Разное

Dcpromo удаление контроллера домена: Корректное удаление контроллера домена в Active Directory

Содержание

Корректное удаление контроллера домена в Active Directory

В этой статье мы рассмотрим процедуры корректного удаления контроллера домена Active Directory на Windows Server 2022/2019/2016/2012R2. Обычно при удалении контроллера домена рассматривается один из сценариев:

Содержание:

  • Понижение контроллера домена с удалением роли Active Directory Domain Services
  • Удаление неисправного контроллера домена Active Directory

Понижение контроллера домена с удалением роли Active Directory Domain Services

Если вы выполняете плановое удаление (декомиссию) одного из существующих контроллеров домена AD (обычного DC или RODC), то прежде чем понизить контроллер домена до рядового Windows Server и удалить роль ADDS, нужно выполнить ряд подготовительных шагов.

  1. Проверьте состояние вашего контроллера домена, Active Directory и репликации. На сайте есть отдельная статья с описанием команд диагностики здоровья контроллера домена и репликации в AD с помощью dcdiag , repadmin и скриптов PowerShell. Исправьте найденные проблемы. Для вывода списка ошибок на конкретном контроллере домена выполните команду: dcdiag.exe /s:dc01 /q
  2. Убедитесь, что на контроллере домена не запущены FSMO роли AD: netdom query fsmo Если нужно, перенесите роли FSMO на другой DC;
  3. Убедитесь, что на DC не запушена роль DHCP сервера. Если запущена, мигрируйте ее на другой сервер;
  4. Измените настройки DNS для DHCP областей, которые выдаются клиентам IP адреса. Перенастройте DHCP клиентов на другой DNS сервер (дождитесь окончания времени аренды IP адресов, чтобы все клиенты получили новые настройки DNS). Вы можете вывести список DNS серверов, заданных для всех зон (DNS Servers Option 006) на определенном сервере с помощью следующей команды PowerShell (подробнее об управлении DHCP в Windows Server с помощью PowerShell):
    Get-DhcpServerv4Scope -ComputerName msk-dhcp01.winitpro.ru| Get-DhcpServerv4OptionValue | Where-Object {$_.OptionID -like 6} | FT Value
  5. Некоторые клиенты могут быть настроены на использование DNS сервера на DC вручную (сетевые устройства, сервера, принтеры, сканеры и т. д.). Вам нужно найти такие устройства и перенастроить их на другой DNS сервер. Проще всего обнаружить устройства, обращающиеся к DNS серверу по его логам. Вот подробная статья: Аудит DNS запросов клиентов в Windows Server по DNS логам;
  6. Если на контроллере домена запущен центр сертификации (роль Certificate Authority), нужно мигрировать его на другой сервер;
  7. Если на контроллере домена запущены другие службы (например, KMS сервер, Raduis/NPS, WSUS и т.д.), решите нужно ли переносить их на другие сервера;
  8. Воспользуйтесь командлетом Test-ADDSDomainControllerUninstallation , чтобы проверить оставшиеся зависимости и проблемы, с которыми вы можете столкнуться при удалении DC. Если командлет вернет статус Sucсess , можете продолжить.

Теперь можно приступить к понижению роли контроллера домена до рядового сервера. До Windows Server 2012 для этого использовалась команда dcpromo. В современных версиях Windows Server этот инструмент считается устаревшим и не рекомендуется к использованию.

Вы можете понизить роль контроллера домена с помощью Server Manager. Запустите Server Manager -> Remote Roles and Features -> снимите чекбокс Active Directory Domain Services в секции Server Roles.

Нажмите на кнопку Demote this domain controller.

Должно открыться окно Active Directory Domain Services Configuration Wizard. Опцию Force the removal of this domain controller используется при удалении последнего контроллера домена. Включать ее не нужно. В дальнейшем мы удалим метаданные о DC вручную.

В следующем окне отметьте опцию Proceed with removal.

Затем задайте пароль учетной записи локального администратора сервера.

На последнем этапе останется нажать кнопку Demote.

Дождитесь окончания понижения контроллера домена. Должна появится надпись Successfully demoted the Active Directory Domain Controller

.

Перезагрузите сервер, еще раз запустите Server Manager для удаления роли Active Directory Domain Services.

При удалении роли ADDS по-умолчанию будут удалены следующие компоненты:

  • Модуль Active Directory Module for Windows PowerShell
  • AD DS and AD LDS Tools feature
  • Active Directory Administrative Center
  • AD DS Snap-ins and Command-line Tools
  • DNS Server
  • Консоль Group Policy Management Console ( gpmc.msc )

Запустите консоль Active Directory Users and Computers (dsa.msc) и убедитесь, что учетная запись контроллера домена была удалена из OU Domain Controllers.

Также вы можете удалить контроллер домена с помощью PowerShell командлета Uninstall-ADDSDomainController . Команда попросит вас задать пароль локального администратора и подтвердить понижение DC.

После перезагрузки останется с помощью PowerShell удалить роль ADDS:

Uninstall-WindowsFeature AD-Domain-Services -IncludeManagementTools

Теперь запустите консоль Active Directory Sites and Services ( dssite. msс ), найдите сайт контроллера домена и его учетную запись в разделе Servers. Разверните DC, щелкните ПКМ по NTDS Settings и выберите Delete.

Подтвердите удаление DC, отметив опцию Delete This Domain controller anyway. It is permanently offline and ac no longer be removed using the removal wizard.

Затем удалите учетную запись сервера.

Дождитесь окончания репликации в AD и проверьте состояние домена с помощью dcdiag

и repadmin (как описано выше).

Удаление неисправного контроллера домена Active Directory

Если ваш контроллер домена вышел из строя (физический сервер или файлы виртуального DC на хранилище) и вы не планируете восстанавливать DC его из созданной ранее резервной копии контроллера домена, можно удалить его принудительно.

Важно. Удаленный таким образом контроллер домена ни в коем случае нельзя включать в сеть.

До Windows Server 2008 R2 для удаления неисправного контроллера домена и очистки его метаданных в AD использовалась консольная утилита ntdsutil. В современных версиях Windows Server 2022/2019/2016/2012 вы можете удалить вышедший из строя DC и корректно очистить метаданные с помощью графических mmc оснасток управления AD.

Откройте консоль ADUC ( dsa.msc ) и перейдите в контейнер Domain Controllers. Найдите учетную запись вашего DC и удалите ее.

Появится окно с подтверждением удаления DC. Включите опцию Delete this Domain Controller anyway. И нажмите кнопку Delete.

Active Directory автоматически очистит метаданные об удаленном DC из базы ntds.dit.

Теперь нужно удалить контроллер домена в консоли AD Sites and Services как описано выше.

И последний шаг – удаление записей о контроллере домена в DNS. Откройте консоль DNS Manager ( dnsmgmt.msc ).

Удалите сервер из списка Name Servers в настройках зоны.

Удалите статические записи Name Servers (NS), оставшиеся от удаленного DC в вашей DNS зоне и разделах _msdcs , _sites , _tcp , _udp , и PTR записи в обратной зоне.

Или воспользуйтесь PowerShell для поиска и удаления записей в DNS.

Итак, в этой статье мы описали пошаговую процедуру, которая поможет вам понизить контроллер домена или удалить неисправный DC из Active Directory.

Контроллеры домена не понизить — Windows Server

  • Статья
  • Чтение занимает 9 мин

В этой статье содержится обходной путь для проблемы, при которой контроллеры домена не понижали при использовании мастера установки Active Directory (Dcpromo.exe) для принудительного понижения.

Применяется к:   Windows 10 — все выпуски, Windows Server 2012 R2
Исходный номер КБ:   332199

Симптомы

Контроллеры доменов Microsoft Windows 2000 или Microsoft Windows Server 2003 могут не быть изящно понижены с помощью мастера установки Active Directory (Dcpromo. exe).

Причина

Такое поведение может возникнуть в случае сбой необходимой зависимости или операции. К ним относятся подключение к сети, разрешение имен, проверка подлинности, репликация службы каталогов Active Directory или расположение критического объекта в Active Directory.

Решение

Чтобы устранить это поведение, определите, что препятствует изящной понижению уровня Windows 2000 или контроллера домена Windows Server 2003, а затем попробуйте снова понизить контроллер домена с помощью мастера установки Active Directory.

Примечание

Для Windows Server 2008 режим восстановления служб каталогов (DSRM) не изменяется с Windows Server 2003 за одним исключением. В Windows Server 2008 можно запустить команду принудительного удаления AD DS из контроллера домена, запущенного в DSRM, как и в остановленном состоянии dcpromo/forceremoval AD DS. Контроллер домена должен быть запущен в DSRM для восстановления данных состояния системы из резервного копирования. Дополнительные сведения о том, как это сделать, см. в руководстве по шагу перезапускаемых AD DS.

Обходной путь

Если вы не можете разрешить поведение, вы можете использовать следующие обходные пути для принудительного понижения контроллера домена, чтобы сохранить установку операционной системы и любых приложений на ней.

Предупреждение

Прежде чем использовать любой из следующих обходных способов, убедитесь, что вы можете успешно запустить в режиме восстановления служб Directory. В противном случае вы не сможете войти в систему после принудительного понижения компьютера. Если вы не помните пароль режима восстановления служб Directory, вы можете сбросить пароль с помощью Setpwd.exe, расположенного в Winnt\System32 папке. В Windows Server 2003 функциональность Setpwd.exe интегрирована в команду set DSRM Password средства NTDSUTIL.

Windows 2000 контроллеров домена

  1. Установите hotfix Q332199 на контроллер домена Windows 2000, который работает Пакет обновления 2 (SP2) или более поздней версии, или установите Windows 2000 Пакет обновления 4 (SP4).

    SP2 и более поздние версии поддерживают принудительное понижение. Затем перезапустите компьютер.

  2. Нажмите кнопку Начните, нажмите кнопку Выполнить, а затем введите команду: dcpromo /forceremoval .

  3. Нажмите кнопку ОК.

  4. На странице Добро пожаловать на страницу Мастер установки Active Directory нажмите кнопку Далее.

  5. Если удаляемый компьютер является глобальным сервером каталогов, нажмите кнопку ОК в окне сообщений.

    Примечание

    Содействие дополнительным глобальным каталогам в лесу или на сайте, если контроллер домена, который вы понижали, является глобальным сервером каталогов, если это необходимо.

  6. На странице Remove Active Directory убедитесь, что этот сервер является последним контроллером домена в поле проверки домена, а затем нажмите кнопку Далее.

  7. На странице Учетные данные сети введите имя, пароль и доменное имя учетной записи пользователя с учетными данными администратора предприятия в лесу, а затем нажмите кнопку Далее.

  8. В пароль администратора введите пароль и подтвержденный пароль, который необходимо назначить учетной записи администратора локальной базы данных SAM, а затем нажмите кнопку Далее.

  9. На странице Summary (Сводка) нажмите кнопку Next (Далее).

  10. Выполните очистку метаданных для пониженного контроллера домена на выжившем контроллере домена в лесу.

Если вы удалили домен из леса с помощью выбранной команды удаления домена в Ntdsutil, убедитесь, что все контроллеры домена и серверы глобального каталога в лесу удалили все объекты и ссылки на домен, который вы только что удалили, прежде чем продвигать новый домен в том же лесу с тем же доменным именем. Такие средства, как Replmon.exe или Repadmin.exe из Windows 2000, могут помочь вам определить, произошла ли точную репликацию. Windows 2000 sp3 и более ранние серверы глобального каталога заметно медленнее удаляют объекты и контексты именования, чем Windows Server 2003.

Windows Контроллеры домена Server 2003

  1. По умолчанию контроллеры Windows Server 2003 поддерживают принудительное понижение. Нажмите кнопку Начните, нажмите кнопку Выполнить, а затем введите команду: dcpromo /forceremoval .

  2. Нажмите кнопку ОК.

  3. На странице Добро пожаловать на страницу Мастер установки Active Directory нажмите кнопку Далее.

  4. На странице Force the Removal of Active Directory нажмите кнопку Далее.

  5. В пароль администратора введите пароль и подтвержденный пароль, который необходимо назначить учетной записи администратора локальной базы данных SAM, а затем нажмите кнопку Далее.

  6. В сводке нажмите кнопку Далее.

  7. Выполните очистку метаданных для пониженного контроллера домена на выжившем контроллере домена в лесу.

Если вы удалили домен из леса с помощью выбранной команды удаления домена в Ntdsutil, убедитесь, что все контроллеры домена и серверы глобального каталога в лесу удалили все объекты и ссылки на домен, который вы только что удалили, прежде чем продвигать новый домен в том же лесу с тем же доменным именем. Windows 2000 Пакет обновления 3 (SP3) и более ранние серверы глобального каталога заметно медленнее удалять объекты и контексты именования, чем Windows Server 2003.

Если записи управления доступом к ресурсам (ACEs) на компьютере, с который вы удалили Active Directory, основывались на локальных группах домена, эти разрешения, возможно, придется перенастроить, так как эти группы не будут доступны для серверов-членов или автономных серверов. Если вы планируете установить Active Directory на компьютере, чтобы сделать его контроллером домена в исходном домене, вам больше не нужно настраивать списки управления доступом (ACLs). Если вы предпочитаете оставлять компьютер в качестве отдельного или отдельного сервера, любые разрешения, основанные на локальных группах домена, должны быть переведены или заменены.

Windows Улучшения server 2003 Пакет обновления 1

Windows Сервер 2003 SP1 улучшает dcpromo /forceremoval процесс. При выполнении выполняется проверка, чтобы определить, является ли контроллер домена главную роль операций, сервером системы доменных имен (DNS) или сервером глобального dcpromo /forceremoval каталога. Для каждой из этих ролей администратор получает всплывающее предупреждение, которое рекомендует администратору принять соответствующие действия.

Если контроллер домена не может запуститься в обычном режиме

Важно!

В этот раздел, описание метода или задачи включены действия, содержащие указания по изменению параметров реестра. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому следует в точности выполнять приведенные инструкции. Для дополнительной защиты создайте резервную копию реестра, прежде чем редактировать его. Так вы сможете восстановить реестр, если возникнет проблема. Дополнительные сведения о том, как создать и восстановить реестр, см. в этой информации, как создать и восстановить реестр в Windows.

Важно!

Выполните эти действия только в качестве последнего средства, если контроллер домена не может запуститься в обычном режиме.

Чтобы удалить Active Directory из контроллера домена, выполните следующие действия:

  1. Перезапустите компьютер и нажмите кнопку F8 для отображения меню Windows 2000 Расширенные параметры.

  2. Выберите режим восстановления служб Directory, нажмите кнопку ENTER и нажмите кнопку ENTER снова, чтобы продолжить перезапуск.

  3. Измените запись ProductType в реестре. Для этого выполните следующие действия:

    1. Щелкните Пуск, затем Выполнить и введите regedit. Затем нажмите ОК.

    2. Найдите подки реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ProductOptions .

    3. В правой области дважды щелкните ProductType.

    4. Введите ServerNT в поле данных Value, а затем нажмите кнопку ОК.

      Примечание

      Если это значение неправильно заданной или неправильно заданной ошибкой, вы можете получить следующее сообщение об ошибке:System Process — Нарушение лицензии. Система обнаружила фальсификацию зарегистрированного типа продукта. Это нарушение лицензии на программное обеспечение. Не допускается подделывка типа продукта.

    5. Закройте редактор реестра.

  4. Перезагрузите компьютер.

  5. Войдите в систему с учетной записью администратора и паролем, используемым для режима ремонта службы Directory.

    Компьютер будет вести себя как сервер-член. Однако на компьютере по-прежнему остаются некоторые файлы и записи реестра, связанные с контроллером домена.

  6. Начните редактор реестра и найдите запись HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters реестра.

    Если есть запись для Src Root Domain Srv, щелкните правой кнопкой мыши значение и нажмите кнопку Удалить. Это значение должно быть удалено таким образом, чтобы контроллер домена видел себя единственным контроллером домена в домене после продвижения по службе.

    Важно!

    Вышеперечисленный шаг имеет решающее значение. Без этого повторное продвижение во временный лес AD не завершится, и вы не сможете войти в контроллер домена.

  7. Удалите оставшиеся файлы и записи реестра. Для этого выполните следующие действия:

    1. Запустите мастер установки Active Directory.

    2. Установите Active Directory, чтобы сделать компьютер контроллером домена для нового временного домена, например psstemp.deleteme.

      Примечание

      Убедитесь, что компьютер является контроллером домена в другом лесу.

    3. После установки Active Directory запустите мастер установки Active Directory снова, а затем удалите Active Directory из контроллера домена.

  8. После удаления Active Directory из контроллера домена удалите метаданные, которые остались в домене. Дополнительные сведения о том, как удалить эти метаданные, см. в примере Как удалить данные в Active Directory после неудачного понижения контроллера домена.

Корпорация Майкрософт протестировали и поддерживает принудительное понижение контроллеров домена, которые работают Windows 2000 или Windows Server 2003.

Мастер установки Active Directory создает контроллеры домена Active Directory на Windows 2000 и Windows Сервере 2003. Операции, выполняемые мастером установки Active Directory, включают установку новых служб, изменение значений запуска существующих служб и переход на Active Directory как область безопасности и проверки подлинности.

При принудительном понижении в должности администратор домена может принудительно удалить Active Directory и откатить локальные системные изменения, не связываясь или реплицировать любые локальные изменения в другом контроллере домена в лесу.

Так как принудительное понижение приводит к потере любых локальных изменений, используйте его только в качестве последнего средства в производственных или тестовых доменах. Вы можете принудительно понизить контроллеры домена, если невозможно устранить зависимости от подключения, разрешения имен, проверки подлинности или репликации, чтобы можно было выполнить изящное понижение. Допустимые сценарии принудительного понижения включают следующие:

  • В родительском домене в настоящее время нет контроллеров домена, когда вы пытаетесь понизить последний контроллер домена в немедленном детском домене.

  • Мастер установки Active Directory не может завершиться, так как существует разрешение имен, проверка подлинности, двигатель репликации или зависимость объекта Active Directory, которую невозможно устранить после выполнения подробных устранений неполадок.

  • Контроллер домена не реплицирует входящие изменения Active Directory в Tombstone Lifetime (Срок службы надгробия по умолчанию — 60 дней) для одного или нескольких контекстов именования.

    Важно!

    Не восстанавливать такие контроллеры домена, если только они не являются единственным шансом на восстановление для определенного домена.

  • Время не позволяет более подробно устранять неполадки, так как необходимо немедленно ввести в работу контроллер домена. Принудительное понижение может быть полезно в лабораторных и классных средах, где можно удалить контроллеры домена из существующих доменов, но не нужно последовательно понизить каждый контроллер домена.

При принудительном понижении контроллера домена вы потеряете уникальные изменения, которые находятся в Active Directory контроллера домена, которые принудительно понижены. Это включает добавление, удаление или изменение пользователей, компьютеров, групп, отношений доверия и конфигурации групповой политики или Active Directory, которая не реплицируется перед тем, как вы запустили dcpromo /forceremoval команду. Кроме того, вы потеряете изменения в любом из атрибутов на этих объектах, таких как пароли для пользователей, компьютеров, а также отношения доверия и членство в группе.

Однако при принудительном понижении контроллера домена операционная система возвращается в состояние, такое же, как успешное понижение последнего контроллера домена в домене (значения запуска службы, установленные службы, использование sam на основе реестра для базы данных учетных записей, компьютер является членом рабочей группы). Программы, установленные на пониженном контроллере домена, остаются установленными.

Журнал событий System определяет принудительно пониженные Windows 2000 контроллеров домена и экземпляры операции по идентификатору события dcpromo /forceremoval 29234. Например: журнал событий System определяет принудительно пониженные контроллеры домена Windows Server 2003 по идентификатору события 29239. Например. После использования команды метаданные для пониженного компьютера не удаляются на оставшихся в живых dcpromo /forceremoval контроллерах домена. Дополнительные сведения см. в дополнительных сведениях о метаданных сервера контроллера домена Active Directory.

Ниже пунктов, которые необходимо адресовать, если применимо, после принудительного понижения контроллера домена:

  1. Удалите учетную запись компьютера из домена.
  2. Убедитесь, что записи DNS, такие как A, CNAME и SRV Records, удаляются, если они присутствуют.
  3. Убедитесь, что объекты членов FRS (FRS и DFS) удаляются, и удалите их, если они присутствуют.
  4. Если пониженный компьютер является членом любых групп безопасности, удалите его из этих групп.
  5. Удалите все ссылки DFS на пониженный сервер, например ссылки или корневые реплики.
  6. Уцелевший контроллер домена должен захватить все главные роли операций, также известные как гибкие одиночные мастер-операции или FSMO, которые ранее удерживались принудительно пониженным контроллером домена. Дополнительные сведения см. в рублях Transfer or seize FSMO roles in Active Directory Domain Services.
  7. Если контроллер домена, который вы понижали, является сервером DNS или глобальным сервером каталогов, необходимо создать новый GC или DNS-сервер, чтобы удовлетворить балансировку нагрузки, устойчивость к неисправностям и параметры конфигурации в лесу.
  8. При использовании выбранной команды сервера в NTDSUTIL, объекте NTDSDSA, родительский объект для входящих подключений к контроллеру домена, принудительно пониженный, удаляется. Команда не удаляет объекты родительского сервера, которые отображаются в оснастке «Сайты и службы». Чтобы удалить объект сервера, если контроллер домена не будет продвигаться в лес с тем же именем компьютера, используйте оснастку сайтов и служб Active Directory MMC.

Очистка метаданных сервера AD DS

Twitter LinkedIn Facebook Адрес электронной почты

  • Статья
  • Чтение занимает 5 мин

Область применения: Windows Server 2022, Windows Server 2019, Windows Server

Очистка метаданных — это обязательная процедура после принудительного удаления служб домен Active Directory (AD DS). Очистка метаданных выполняется на контроллере домена в домене контроллера домена, который был принудительно удален. Очистка метаданных удаляет данные из AD DS, которые идентифицируют контроллер домена в системе репликации. Очистка метаданных также удаляет подключения репликации файлов (FRS) и распределенная файловая система (DFS) и пытается передавать или захватить роли хозяина операций (также называемых гибкими одиночными главными операциями или FSMO), которые содержит устаревший контроллер домена.

Существует два варианта очистки метаданных сервера.

  • Очистка метаданных сервера с помощью средств графического пользовательского интерфейса.
  • Очистка метаданных сервера с помощью командной строки.

Примечание

если при использовании любого из этих методов для очистки метаданных возникает ошибка «отказано в доступе», убедитесь, что объект компьютера и объект Параметры NTDS для контроллера домена не защищены от случайного удаления. чтобы проверить это, щелкните правой кнопкой мыши объект компьютера или объект NTDS Параметры, выберите пункт свойства, щелкните объекти снимите флажок защитить объект от случайного удаления . В Active Directory «пользователи и компьютеры» откроется вкладка » объект » объекта, если щелкнуть » вид «, а затем » Дополнительные функции«.

Очистка метаданных сервера с помощью средств графического пользовательского интерфейса

при использовании средства удаленного администрирования сервера (RSAT) или консоли Active Directory пользователи и компьютеры (Dsa. msc), включенной в Windows Server для удаления учетной записи компьютера контроллера домена из подразделения контроллеров домена (OU), очистка метаданных сервера выполняется автоматически. до Windows Server 2008 необходимо было выполнить отдельную процедуру очистки метаданных.

Можно также использовать консоль сайтов и служб Active Directory (Dssite. msc) для удаления учетной записи компьютера контроллера домена, которая также автоматически завершает очистку метаданных. однако Active Directory сайты и службы удаляют метаданные автоматически только при первом удалении объекта Параметры NTDS под учетной записью компьютера в Dssite. msc.

если вы используете версии Windows Server 2008 или более поздних версий RSAT (Dsa. msc) или Dssite. msc, метаданные можно автоматически очищать для контроллеров домена под управлением более ранних версий Windows операционных систем.

Членство в группах «Администраторы домена» или «эквивалентное» является минимальным требованием для выполнения этих процедур.

Очистка метаданных сервера с помощью Active Directory пользователей и компьютеров

  1. Откройте оснастку Пользователи и компьютеры Active Directory.
  2. Если вы определили партнеров репликации при подготовке к этой процедуре и если вы не подключены к партнеру репликации удаленного контроллера домена, чьи метаданные удаляются, щелкните правой кнопкой мыши узел Active Directory пользователи и компьютеры и выберите пункт изменить контроллер домена. Щелкните имя контроллера домена, из которого необходимо удалить метаданные, а затем нажмите кнопку ОК.
  3. Разверните домен контроллера домена, который был принудительно удален, и выберите пункт контроллеры домена.
  4. В области сведений щелкните правой кнопкой мыши объект компьютера контроллера домена, метаданные которого необходимо очистить, и выберите команду Удалить.
  5. В диалоговом окне домен Active Directory службы убедитесь, что отображается имя контроллера домена, который вы хотите удалить, и нажмите кнопку Да , чтобы подтвердить удаление объекта компьютера.
  6. В диалоговом окне Удаление контроллера домена выберите этот контроллер домена постоянно в автономном режиме, и его нельзя будет понизить с помощью мастер установки доменных служб Active Directory (Dcpromo), а затем нажать кнопку Удалить.
  7. Если контроллер домена является сервером глобального каталога, в диалоговом окне Удаление контроллера домена нажмите кнопку Да , чтобы продолжить удаление.
  8. Если контроллер домена в настоящее время содержит одну или несколько ролей хозяина операций, нажмите кнопку ОК , чтобы переместить роль или роли на отображаемый контроллер домена. Этот контроллер домена нельзя изменить. Если вы хотите переместить роль на другой контроллер домена, необходимо переместить роль после завершения процедуры очистки метаданных сервера.

Очистка метаданных сервера с помощью Active Directory сайтов и служб

  1. Откройте оснастку «Active Directory — сайты и службы».
  2. Если вы определили партнеров репликации в процессе подготовки к этой процедуре и если вы не подключены к партнеру репликации удаленного контроллера домена, чьи метаданные удаляются, щелкните правой кнопкой мыши Active Directory сайты и службы, а затем выберите пункт изменить контроллер домена. Щелкните имя контроллера домена, из которого необходимо удалить метаданные, а затем нажмите кнопку ОК.
  3. разверните узел контроллера домена, который был принудительно удален, разверните узел серверы, разверните имя контроллера домена, щелкните правой кнопкой мыши объект NTDS Параметры и выберите команду удалить.
  4. в диалоговом окне Active Directory сайты и службы нажмите кнопку да , чтобы подтвердить удаление NTDS Параметры.
  5. В диалоговом окне Удаление контроллера домена выберите этот контроллер домена постоянно в автономном режиме, и его нельзя будет понизить с помощью мастер установки доменных служб Active Directory (Dcpromo), а затем нажать кнопку Удалить.
  6. Если контроллер домена является сервером глобального каталога, в диалоговом окне Удаление контроллера домена нажмите кнопку Да , чтобы продолжить удаление.
  7. Если контроллер домена в настоящее время содержит одну или несколько ролей хозяина операций, нажмите кнопку ОК , чтобы переместить роль или роли на отображаемый контроллер домена.
  8. Щелкните правой кнопкой мыши контроллер домена, который был принудительно удален, и выберите команду Удалить.
  9. В диалоговом окне домен Active Directory службы нажмите кнопку Да , чтобы подтвердить удаление контроллера домена.

Очистка метаданных сервера с помощью командной строки

В качестве альтернативы можно очистить метаданные с помощью ntdsutil.exe, программы командной строки, которая автоматически устанавливается на всех контроллерах домена и серверах, на которых установлены службы Active Directory облегченного доступа к каталогам (AD LDS). ntdsutil.exe также доступна на компьютерах с установленным RSAT. Чтобы очистить метаданные сервера с помощью Ntdsutil, выполните следующие действия.

  1. Откройте командную строку от имени администратора: в меню Пуск щелкните правой кнопкой мыши пункт Командная строкаи выберите команду Запуск от имени администратора. если отображается диалоговое окно контроль учетных записей пользователей , укажите учетные данные администратора Enterprise, если это необходимо, а затем нажмите кнопку продолжить.

  2. В командной строке введите следующую команду и нажмите клавишу Ввод:

    ntdsutil

  3. ntdsutil:В командной строке введите следующую команду и нажмите клавишу ntdsutil::

    metadata cleanup

  4. metadata cleanup:В командной строке введите следующую команду и нажмите клавишу metadata cleanup::

    remove selected server <ServerName>

  5. В диалоговом окне Конфигурация удаления серверапросмотрите сведения и предупреждение, а затем нажмите кнопку Да , чтобы удалить объект сервера и метаданные.

    На этом этапе программа Ntdsutil подтверждает, что контроллер домена был успешно удален. Если появится сообщение об ошибке, указывающее, что объект не найден, возможно, контроллер домена был удален ранее.

  6. metadata cleanup:ntdsutil: В приглашении Введите quit и нажмите клавишу metadata cleanup:.

  7. Чтобы подтвердить удаление контроллера домена, выполните следующие действия.

    Откройте оснастку «Пользователи и компьютеры Active Directory». В домене удаленного контроллера домена щелкните контроллеры домена. В области сведений не должен отображаться объект для удаляемого контроллера домена.

    Откройте оснастку «Active Directory — сайты и службы». перейдите к контейнеру серверы и убедитесь, что объект сервера для контроллера домена, который вы удалили, не содержит объект NTDS Параметры. Если под объектом сервера не отображаются дочерние объекты, можно удалить объект сервера. Если отображается дочерний объект, не удаляйте серверный объект, так как этот объект используется другим приложением.

См. также:

  • Понижение уровня контроллеров доменов
  • Справочник по командам Ntdsutil

Понижение роли контроллеров домена и доменов (уровень 200)

  • Статья
  • 7 минут на чтение

Применяется к: Windows Server 2022, Windows Server 2019, Windows Server

В этом разделе объясняется, как удалить AD DS с помощью диспетчера серверов или Windows PowerShell.

Осторожно

Удаление ролей AD DS с помощью Dism.exe или модуля DISM Windows PowerShell после повышения роли до контроллера домена не поддерживается и не позволит серверу загружаться нормально.

В отличие от диспетчера серверов или модуля ADDSDeployment для Windows PowerShell, DISM — это собственная система обслуживания, не имеющая встроенных знаний об AD DS или ее конфигурации. Не используйте Dism.exe или модуль DISM Windows PowerShell для удаления роли AD DS, если сервер больше не является контроллером домена.

Понижение роли и удаление роли с помощью PowerShell

Командлеты ADDSDeployment и ServerManager Аргументы ( Требуются аргументы , выделенные полужирным шрифтом. Аргументы , выделенные курсивом, можно указать с помощью Windows PowerShell или мастера настройки AD DS.)
Uninstall-ADDSDomainController -SkipPreChecks

-LocalAdministratorPassword

-Подтвердить

-Credential

-DemoteOperationMasterRole

-DNSDelegationRemovalCredential

-Force

-ForceRemoval

-IgnoreLastDCInDomainMismatch

-IgnoreLastDNSServerForZone

-LastDomainControllerInDomain

-Norebootoncompletion

-RemoveApplicationPartitions

-RemoveDNSDelegation

-Сохранить метаданные DC

Удалить-WindowsFeature/Удалить-WindowsFeature -Name

-IncludeManagementTools

-Restart

-Remove

-Force

-ComputerName

-Credential

-LogPath

-Vhd

Примечание

Аргумент -credential требуется только в том случае, если вы еще не вошли в систему как член группы администраторов предприятия (понижение последнего контроллера домена в домене) или группы администраторов домена (понижение роли реплики контроллера домена). . -includemanagementtools Аргумент требуется только в том случае, если вы хотите удалить все утилиты управления AD DS.

Понизить уровень

Удалить роли и функции

Диспетчер серверов предлагает два интерфейса для удаления роли доменных служб Active Directory:

  • Меню Управление на главной панели с помощью Удалить роли и функции

  • Нажмите AD DS или Все серверы на панели навигации. Прокрутите вниз до раздела Роли и функции . Щелкните правой кнопкой мыши Доменные службы Active Directory в списке Роли и функции и выберите Удалить роль или функцию . Этот интерфейс пропускает страницу выбора сервера .

Командлеты ServerManager Uninstall-WindowsFeature и Remove-WindowsFeature не позволят вам удалить роль AD DS, пока вы не понизите роль контроллера домена.

Выбор сервера

Диалоговое окно Выбор сервера позволяет выбрать один из серверов, ранее добавленных в пул, если он доступен. Локальный сервер, на котором запущен Диспетчер серверов, всегда доступен автоматически.

Роли и функции сервера

Снимите флажок Доменные службы Active Directory , чтобы понизить роль контроллера домена; если сервер в настоящее время является контроллером домена, это не удаляет роль AD DS, а вместо этого переключает на Результаты проверки Диалог с предложением понизить уровень. В противном случае он удаляет двоичные файлы, как и любой другой компонент роли.

  • Не удаляйте никакие другие роли или функции, связанные с AD DS, такие как DNS, GPMC или инструменты RSAT, если вы намерены немедленно снова повысить роль контроллера домена. Удаление дополнительных ролей и функций увеличивает время повторного повышения, поскольку диспетчер серверов переустанавливает эти функции при переустановке роли.

  • Удалите ненужные роли и функции AD DS по своему усмотрению, если вы намерены навсегда понизить роль контроллера домена. Для этого необходимо снять флажки для этих ролей и функций.

    Полный список ролей и функций, связанных с AD DS, включает:

    • Модуль Active Directory для функции Windows PowerShell
    • Средства AD DS и AD LDS Tools
    • Функция центра администрирования Active Directory
    • Компонент оснастки AD DS и инструментов командной строки
    • DNS-сервер
    • Консоль управления групповыми политиками

Эквивалентные командлеты ADDSDeployment и ServerManager Windows PowerShell:

 Uninstall-addsdomaincontroller
Uninstall-windowsfeature

Учетные данные

Параметры понижения уровня настраиваются на странице Учетные данные . Укажите учетные данные, необходимые для понижения роли, из следующего списка:

  • Для понижения роли дополнительного контроллера домена требуются учетные данные администратора домена. Выбор Принудительное удаление этого контроллера домена понижает уровень контроллера домена без удаления метаданных объекта контроллера домена из Active Directory.

    Предупреждение

    Не выбирайте этот параметр, если только контроллер домена не может связаться с другими контроллерами домена и нет разумного способа решить эту проблему с сетью. Принудительное понижение роли оставляет потерянные метаданные в Active Directory на оставшихся контроллерах домена в лесу. Кроме того, все нереплицированные изменения на этом контроллере домена, такие как пароли или новые учетные записи пользователей, теряются навсегда. Бесхозные метаданные являются основной причиной значительного процента обращений в службу поддержки клиентов Майкрософт в отношении AD DS, Exchange, SQL и другого программного обеспечения.

    Если вы принудительно понизили роль контроллера домена, вы должны вручную немедленно выполнить очистку метаданных. Инструкции см. в разделе Очистка метаданных сервера.

  • Для понижения роли последнего контроллера домена в домене требуется членство в группе администраторов предприятия, так как это удаляет сам домен (если последний домен в лесу, это удаляет лес). Диспетчер серверов сообщает вам, является ли текущий контроллер домена последним контроллером домена в домене. Выберите Последний контроллер домена в домене Установите флажок, чтобы подтвердить, что контроллер домена является последним контроллером домена в домене.

Эквивалентные аргументы ADDSDeployment Windows PowerShell:

 -credential 
-forceremoval <{ $true | ложь }>
-lastdomaincontrollerindomain <{ $true | ложь }>

Предупреждения

Страница Предупреждения предупреждает вас о возможных последствиях удаления этого контроллера домена. Для продолжения необходимо выбрать Приступить к удалению .

Предупреждение

Если вы ранее выбрали Принудительное удаление этого контроллера домена на странице Учетные данные , то на странице Предупреждения отображаются все роли Flexible Single Master Operations, размещенные на этом контроллере домена. Вы должны захватить роли с другого контроллера домена сразу после понижения роли этого сервера. Дополнительные сведения о захвате ролей FSMO см. в разделе Захват роли хозяина операций.

На этой странице нет эквивалентного аргумента ADDSDeployment Windows PowerShell.

Параметры удаления

Страница Параметры удаления появляется в зависимости от ранее выбранного Последний контроллер домена в домене на странице Учетные данные . На этой странице можно настроить дополнительные параметры удаления. Выберите Игнорировать последний DNS-сервер для зоны , Удалить разделы приложений и Удалить делегирование DNS , чтобы включить кнопку Далее .

Параметры отображаются только в том случае, если они применимы к этому контроллеру домена. Например, если для этого сервера нет делегирования DNS, этот флажок не будет отображаться.

Щелкните Изменить , чтобы указать альтернативные учетные данные администратора DNS. Щелкните Просмотр разделов , чтобы просмотреть дополнительные разделы, которые мастер удаляет во время понижения. По умолчанию единственными дополнительными разделами являются DNS-зоны домена и DNS-зоны леса. Все остальные разделы не являются разделами Windows.

Эквивалентные аргументы командлета ADDSDeployment:

 -ignorelastdnsserverforzone <{ $true | ложь }>
-removeapplicationpartitions <{ $true | ложь }>
-removednsdelegation <{ $true | ложь }>
-dnsdelegationremovalcredential

Новый пароль администратора

На странице Новый пароль администратора необходимо ввести пароль для встроенной учетной записи администратора локального компьютера, после того как понижение роли завершится и компьютер станет членом домена или компьютером рабочей группы.

Командлет Uninstall-ADDSDomainController и аргументы имеют те же значения по умолчанию, что и диспетчер серверов, если они не указаны.

Аргумент LocalAdministratorPassword является особым:

  • Если в качестве аргумента не указано , командлет предлагает ввести и подтвердить замаскированный пароль. Это предпочтительное использование при интерактивном запуске командлета.
  • Если указано со значением , то значение должно быть защищенной строкой. Это не является предпочтительным использованием при интерактивном запуске командлета.

Например, можно вручную запросить пароль с помощью командлета Read-Host , чтобы запросить у пользователя строку безопасности.

 -localadministratorpassword (read-host -prompt "Password:" -assecureststring)

Предупреждение

Поскольку предыдущие два варианта не подтверждают пароль, будьте предельно осторожны: пароль не виден.

Вы также можете указать защищенную строку как преобразованную текстовую переменную, хотя это крайне не рекомендуется. Например:

 -localadministratorpassword (convertto-securestring "Password1" -asplaintext -force)

Предупреждение

Не рекомендуется указывать или хранить пароль в виде открытого текста. Любой, кто запускает эту команду в сценарии или заглядывает вам через плечо, знает пароль локального администратора этого компьютера. Обладая этими знаниями, они имеют доступ ко всем его данным и могут выдавать себя за сам сервер.

Подтверждение

Страница Подтверждение показывает запланированное понижение; на странице не указаны параметры конфигурации понижения. Это последняя страница, которую показывает мастер перед началом понижения. Кнопка View Script создает сценарий понижения Windows PowerShell.

Щелкните Понизить уровень , чтобы запустить следующий командлет развертывания доменных служб Active Directory:

 Uninstall-ADDSDomainController.

Используйте необязательный аргумент Whatif с Uninstall-ADDSDomainController и командлетом для просмотра сведений о конфигурации. Это позволяет вам видеть явные и неявные значения аргументов командлета.

Например:

Запрос на перезагрузку — это последняя возможность отменить эту операцию при использовании ADDSDeployment Windows PowerShell. Чтобы переопределить это приглашение, используйте -force или подтвердить:$false аргументов.

Понижение

При отображении страницы Понижение начинается настройка контроллера домена, которую нельзя остановить или отменить. Подробные операции отображаются на этой странице и записываются в журналы:

  • %systemroot%\debug\dcpromo.log
  • %systemroot%\debug\dcpromoui.log

Начиная с Uninstall-ADDSDomainController и Uninstall-WindowsFeature имеют только одно действие, они показаны здесь на этапе подтверждения с минимальными требуемыми аргументами. Нажатие ENTER запускает процесс безвозвратного понижения и перезапускает компьютер.

Чтобы принять запрос на перезагрузку автоматически, используйте аргументы -force или -confirm:$false с любым командлетом ADDSDeployment Windows PowerShell. Чтобы сервер не перезагружался автоматически по окончании продвижения, используйте параметр -norebootoncompletion:$false 9.0037 аргумент.

Предупреждение

Отмена перезагрузки не рекомендуется. Рядовой сервер должен перезагрузиться для правильной работы.

Вот пример принудительного понижения с минимальными требуемыми аргументами -forceremoval и -demoteoperationmasterrole . Аргумент -credential не требуется, так как пользователь вошел в систему как член группы администраторов предприятия:

Вот пример удаления последнего контроллера домена в домене с минимально необходимыми аргументами -lastdomaincontrollerindomain и -removeapplicationpartitions :

Если вы попытаетесь удалить роль AD DS перед понижением роли сервера, Windows PowerShell заблокирует вас с ошибкой:

После понижения роли необходимо перезагрузить компьютер. сервер, прежде чем вы сможете удалить двоичные файлы роли AD-Domain-Services.

Результаты

Страница Результаты показывает успех или неудачу продвижения и любую важную административную информацию. Контроллер домена автоматически перезагрузится через 10 секунд.

Как понизить роль контроллера домена (пошаговое руководство)

Роберт Аллен

Вам нужно понизить роль контроллера домена?

Ваш контроллер домена не работает, и вы хотите удалить его вручную?

Нет проблем.

В этом руководстве я рассмотрю два варианта удаления контроллера домена. Если у вас все еще есть доступ к серверу, то вариант 1 является предпочтительным выбором.

  • Вариант 1: Понизить роль контроллера домена с помощью диспетчера серверов
    • Используйте этот вариант, если у вас все еще есть доступ к серверу.
  • Вариант 2: Удаление контроллера домена вручную
    • Используйте этот вариант, если сервер не работает или у вас больше нет к нему доступа.

В обоих примерах я буду использовать сервер Windows Server 2016, но эти шаги будут работать для Server 2012 и выше.

Наконечник №1 Начиная с Server 2008, метаданные контроллера домена очищаются автоматически. Сервер Windows Server 2003 или более ранней версии потребует использования команды ntdsutil для очистки метаданных. При этом вам все равно нужно вручную удалить сервер с сайтов и служб.

Совет №2 Прежде чем выключать сервер, убедитесь, что на сервере не запущены другие службы (например, DNS или DHCP). Если вы можете избежать этого, вы можете избавить себя от большой головной боли.

Наконечник №3 Если на удаляемом контроллере домена настроены роли FSMO, они будут автоматически перенесены на другой контроллер домена . Вы можете проверить это с помощью команды netdom query FSMO.

Видеоруководство

Если вам не нравятся видеоуроки или вы хотите получить более подробную информацию, продолжайте читать приведенные ниже инструкции.

Вариант 1. Понизить роль контроллера домена с помощью диспетчера серверов

Это рекомендуемый Microsoft метод удаления контроллера домена.

Шаг 1. Откройте Диспетчер серверов

Шаг 2. Выберите «Управление» -> «Удалить роли и функции»

Нажмите «Далее» на странице «Перед началом работы»

Шаг 3 . На странице выбора сервера выберите сервер, который хотите понизить, и нажмите кнопку «Далее».

В этом примере я понижаю сервер «srv-2016»

Шаг 4 . Снимите флажок «Доменные службы Active Directory» на странице «Роли сервера».

Когда вы снимите флажок, появится всплывающее окно для удаления функций, требующих доменных служб Active Directory.

Если вы планируете использовать сервер для управления Active Directory, оставьте их установленными. В этом примере я планирую вывести сервер из эксплуатации, поэтому я удалю эти инструменты управления.

Шаг 5 . Выберите «Понизить уровень этого контроллера домена»

. На следующем экране убедитесь, что вы НЕ выбираете «Принудительно удалить этот контроллер домена». Этот параметр следует выбирать, только если вы удаляете последний контроллер домена в домене.

При необходимости вы также можете изменить учетные данные на этом экране.

Нажмите Далее

Шаг 6 . На экране предупреждений появится предупреждение, что на этом сервере размещены дополнительные роли. Если у вас есть клиентские компьютеры, использующие этот сервер для DNS, вам потребуется обновить их, чтобы они указывали на другой сервер, поскольку роль DNS будет удалена.

Установите флажок «Продолжить удаление» и нажмите «Далее»

Шаг 7 . Если у вас есть делегирование DNS, вы можете выбрать «Удалить делегирование DNS и нажать «Далее». В большинстве случаев у вас не будет делегирования DNS, и вы можете снять этот флажок.

Шаг 8 . Теперь введите новый пароль администратора. Это будет для учетной записи локального администратора на этом сервере.

Шаг 9. Просмотрите параметры и нажмите «Понизить». Если у вас есть дополнительные контроллеры домена для удаления, вы можете использовать этот сценарий.

При нажатии на понижение сервер будет понижен и перезагружен. После перезагрузки сервер станет рядовым сервером. Вы можете войти на сервер с учетными данными домена.

Связанный: Как изменить IP-адрес контроллера домена

Дополнительные шаги очистки

По какой-то причине Microsoft решила не включать сайты и службы в процесс очистки. Возможно, он остался там на случай, если вы захотите снова повысить уровень сервера до контроллера домена. Если вы не собираетесь повышать уровень сервера до контроллера домена, выполните следующие действия.

  1. Откройте сайты и службы Active Directory и удалите сервер

Вы можете видеть выше, что сервер, который я только что понизил, все еще указан в списках сайтов и служб. Я просто нажму на него правой кнопкой мыши и удалю.

Вот и все для варианта 1. Вы можете зайти в папку «Контроллеры домена» и убедиться, что сервер удален. Также рекомендуется запустить dcdiag после удаления контроллера домена, чтобы убедиться, что в вашей среде нет серьезных ошибок.

Вам также может потребоваться проверить и протестировать репликацию. Вы можете использовать команду repadmin для проверки наличия проблем с репликацией.

Вариант 2. Удаление контроллера домена вручную

Используйте этот вариант, если сервер не работает, отключен или вы просто не можете получить к нему доступ. На самом деле всего 1 шаг.

Шаг 1 . На другом контроллере домена или компьютере с инструментами RSAT откройте «Active Directory Users and Computers»

Перейдите в папку «Контроллеры домена». Щелкните правой кнопкой мыши контроллер домена, который вы хотите удалить, и нажмите «Удалить».

На следующем экране установите флажок «Все равно удалить этот контроллер домена» и нажмите «Удалить».

Если контроллер домена является сервером глобального каталога, вы получите дополнительное сообщение для подтверждения удаления. Я нажму Да.

Вот и все. Легко ху?

Последним шагом будет удаление сервера из Сайтов и служб, как я показал вам в варианте 1.

Как я упоминал в начале этой статьи, начиная с сервера 2008, очистка метаданных выполняется автоматически с обоими вариантами. Большинство практических руководств скажут вам открыть командную строку и запустить ntdsutil для очистки метаданных. Это не требуется, если операционная система вашего сервера 2008 или выше.

Кажется, проще вручную удалить контроллер домена, чем использовать мастер диспетчера серверов. Технически я не уверен, в чем разница, но Microsoft рекомендует использовать мастер удаления, если вы можете. Используйте ручной метод в качестве последнего варианта.

Резюме

В этом руководстве я показал вам два метода удаления контроллера домена. Microsoft упростила этот процесс, автоматически очищая метаданные, начиная с сервера 2008. Поскольку сети и системы постоянно меняются, может наступить время, когда вам потребуется удалить контроллер домена. Я предоставил несколько ссылок Microsoft ниже, если вы хотите узнать больше об этой теме.

Источники

  • Понижение роли контроллеров домена и доменов
  • Очистка метаданных сервера контроллера домена Active Directory
  • Мой более чем 15-летний опыт работы с Active Directory
  • Работа со средами AD средних и крупных клиентов
  • Тестирование в моей лаборатории Active Directory.

Рекомендуемый инструмент: Анализатор разрешений для Active Directory

Этот БЕСПЛАТНЫЙ инструмент позволяет мгновенно просматривать разрешения пользователей и групп и позволяет быстро проверять разрешения пользователей или групп для файлов, сетевых ресурсов и папок.

Вы можете анализировать разрешения пользователей на основе членства отдельного пользователя или группы.

Это бесплатный инструмент, загрузите свою копию здесь.

Как удалить контроллер домена, который больше не существует

Как удалить контроллер домена, который больше не существует

Управление учетными записями » Инструкции по Active Directory

Как удалить контроллер домена, который больше не существует?

Неполное добавление или удаление контроллера домена может привести к несогласованности данных из-за наличия контроллера домена, который существует, но не полностью функционален. Это мешает другим процессам и требуется полная очистка. Следующие шаги описывают, как очистить метаданные.

  1. В командной строке введите ntdsutil и нажмите Enter.
    C:\WINDOWS→ntdsutil
    В окне командной строки отображается следующее приглашение:
    ntdsutil:
  2. В приглашении Ntdsutil: введите очистка метаданных
    ntdsutil: очистка метаданных
    Когда вы закончите с этим, приглашение очистки метаданных будет выглядеть следующим образом:
    очистка метаданных:
  3. В ответ на приглашение «Очистка метаданных:» введите подключения и нажмите Enter.

    очистка метаданных: соединения
    Теперь включен режим подключения к серверу, как указано ниже:
    подключения к серверу:

  4. В «подключениях к серверу:» введите:
    подключиться к серверу <имя_сервера→

    Здесь В этом случае считайте имя сервера server100. Вы увидите следующую запись.
    подключения к серверу: подключение к серверу server100
    Привязка к server100 …
    Подключение к server100 с использованием учетных данных локально вошедшего в систему пользователя.

  5. Введите ‘q’ в соединениях с сервером, чтобы выйти, и нажмите Enter, чтобы вернуться к запросу очистки метаданных.
    подключения к серверу: q
    очистка метаданных:
  6. В очистке метаданных введите выберите цель операции и нажмите Enter.
    очистка метаданных: выберите целевую операцию
    Теперь появится режим выбора целевого объекта операции.
    выбрать цель операции:
  7. Введите список доменов и нажмите Enter.
    выберите цель операции: список доменов
    В этом списке перечислены все домены в лесу с номером, связанным с каждым.
    Найдено 1 домен(а)
    0 — DC=dorg,DC=net
  8. Введите select domain <номер→, где <номер→ соответствует домену, в котором находился отказавший сервер. Нажмите Ввод.
    выберите цель операции: выберите домен 0
    Мы указываем здесь число как 0, так как предыдущая подсказка дала нам знать, что 0 — это номер, присвоенный домену «dorg.net». Далее вы увидите:
    Нет текущего сайта
    Домен — DC=dorg,DC=net
    Нет текущего сервера
    Нет текущего контекста именования
  9. Введите список сайтов и нажмите Enter.
    выберите цель операции: Список сайтов
    Сайты, принадлежащие этому домену, перечислены ниже:
    Найдено 1 сайт(а)
    0-CN=Имя первого сайта по умолчанию,CN=Сайты,CN=Конфигурация,DC= дорг,DC=net
  10. Введите select site <номер→, где <номер→ относится к номеру сайта, членом которого был контроллер домена. Нажмите Ввод.
    выберите цель операции: выберите сайт 0
    Мы указываем здесь число как 0, так как предыдущая подсказка дала нам знать, что 0 — это номер, присвоенный доступному сайту. Далее вы увидите:
    Site-CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=dorg,zC=net
    Домен — DC=dorg,DC=net
    Нет текущего сервера
    Нет текущего Контекст именования
  11. Введите список серверов на сайте и нажмите Enter.
    выберите цель операции: список серверов на сайте
    Это перечислит все серверы на этом сайте с соответствующим номером.
    Найдено 2 сервера(ов)
    0-CN=SERVER200,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=dorg,DC=net
    1-CN=SERVER100, CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=dorg,DC=net
  12. Введите select server <номер→ и нажмите Enter, где <номер→ относится к удаляемому контроллеру домена.
    выберите цель операции: выберите сервер 0
    Число равно 0, так как мы хотим убрать server200. Вы сможете просмотреть:

    Site-CN=First-Site-Name по умолчанию,CN=Sites,CN=Configuration,DC=dorg,DC=net Домен — DC=dorg,DC=net
    Server-CN=SERVER200,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=dorg,DC=net
    DSA-object-CN=NTDSSettings,CN=SERVER200,CN =Серверы, CN=First-Site-Name по умолчанию,CN=Sites,CN=Configuration,DC=dorg, DC=net DNS-имя хоста — server200.dorg.net
    Объект-компьютер-CN=SERVER200,OU=Контроллеры домена, DC=дорг,DC=net

  13. Введите ‘q’ для выхода и нажмите Enter. Появится меню очистки метаданных.
    выбрать цель операции: q
    очистка метаданных:
  14. Введите «удалить выбранный сервер» и нажмите Enter. Вы получите предупреждающее сообщение. Прочтите его и, если согласны, нажмите Да.

    очистка метаданных: удалить выбранный сервер
    «CN=SERVER200,CN=Servers,CN=Default-First-Site-Name,
    CN=Sites,CN=Configuration,DC=dorg,DC=net» удален с сервера «server100»

  15. Введите quit и нажимайте Enter, пока не вернетесь в командную строку, чтобы удалить объект сервера, на котором произошел сбой, с сайтов.
  16. В Active Directory Users and Computers разверните контейнер контроллеров домена. Удалите объект компьютера, связанный с неисправным контроллером домена.
  17. Windows Server 2003 AD может отображать окно нового типа с вопросом, хотите ли вы удалить объект сервера без выполнения операции DCPROMO. Выберите «Этот контроллер домена постоянно находится в автономном режиме…» и нажмите кнопку «Удалить».

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *