployment для Windows PowerShell, DISM — это собственная система обслуживания, не имеющая встроенных знаний об AD DS или ее конфигурации. Не используйте Dism.exe или модуль DISM Windows PowerShell для удаления роли AD DS, если сервер больше не является контроллером домена.

Понижение роли и удаление роли с помощью PowerShell

Командлеты ADDSDeployment и ServerManager Аргументы ( Полужирный Аргументы обязательны. Аргументы, выделенные курсивом , можно указать с помощью Windows PowerShell или мастера настройки AD DS.)
Uninstall-ADDSDomainController -SkipPreChecks

-LocalAdministratorPassword

-Confirm

-Credential

-DemoteOperationMasterRole -DNSDelegationRemovalCredential

-Force -ForceRemoval

-IgnoreLastDCInDomainMismatch

— IGNORELASTDNSSERVERFONONONE

-LASTDOMAINCONTROLLERINDOMAIN

-NOREBOOOTONCOMPLETECTE

-REMOVEAPПаппликация

-REMOVEDNSDELEGINE9

— RETEAINDCMETADATA

Удалить-WindowsFeature/Удалить-WindowsFeature -name -name

-IncludeManagementTools

-ReStart

-Remove

-Force

-Computername

-Credential

-Logpath

-VHD

Примечание

Аргумент -credential требуется только в том случае, если вы еще не вошли в систему в качестве члена группы администраторов предприятия (понижение последнего контроллера домена в домене) или группы администраторов домена (понижение роли реплики контроллера домена).Аргумент -includemanagementtools требуется только в том случае, если вы хотите удалить все утилиты управления AD DS.

Понижение в должности

Удалить роли и функции

Диспетчер серверов предлагает два интерфейса для удаления роли доменных служб Active Directory:

  • Меню Управление на главной панели инструментов с помощью Удалить роли и функции

  • Нажмите AD DS или Все серверы на панели навигации.Прокрутите вниз до раздела Роли и функции . Щелкните правой кнопкой мыши Доменные службы Active Directory в списке Роли и функции и выберите Удалить роль или функцию . Этот интерфейс пропускает страницу выбора сервера .

Командлеты ServerManager Uninstall-WindowsFeature и Remove-WindowsFeature не позволят вам удалить роль AD DS, пока вы не понизите роль контроллера домена.

Выбор сервера

Диалоговое окно Выбор сервера позволяет выбрать один из серверов, ранее добавленных в пул, если он доступен. Локальный сервер, на котором запущен Диспетчер серверов, всегда доступен автоматически.

Роли и функции сервера

Снимите флажок Доменные службы Active Directory , чтобы понизить роль контроллера домена; если сервер в настоящее время является контроллером домена, это не удаляет роль AD DS, а вместо этого переключается на диалоговое окно результатов проверки с предложением понизить роль.В противном случае он удаляет двоичные файлы, как и любой другой компонент роли.

  • Не удаляйте никакие другие роли или функции, связанные с доменными службами Active Directory, такие как DNS, GPMC или инструменты RSAT, если вы намерены немедленно снова повысить уровень контроллера домена. Удаление дополнительных ролей и функций увеличивает время повторного повышения, поскольку диспетчер серверов переустанавливает эти функции при переустановке роли.

  • Удалите ненужные роли и функции AD DS по своему усмотрению, если вы намерены навсегда понизить роль контроллера домена.Для этого необходимо снять флажки для этих ролей и функций.

    Полный список ролей и функций, связанных с AD DS, включает:

    • Модуль Active Directory для функции Windows PowerShell
    • Средства AD DS и AD LDS Tools
    • Функция центра администрирования Active Directory
    • Компонент оснастки AD DS и инструментов командной строки
    • DNS-сервер
    • Консоль управления групповыми политиками

Эквивалентные командлеты ADDSDeployment и ServerManager Windows PowerShell:

  Uninstall-addsdomaincontroller
Uninstall-windowsfeature
  

Учетные данные

Параметры понижения настраиваются на странице Учетные данные .Укажите учетные данные, необходимые для выполнения понижения, из следующего списка:

.
  • Для понижения роли дополнительного контроллера домена требуются учетные данные администратора домена. Выбор Принудительное удаление этого контроллера домена понижает уровень контроллера домена без удаления метаданных объекта контроллера домена из Active Directory.

    Предупреждение

    Не выбирайте этот параметр, если только контроллер домена не может связаться с другими контроллерами домена и нет разумного способа решить эту проблему с сетью.Принудительное понижение роли оставляет потерянные метаданные в Active Directory на оставшихся контроллерах домена в лесу. Кроме того, все нереплицированные изменения на этом контроллере домена, такие как пароли или новые учетные записи пользователей, теряются навсегда. Бесхозные метаданные являются основной причиной значительного процента обращений в службу поддержки клиентов Майкрософт в отношении AD DS, Exchange, SQL и другого программного обеспечения.

    Если вы принудительно понизили роль контроллера домена, вы должны вручную немедленно выполнить очистку метаданных.Инструкции см. в разделе Очистка метаданных сервера.

  • Для понижения роли последнего контроллера домена в домене требуется членство в группе администраторов предприятия, так как это удаляет сам домен (если последний домен в лесу, это удаляет лес). Диспетчер серверов сообщает вам, является ли текущий контроллер домена последним контроллером домена в домене. Установите флажок Последний контроллер домена в домене , чтобы подтвердить, что контроллер домена является последним контроллером домена в домене.

Эквивалентные аргументы ADDSDeployment Windows PowerShell:

  -учетные данные 
-forceremoval <{ $true | ложь }>
-lastdomaincontrollerindomain <{ $true | ложь }>
  

Предупреждения

Страница Предупреждения предупреждает вас о возможных последствиях удаления этого контроллера домена. Для продолжения необходимо выбрать Приступить к удалению .

Предупреждение

Если вы ранее выбрали Принудительное удаление этого контроллера домена на странице Учетные данные , то на странице Предупреждения отображаются все роли Flexible Single Master Operations, размещенные на этом контроллере домена.Вы должны захватить роли с другого контроллера домена сразу после понижения роли этого сервера. Дополнительные сведения о захвате ролей FSMO см. в разделе Захват роли хозяина операций.

На этой странице нет эквивалентного аргумента ADDSDeployment Windows PowerShell.

Варианты удаления

Страница Параметры удаления появляется в зависимости от того, был ли ранее выбран Последний контроллер домена в домене на странице Учетные данные .На этой странице можно настроить дополнительные параметры удаления. Выберите Игнорировать последний DNS-сервер для зоны , Удалить разделы приложений и Удалить делегирование DNS , чтобы включить кнопку Далее .

Параметры отображаются только в том случае, если они применимы к этому контроллеру домена. Например, если для этого сервера нет делегирования DNS, этот флажок не будет отображаться.

Щелкните Изменить , чтобы указать альтернативные учетные данные администратора DNS.Щелкните Просмотр разделов , чтобы просмотреть дополнительные разделы, которые мастер удаляет во время понижения. По умолчанию единственными дополнительными разделами являются DNS-зоны домена и DNS-зоны леса. Все остальные разделы не являются разделами Windows.

Эквивалентные аргументы командлета ADDSDeployment:

  -ignorelastdnsserverforzone <{ $true | ложь }>
-removeapplicationpartitions <{ $true | ложь }>
-removednsdelegation <{ $true | ложь }>
-dnsdelegationremovalcredential 
  

Новый пароль администратора

На странице Новый пароль администратора требуется указать пароль для встроенной учетной записи администратора локального компьютера, как только понижение роли завершится и компьютер станет сервером-членом домена или компьютером рабочей группы.

Командлет Uninstall-ADDSDomainController и аргументы имеют те же значения по умолчанию, что и диспетчер серверов, если они не указаны.

Аргумент LocalAdministratorPassword является особым:

  • Если в качестве аргумента не указано , командлет предлагает ввести и подтвердить замаскированный пароль. Это предпочтительное использование при интерактивном запуске командлета.
  • Если указано со значением , то значение должно быть защищенной строкой.Это не является предпочтительным использованием при интерактивном запуске командлета.

Например, можно вручную запросить пароль с помощью командлета Read-Host , чтобы запросить у пользователя строку безопасности.

  -localadministratorpassword (read-host -prompt "Password:" -assecureststring)
  

Предупреждение

Поскольку предыдущие два варианта не подтверждают пароль, будьте предельно осторожны: пароль не виден.

Вы также можете указать безопасную строку как преобразованную переменную открытого текста, хотя это крайне не рекомендуется.Например:

  -localadministratorpassword (convertto-securestring "Password1" -asplaintext -force)
  

Предупреждение

Не рекомендуется указывать или хранить пароль в виде открытого текста. Любой, кто запускает эту команду в сценарии или заглядывает вам через плечо, знает пароль локального администратора этого компьютера. Обладая этими знаниями, они имеют доступ ко всем его данным и могут выдавать себя за сам сервер.

Подтверждение

Страница Подтверждение показывает запланированное понижение; на странице не указаны параметры конфигурации понижения.Это последняя страница, которую показывает мастер перед началом понижения. Кнопка View Script создает сценарий понижения Windows PowerShell.

Щелкните Понизить уровень , чтобы запустить следующий командлет развертывания AD DS:

  Uninstall-ADDSDomainController
  

Используйте необязательный аргумент Whatif с Uninstall-ADDSDomainController и командлетом для просмотра информации о конфигурации. Это позволяет вам видеть явные и неявные значения аргументов командлета.

Например:

Запрос на перезагрузку — это последняя возможность отменить эту операцию при использовании ADDSDeployment Windows PowerShell. Чтобы переопределить это приглашение, используйте аргументы -force или confirm:$false .

Понижение в должности

При отображении страницы Понижение уровня начинается настройка контроллера домена, которую нельзя остановить или отменить. Подробные операции отображаются на этой странице и записываются в журналы:

.
  • %systemroot%\debug\dcpromo.журнал
  • %systemroot%\debug\dcpromoui.log

Поскольку Uninstall-ADDSDomainController и Uninstall-WindowsFeature имеют только по одному действию, они показаны здесь на этапе подтверждения с минимальными требуемыми аргументами. Нажатие ENTER запускает процесс безвозвратного понижения и перезапускает компьютер.

Чтобы автоматически принять запрос на перезагрузку, используйте аргументы -force или -confirm:$false с любым командлетом ADDSDeployment Windows PowerShell.Чтобы предотвратить автоматическую перезагрузку сервера по окончании повышения, используйте аргумент -norebootoncompletion:$false .

Предупреждение

Отмена перезагрузки не рекомендуется. Рядовой сервер должен перезагрузиться для правильной работы.

Вот пример принудительного понижения с минимальными требуемыми аргументами -forceremoval и -demoteoperationmasterrole . Аргумент -credential не требуется, поскольку пользователь вошел в систему как член группы администраторов предприятия:

.

Вот пример удаления последнего контроллера домена в домене с минимально необходимыми аргументами -lastdomaincontrollerindomain и -removeapplicationpartitions :

Если вы попытаетесь удалить роль AD DS перед понижением роли сервера, Windows PowerShell заблокирует вас с ошибкой:

Важно

После понижения роли сервера необходимо перезагрузить компьютер, прежде чем можно будет удалить двоичные файлы роли AD-Domain-Services.

Результаты

Страница Результаты показывает успех или неудачу продвижения и любую важную административную информацию. Контроллер домена автоматически перезагрузится через 10 секунд.

Как понизить роль контроллера домена (пошаговое руководство)

Вам нужно понизить роль контроллера домена?

Ваш контроллер домена не работает, и вы хотите удалить его вручную?

Нет проблем.

В этом руководстве я рассмотрю два варианта удаления контроллера домена.Если у вас все еще есть доступ к серверу, то вариант 1 является предпочтительным выбором.

  • Вариант 1: Понизить роль контроллера домена с помощью диспетчера серверов
    • Используйте этот вариант, если у вас все еще есть доступ к серверу.
  • Вариант 2: Удаление контроллера домена вручную
    • Используйте этот вариант, если сервер не работает или у вас больше нет к нему доступа.

В обоих примерах я буду использовать сервер Windows Server 2016, но эти шаги будут работать для Server 2012 и выше.

Совет №1 Начиная с Server 2008, метаданные контроллера домена очищаются автоматически. Сервер Windows Server 2003 или более ранней версии потребует использования команды ntdsutil для очистки метаданных. При этом вам все равно нужно вручную удалить сервер с сайтов и служб.

Совет № 2 Прежде чем выключать сервер, убедитесь, что на сервере не запущены другие службы (например, DNS или DHCP). Если вы можете избежать этого, вы можете избавить себя от большой головной боли.

Совет № 3. Если на удаляемом контроллере домена настроены роли FSMO, они будут автоматически перенесены на другой контроллер домена . Вы можете проверить это с помощью команды netdom query FSMO.

Видеоруководство

Если вам не нравятся видеоуроки или вы хотите получить более подробную информацию, продолжайте читать инструкции ниже.

Вариант 1: понижение роли контроллера домена с помощью диспетчера серверов

Это рекомендуемый Microsoft метод удаления контроллера домена.

Шаг 1. Откройте диспетчер серверов

Шаг 2. Выберите «Удаленные роли и функции»

Нажмите «Далее» на странице «Перед началом работы»

Шаг 3 . На странице выбора сервера выберите сервер, который хотите понизить, и нажмите кнопку «Далее».

В этом примере я понижаю уровень сервера «srv-2016»

Шаг 4 . Снимите флажок «Доменные службы Active Directory» на странице «Роли сервера».

Когда вы снимите флажок, вы получите всплывающее окно для удаления функций, требующих доменных служб Active Directory.

Если вы планируете использовать сервер для управления Active Directory, оставьте их установленными. В этом примере я планирую вывести сервер из эксплуатации, поэтому я удалю эти инструменты управления.

Шаг 5 . Выберите Понизить уровень этого контроллера домена

.

На следующем экране убедитесь, что вы НЕ выбираете «Принудительное удаление этого контроллера домена». Этот параметр следует выбирать, только если вы удаляете последний контроллер домена в домене.

При необходимости вы также можете изменить учетные данные на этом экране.

Нажмите Далее

Шаг 6 . На экране предупреждений появится предупреждение, что на этом сервере размещены дополнительные роли. Если у вас есть клиентские компьютеры, использующие этот сервер для DNS, вам потребуется обновить их, чтобы они указывали на другой сервер, поскольку роль DNS будет удалена.

Установите флажок «Продолжить удаление и нажмите «Далее»

Шаг 7 . Если у вас есть делегирование DNS, вы можете выбрать «Удалить делегирование DNS и нажать «Далее». В большинстве случаев у вас не будет делегирования DNS, и вы можете снять этот флажок.

Шаг 8 . Теперь введите новый пароль администратора. Это будет для учетной записи локального администратора на этом сервере.

Шаг 9. Просмотрите параметры и нажмите «Понизить»

#Совет . Существует кнопка «Просмотр сценария», которая генерирует сценарий PowerShell для автоматизации всех шагов, которые мы только что прошли. Если у вас есть дополнительные контроллеры домена для удаления, вы можете использовать этот скрипт.

При нажатии кнопки «Понизить» сервер будет понижен и перезагружен.После перезагрузки сервер станет рядовым сервером. Вы можете войти на сервер с учетными данными домена.

Дополнительные шаги очистки

По какой-то причине Microsoft решила не включать сайты и службы в процесс очистки. Возможно, он остался там на случай, если вы захотите снова повысить уровень сервера до контроллера домена. Если вы не собираетесь повышать уровень сервера до контроллера домена, выполните следующие действия.

  1. Откройте сайты и службы Active Directory и удалите сервер

Вы можете видеть выше, что сервер, который я только что понизил, все еще указан в списках сайтов и служб.Я просто нажму на него правой кнопкой мыши и удалю.

Вот и все для варианта 1. Вы можете зайти в папку «Контроллеры домена» и убедиться, что сервер удален. Также рекомендуется запустить dcdiag после удаления контроллера домена, чтобы убедиться, что в вашей среде нет серьезных ошибок.

Вам также может потребоваться проверить и протестировать репликацию. Вы можете использовать команду repadmin для проверки наличия проблем с репликацией.

Вариант 2. Удаление контроллера домена вручную

Используйте эту опцию, если сервер не работает, отключен или вы просто не можете получить к нему доступ.На самом деле всего 1 шаг.

Шаг 1 . На другом контроллере домена или компьютере с инструментами RSAT откройте «Active Directory — пользователи и компьютеры»

.

Перейдите в папку Контроллеры домена. Щелкните правой кнопкой мыши контроллер домена, который вы хотите удалить, и нажмите «Удалить».

На следующем экране установите флажок «Все равно удалить этот контроллер домена» и нажмите «Удалить».

Если контроллер домена является сервером глобального каталога, вы получите дополнительное сообщение для подтверждения удаления.Я нажму Да.

Вот и все. Легко ху?

Последним шагом будет удаление сервера из Сайтов и служб, как я показал вам в варианте 1.

Как я упоминал в начале этой статьи, начиная с сервера 2008, очистка метаданных выполняется автоматически в обоих вариантах. Большинство практических руководств скажут вам открыть командную строку и запустить ntdsutil для очистки метаданных. В этом нет необходимости, если ваша серверная операционная система 2008 или выше.

Кажется, проще вручную удалить контроллер домена, чем использовать мастер диспетчера серверов. Технически я не уверен, в чем разница, но Microsoft рекомендует использовать мастер удаления, если вы можете. Используйте ручной метод в качестве последнего варианта.

Резюме

В этом руководстве я показал вам два метода удаления контроллера домена. Microsoft упростила этот процесс, автоматически очищая метаданные, начиная с сервера 2008. Поскольку сети и системы постоянно меняются, может наступить время, когда вам потребуется удалить контроллер домена.Я предоставил несколько ссылок Microsoft ниже, если вы хотите узнать больше об этой теме.

Источники

Понизить уровень контроллера домена Windows Server 2016

В сегодняшней статье вы узнаете, как понизить уровень контроллера домена Windows Server 2016 из инфраструктуры Active Directory компании.

В следующем сценарии предполагается, что контроллер домена подключен к сети, функционирует и обменивается данными по крайней мере с одним другим контроллером домена инфраструктуры. Мы также увидим, как происходит процесс понижения, как с использованием графического интерфейса диспетчера серверов, так и с помощью PowerShell.В противном случае, если DC не работает, вам нужно будет выполнить принудительное удаление из Active Directory.

Прежде чем начать процесс понижения роли, необходимо определить, выполняет ли контроллер домена одну из ролей FSMO. Если это так, вам нужно будет перенести роли FSMO на другой контроллер домена.

Прежде чем приступить к понижению роли контроллера домена

Хотя это и не обязательно, сначала мы воспользуемся командлетом Test-ADDSDomainControllerUninstallation , чтобы протестировать любые зависимости или потенциальные проблемы, которые могут возникнуть при удалении контроллера домена из Active Directory.Думайте об этом как о симуляции без внесения каких-либо изменений.

Базовый синтаксис команды для типичного моделирования следующий. Хорошо бы взглянуть на другие параметры, чтобы попробовать тот, который подходит для вашего случая.

 Test-ADDSDomainControllerUninstallation 

Test-ADDSDomainControllerUninstallation

Вам будет предложено ввести пароль локального администратора, и через несколько секунд появится соответствующее сообщение об успешном или неудачном завершении.В случае сбоя вам придется исправить ошибку, например, передать роли FSMO, а затем перейти к понижению DC.

Понижение роли контроллера домена с помощью диспетчера серверов

Откройте Диспетчер серверов, щелкните Управление , а затем Удалить роли и функции .

В разделе Перед началом работы щелкните Далее , чтобы продолжить.

В разделе Server Selection выберите DC и нажмите Next , чтобы продолжить.

В разделе Роли сервера снимите флажок с роли Доменные службы Active Directory .

В новом окне нажмите кнопку Удалить компоненты .

Сразу же после этого появится новое окно, информирующее вас о том, что вы не можете просто удалить роль и что сначала вам нужно будет понизить DC. Щелкните Понизить уровень этого контроллера домена , чтобы запустить мастер.

В разделе Учетные данные выберите учетную запись пользователя (например, администратора домена или предприятия), которая имеет право на удаление контроллера домена, и нажмите Далее , чтобы продолжить.Если контроллер домена не взаимодействует хотя бы с одним другим контроллером домена, включите только параметр Принудительное удаление этого контроллера домена . Кроме того, Force оставит потерянные метаданные в Active Directory, и вам нужно будет немедленно их очистить, чтобы избежать проблем в будущем.

В подразделе Предупреждения , который отображается только в том случае, если у вас установлены роли сервера DNS и глобального каталога, выберите Продолжить удаление и нажмите Далее , чтобы продолжить.

В разделе Новый пароль администратора введите новый пароль учетной записи администратора и нажмите Далее , чтобы продолжить.

В разделе Review Options нажмите кнопку Понизить уровень , чтобы продолжить.

Затем начнется процесс понижения роли DC, и ваш сервер автоматически перезагрузится.

После перезагрузки ваш старый контроллер домена теперь кажется частью домена в качестве рядового сервера, а не контроллера домена.Если вы планируете повторно продвигать его в DC в течение короткого периода времени, вам пока не нужно ничего делать.

В противном случае вам потребуется удалить роль доменных служб Active Directory, как вы уже пытались. Снова откройте мастер из Удалить роли и функции .

В разделе Роли сервера снимите флажок Роли доменных служб Active Directory и нажмите Далее , чтобы продолжить. Как вы увидите, сообщение больше не появляется, поскольку ваш сервер больше не является DC.

Понижение уровня контроллера домена с помощью PowerShell

При повышении роли сервера до контроллера домена вы сначала установили доменные службы Active Directory, а затем повысили его до уровня контроллера домена. Соответственно, но в обратном направлении, мы поступим в случае, если хотим удалить Контроллер домена из домена Active Directory. То есть сначала мы его понизим, а потом удалим роль.

Сначала откройте PowerShell с правами администратора.Затем введите следующую команду и нажмите Enter. Вам будет предложено дважды ввести учетную запись локального администратора, а затем подтвердить свое действие, нажав Y или A , в зависимости от ваших предпочтений.

 Uninstall-ADDSDomainController 

Uninstall-ADDSDomainController

Сразу же после этого произойдет понижение роли контроллера домена, и сервер будет перезапущен автоматически.

Когда вы снова войдете в систему, открыв Диспетчер серверов, вы заметите, что есть соответствующее уведомление для повышения роли сервера до контроллера домена.Очевидно, что когда роль доменных служб Active Directory все еще существует.

Чтобы удалить его, используйте следующую команду в PowerShell.

 Uninstall-WindowsFeature AD-Domain-Services 

Uninstall-WindowsFeature AD-Domain-Services

Вот оно! После перезапуска ваш сервер больше не является контроллером домена, а просто сервером-членом домена Active Directory.

Пошаговое руководство: удаление сервера контроллера домена вручную

Содержание

  • 1 Удаление метаданных с помощью пользователей и компьютеров Active Directory
  • 2 Удаление экземпляра сервера DC из сайтов и служб Active Directory
  • 3 Удаление метаданных с помощью ntdsutil

Использование DCPROMO по-прежнему является правильным способом удаления сервера DC в инфраструктуре Active Directory.В следующем видео представлен пример этих шагов:

В некоторых ситуациях, таких как сбой сервера или сбой опции DCPROMO, требуется ручное удаление контроллера домена из системы путем очистки метаданных серверов. Следующие подробные шаги помогут вам выполнить это:

Удаление метаданных через пользователей и компьютеры Active Directory
  1. Войдите на сервер DC как администратор домена/предприятия и перейдите к Диспетчер серверов > Инструменты > Пользователи и компьютеры Active Directory
  2. Развернуть домен > Контроллеры домена
  3. Rew Нажмите на контроллер домена, вам нужно вручную удалить и щелкнуть D Elete
  4. Нажмите Да для подтверждения в активном Диалоговое окно «Доменные службы каталогов»
  5. В следующем диалоговом окне выберите Этот контроллер домена постоянно находится в автономном режиме и больше не может быть понижен в должности с помощью мастера установки доменных служб Active Directory (DCPROMO) и нажмите Удалить
  6. Если контроллер домена является сервером глобального каталога, в следующем окне нажмите Да , чтобы продолжить удаление. Сайты и службы Active Directory
    1. Перейдите к Диспетчер серверов > Инструменты > Сайты и службы Active Directory
    2. Разверните узлы и перейдите на сервер, который необходимо удалить
    3. Щелкните правой кнопкой мыши сервер, который необходимо удалить и нажмите Delete Delete
    4. , чтобы подтвердить Да для подтверждения

    Удалить метаданные через ntdsutil

  7. Щелкните правой кнопкой мыши на старте> Команда подсказки (admin)
  8. типа ntdsutil и введите
  9. Затем вам предоставляется приглашение очистки метаданных
  10. Следующий тип удалить выбранный сервер <имя_сервера>
    ПРИМЕЧАНИЕ: Замените <имя_сервера> на сервер контроллера домена, который вы хотите удалить
  11. Нажмите Да , чтобы продолжить, когда появится окно с предупреждением
  12. Выполните команду quit дважды, чтобы выйти из консоли

ПРИМЕЧАНИЕ. Этот пост изначально был размещен на CANITPRO.NET, в соавторстве с Microsoft MVP Дишан Фрэнсис

Обновлено: 23 февраля 2022 г. Энтони Бартоло

 

© Microsoft. Эта статья была первоначально опубликована в блоге ITOps Talk корпорации Майкрософт . Вы можете найти оригинал статьи здесь.

Как понизить роль контроллера домена в Windows Server 2012 (AD DS)

В этом блоге мы рассмотрим, как понизить роль контроллера домена в доменных службах Active Directory (AD DS) Windows Server 2012.

В предыдущих версиях Windows Server для понижения роли контроллера домена использовалась утилита DCPROMO.exe. В Windows Sever 2012 утилита DCPROMO устарела.

В Windows Server 2012 мы будем использовать диспетчер серверов или PowerShell для понижения роли контроллера домена. В этом блоге я буду использовать графический интерфейс для понижения роли диспетчера серверов. Итак, давайте начнем.

Чтобы понизить роль контроллера домена в доменных службах Active Directory, выполните следующие действия:

Используйте диспетчер серверов для удаления роли доменных служб Active Directory.

Запустите Диспетчер серверов, выберите раскрывающееся меню Управление , выберите Удалить роли и функции .

  1. Просмотрите страницу «Перед началом работы» , нажмите «Далее».
  2. На странице Выберите тип установки убедитесь, что выбрана круговая кнопка Установка на основе ролей или функций , нажмите кнопку Далее.
  3. На странице Выберите целевой сервер Выберите нужный сервер из пула серверов .

Примечание. Диспетчер сервера 2012 позволяет удаленно устанавливать роли и компоненты.

  1. В мастере удаления ролей и компонентов щелкните поле Доменные службы Active Directory , чтобы снять флажок.

 

  1. Появится диалоговое окно Удалить роли и компоненты Удалить компоненты , для которых требуется доменная служба Active Directory , выберите Удалить компоненты.
  2. В Мастере удаления ролей и компонентов появится диалоговое окно Результаты проверки . Прежде чем продолжить, контроллер домена должен быть понижен в должности. Щелкните Понизить уровень этого контроллера домена .

  1. В мастере настройки доменных служб Active Directory введите необходимые учетные данные для понижения роли этого сервера, нажмите Далее .

Примечание:   Чтобы понизить роль контроллера домена реплики, вы должны быть как минимум администратором домена, чтобы удалить весь домен из леса или понизить роль последнего контроллера домена в лесу, вы должны предоставить учетные данные администратора предприятия.

Примечание:  Выберите только Принудительное удаление этого контроллера домена , если контроллер домена не взаимодействует с остальными контроллерами домена.

 

  1. В новом пароле администратора введите и подтвердите новый пароль учетной записи локального администратора, нажмите Далее .

  1. В параметрах просмотра проверьте правильность информации и нажмите «Понизить».

Начнется процесс понижения.Для завершения понижения сервер автоматически перезапустится.

Примечание:  При перезапуске сервера он станет членом домена, в котором ранее был контроллером домена.

Примечание:  Двоичные файлы для AD DS по-прежнему установлены на сервере. Если этот сервер не будет повышаться обратно до контроллера домена в будущем, повторно запустите мастер удаления ролей и компонентов , чтобы удалить роль AD DS с сервера.

Проверка удаления AD DS
  1. Войдите на сервер, на котором размещена служба DNS для домена, используя учетные данные администратора.
  2. Запустите консоль DNS и проверьте удаление записей службы для удаленного контроллера домена.

Доменные службы Active Directory удалены с этого сервера.

А пока ЕЗДИТЕ В БЕЗОПАСНОСТИ!

Рик Трейдер
Инструктор Windows Server – Техническое обучение интерфейсу
Феникс, Аризона

Подпишитесь на ленту сообщений этого автора через RSS

Как понизить роль контроллера домена в Windows Server

Ранее мы поделились этим руководством по созданию домена на Windows Server.Теперь в этой статье мы обращаемся к обратному. Если вам когда-нибудь понадобится удалить домен, который вы создали на своем Windows Server, эта статья для вас. В этой статье мы увидим подробный процесс понижения роли контроллера домена в Windows Server. Может быть много причин, почему вы хотите это сделать. В этом случае важно только то, как вы можете это сделать. Итак, вот полное руководство по понижению роли контроллера домена.

Перед понижением роли контроллера домена:

.
  • Убедитесь, что вы перенесли все роли Flexible Single Master Operation (FSMO) в AD на другие серверы.
  • Убедитесь, что в лесу существуют другие серверы глобального каталога, чтобы справиться с нагрузкой, если сервер, который вы понижаете, является глобальным каталогом.

Вы можете понизить роль контроллера домена либо с помощью диспетчера серверов, либо с помощью PowerShell. В этом руководстве для этой цели мы будем использовать диспетчер серверов.

Как понизить роль контроллера домена в Windows Server

Вот пошаговый процесс понижения роли контроллера домена в Windows Server. Эти шаги проиллюстрированы на Windows Server 2019.

1. Откройте Диспетчер серверов. Нажмите Управление > Удалить роли и функции .

2. В окне «Удалить роли и компоненты» в разделе «Выбор сервера» выберите сервер, который вы хотите понизить, и нажмите «Далее».

3. Двигаясь дальше, в разделе «Роли сервера» снимите флажок Доменные службы Active Directory .

4. После того, как вы снимите этот флажок, вы получите всплывающее окно для подтверждения удаления связанных функций.Нажмите Удалить функции здесь, а затем нажмите Далее.

5. Далее вы получите Результаты проверки . Здесь вам сообщат, что контроллер домена Active Directory необходимо понизить, прежде чем можно будет удалить роль AD DS. Поэтому нажмите на ссылку Понизить уровень этого контроллера домена .

6. Двигаясь дальше, в мастере настройки доменных служб Active Directory отметьте Принудительное удаление этого контроллера домена и нажмите Далее.

7. Затем в разделе «Предупреждения» установите флажок «Продолжить удаление » и нажмите «Далее».

8. Теперь вас попросят создать новый пароль администратора. Создайте надежный пароль, такой же, как вы ранее создали для своей текущей учетной записи администратора. Нажмите «Далее».

9. Затем в разделе «Параметры просмотра» нажмите Понизить уровень . Это, наконец, инициирует процесс понижения роли контроллера домена.

10. Через несколько секунд вы получите уведомление «Успешно понижение роли контроллера домена Active Directory», которое подтверждает, что процесс понижения роли прошел успешно. Вам может потребоваться удалить дополнительные функции, если они упоминаются в качестве предупреждения в этом окне, например, на снимке экрана ниже, служба DNS-сервера.

11. Теперь ваш Windows Server автоматически перезагрузится, чтобы вышеуказанные изменения вступили в силу. После перезагрузки вы можете войти в систему с новым паролем администратора, который мы создали на шаге 8 .

Полный процесс смотрите в этом видео:

Вот и все!

Понижение роли контроллера домена Windows Server 2016

В этом Спросите администратора я покажу вам, как понизить роль контроллера домена и удалить роль сервера доменных служб Active Directory.

 

 

Большинство системных администраторов Windows знают, как сделать сервер контроллером домена. В старых версиях Windows Server этого легко добиться, запустив dcpromo.В более новых версиях вы добавляете роль доменных служб Active Directory (ADDS) с помощью диспетчера серверов. После добавления роли диспетчер сервера предложит вам завершить процесс и откроет мастер, который проведет вас через установку контроллера домена.

Существует несколько способов понижения роли контроллера домена. Диспетчер серверов предлагает два способа добиться этого. Первый и, возможно, самый очевидный — использовать команду «Удалить роли и функции» в меню « Управление ».Если вы попытаетесь удалить роль сервера ADDS таким образом, мастер проведет вас через весь процесс удаления. Другой способ начать процесс — щелкнуть Local Server в левой части диспетчера серверов, а затем прокрутить вниз до РОЛИ И ФУНКЦИИ справа. Затем щелкните правой кнопкой мыши Доменные службы Active Directory в списке ролей и выберите Удалить роль или функцию в меню.

  • В мастере удаления ролей и компонентов щелкните Выбор сервера слева, а затем щелкните Роли сервера под ним.
  • В списке ролей справа снимите флажок Доменные службы Active Directory .
  • Во всплывающем диалоговом окне подтвердите, что хотите удалить связанные роли, такие как инструменты Active Directory DS, нажав Удалить компоненты .

Понижение роли контроллера домена с помощью диспетчера серверов (Изображение предоставлено Расселом Смитом)

 

Перед удалением ADDS Windows Server выполнит проверку правильности. Вы не сможете удалить роль, пока контроллер домена не будет понижен в должности.В результатах проверки будет показано предупреждение и предоставлена ​​ссылка, которая открывает мастер настройки доменных служб Active Directory.

  • В диалоговом окне проверки нажмите Понизить уровень этого контроллера домена .
  • В мастере настройки доменных служб Active Directory проверьте сведения на экране Credentials .

Понижение роли контроллера домена с помощью диспетчера серверов (Изображение предоставлено Расселом Смитом)

 

Проверка Принудительное удаление этого контроллера домена оставляет метаданные объекта пониженного контроллера домена в Active Directory.Если контроллер домена является последним в домене, вам необходимо проверить Последний контроллер домена в домене , прежде чем продолжить. Вы также можете изменить учетные данные, используемые для понижения, нажав Изменить…

.

Понижение роли контроллера домена с помощью диспетчера серверов (Изображение предоставлено Расселом Смитом)

  • Щелкните Далее .
  • На экране предупреждений установите флажок Приступить к удалению и нажмите Далее .Здесь вам напоминают, что на контроллере домена размещается DNS и, возможно, глобальный каталог, и что другие серверы в домене могут полагаться на эти службы.
  • На экране «Параметры удаления» вы можете удалить зоны DNS, разделы приложений AD и делегирование DNS. На этом экране будут отображаться только параметры, применимые к контроллеру домена. Отметьте элементы, которые нужно удалить, и нажмите Далее .
  • На экране «Новый пароль администратора» введите и подтвердите новый пароль, который станет учетной записью локального администратора после перезагрузки сервера.Щелкните Далее .
  • Наконец, на экране «Параметры просмотра» проверьте выбранные параметры и нажмите Понизить уровень .

Через несколько минут вам будет предложено перезагрузить сервер. После этого вы можете завершить удаление роли сервера ADDS в диспетчере серверов.

Понижение с помощью PowerShell

Описанную выше процедуру также можно выполнить с помощью двух командлетов AD PowerShell. Первый шаг — понизить роль контроллера домена до рядового сервера.Откройте командную строку PowerShell и выполните команду, как показано ниже. Перед использованием модуля AD PowerShell необходимо установить средства удаленного администрирования сервера AD (RSAT).

 Uninstall-ADDSDomainController 

В Uninstall-ADDSDomainController можно добавить другие параметры, чтобы отразить параметры, доступные в мастере настройки доменных служб Active Directory.

 Uninstall-ADDSDomainController-Credential (Get-Credential)-ForceRemoval 

Для получения полного списка доступных параметров используйте Get-Help Uninstall-ADDSDomainController.

После понижения роли сервера и его перезагрузки запустите Uninstall-WindowsFeature, чтобы удалить роль сервера ADDS:

 Uninstall-WindowsFeature AD-Domain-Services -IncludeManagementTools 

Если вы попытаетесь удалить ADDS перед понижением роли контроллера домена, PowerShell вернет ошибку.

В этом Спросите администратора я показал вам, как понизить роль контроллера домена Windows Server 2016 и удалить роль доменных служб Active Directory.

Подписывайтесь на Рассела в Твиттере @smithrussell.

.

Добавить комментарий

Ваш адрес email не будет опубликован.