Разное

Как вывести из домена контроллер домена: Вы заблудились на сайте компьютерного мастера

Содержание

Понижение уровня контроллеров домена и доменов (уровень 200)

  • Статья
  • Чтение занимает 7 мин

Область применения: Windows Server 2022, Windows Server 2019, Windows Server

В этом разделе описывается, как удалить доменные службы Active Directory с помощью диспетчера сервера или Windows PowerShell.

Внимание!

Удаление ролей доменных служб Active Directory с помощью программы Dism.exe или модуля Windows PowerShell DISM после повышения роли до контроллера домена не поддерживается и приводит к тому, что сервер перестает загружаться нормально.

В отличие от диспетчера сервера или модуля ADDSDeployment для Windows PowerShell, DISM — это собственная система обслуживания, которая не распознает доменные службы Active Directory или их конфигурацию.

Не используйте программу Dism.exe или модуль Windows PowerShell DISM для удаления роли доменных служб Active Directory, если сервер все еще является контроллером домена.

Понижение и удаление ролей с помощью PowerShell

Командлеты ADDSDeployment и ServerManagerАргументы (требуются полужирные аргументы. Курсивные аргументы можно указать с помощью Windows PowerShell или мастера настройки AD DS.)
Uninstall-ADDSDomainController-SkipPreChecks

-LocalAdministratorPassword

-Confirm

-Credential

-DemoteOperationMasterRole

-DNSDelegationRemovalCredential

-Force

-ForceRemoval

-IgnoreLastDCInDomainMismatch

-IgnoreLastDNSServerForZone

-LastDomainControllerInDomain

-Norebootoncompletion

-RemoveApplicationPartitions

-RemoveDNSDelegation

-RetainDCMetadata

Uninstall-WindowsFeature/Remove-WindowsFeature-Name

-IncludeManagementTools

-Restart

-Remove

-Force

-ComputerName

-Credential

-LogPath

-Vhd

Примечание

Аргумент -credential требуется только в том случае, если вы еще не выполнили вход в качестве члена группы «Администраторы предприятия» (при понижении роли последнего контроллера домена в домене) или группы «Администраторы домена» (при понижении роли реплики контроллера домена). Аргумент -includemanagementtools необходим, только если вы хотите удалить все служебные программы управления доменными службами Active Directory.

Понижение

Удалить роли и компоненты

В диспетчере сервера имеется два интерфейса для удаления роли доменных служб Active Directory.

  • В меню Управление на главной информационной панели выберите пункт Удалить роли и компоненты

  • На панели навигации выберите пункт AD DS или Все серверы. Перейдите вниз к разделу Роли и компоненты. В списке Роли и компоненты щелкните правой кнопкой мыши Доменные службы Active Directory и выберите команду Удалить роль или компонент. В этом интерфейсе пропускается страница Выбор сервера.

Командлеты ServerManager Uninstall-WindowsFeature и Remove-WindowsFeature не позволят удалить роль AD DS до понижения уровня контроллера домена.

Выбор сервера

В диалоговом окне Выбор сервера можно выбрать один из серверов, ранее добавленных в пул, если он доступен. Локальный сервер, на котором запущен диспетчер сервера, доступен всегда.

«Роли сервера» и «Компоненты»

Чтобы понизить роль контроллера домена, снимите флажок Доменные службы Active Directory. Если сервер в настоящее время является контроллером домена, роль доменных служб Active Directory не удаляется, а открывается диалоговое окно Результаты проверки с предложением понизить роль. В противном случае удаляются двоичные файлы, как и любая другая функция роли.

  • Не удаляйте другие роли или компоненты, связанные с доменными службами Active Directory, такие как DNS, консоль управления групповыми политиками или средства удаленного администрирования сервера, если вы планируете немедленно повысить роль контроллера домена снова. Удаление дополнительных ролей и компонентов увеличивает время, необходимое для повторного повышения роли, так как диспетчер сервера повторно устанавливает их при переустановке роли.

  • Если вы планируете понизить роль контроллера домена навсегда, удалите ненужные роли и компоненты доменных служб Active Directory по собственному усмотрению. Для этого необходимо снять флажки, соответствующие этим ролям и компонентам.

    Вот полный список ролей и компонентов, связанных с доменными службами Active Directory:

    • Модуль Active Directory для Windows PowerShell
    • Средства AD DS и AD LDS
    • Центр администрирования Active Directory
    • Оснастки и программы командной строки AD DS
    • DNS-сервер
    • Консоль управления групповыми политиками

Эквивалентные командлеты модулей ADDSDeployment и ServerManager Windows PowerShell:

Uninstall-addsdomaincontroller
Uninstall-windowsfeature

Учетные данные

Параметры понижения уровня настраиваются на странице Учетные данные. Учетные данные, необходимые для понижения уровня, представлены в следующем списке:

  • Для понижения уровня дополнительного контроллера домена требуются учетные данные администратора домена. При выборе принудительного удаления этого контроллера домена контроллер домена понижает контроллер домена, не удаляя метаданные объекта контроллера домена из Active Directory.

    Предупреждение

    Этот параметр следует выбрать, только если контроллер домена не может установить связь с другими контроллерами домена и нет другого способа разрешить эту сетевую проблему. Принудительное понижение уровня оставляет потерянные метаданные в Active Directory на оставшихся контроллерах домена леса. Помимо этого, все нереплицированные изменения на этом контроллере домена, например пароли и новые учетные записи пользователей, навсегда теряются. Потерянные метаданные — это основная причина обращения в службу поддержки пользователей Майкрософт по поводу AD DS, Exchange, SQL и другого программного обеспечения.

    При принудительном понижении уровня контроллера домена необходимо немедленно почистить метаданные вручную. Этапы очистки см. в разделе Очистка метаданных сервера.

  • Для понижения уровня последнего контроллера домена требуется членство в группе администраторов предприятия, так как при этом удаляется сам домен (если это последний домен леса, при этом удаляется лес). Диспетчер сервера сообщает, является ли текущий контроллер последним контроллером в домене. Для подтверждения того, что контроллер является последним в домене, необходимо установить флажок Последний контроллер домена в домене.

Эквивалентные аргументы Windows PowerShell ADDSDeployment:

-credential <pscredential>
-forceremoval <{ $true | false }>
-lastdomaincontrollerindomain <{ $true | false }>

Предупреждения

Страница Предупреждения информирует о возможных последствиях удаления контроллера домена. Чтобы продолжить, необходимо установить флажок Продолжить удаление.

Предупреждение

Если ранее на странице Учетные данные вы выбрали параметр Принудительно удалить контроллер домена, на странице Предупреждения будут показаны все роли FSMO, размещенные в этом контроллере домена. Необходимо захватить роли с другого контроллера домена сразу после понижения роли этого сервера. Дополнительные сведения о захвате ролей FSMO см. в разделе Захват роли хозяина операций.

У этой страницы нет эквивалентного аргумента в модуле Windows PowerShell ADDSDeployment.

Параметры удаления

Страница Параметры удаления выводится или не выводится в зависимости от того, был ли выбран параметр Последний контроллер домена в домене на странице Учетные данные. На ней можно настроить дополнительные параметры удаления. Выберите «Игнорировать последний DNS-сервер для зоны«, «Удалить секции приложений» и «Удалить делегирование DNS «, чтобы включить кнопку «Далее «.

Параметры выводятся, только если они применимы к этому контроллеру домена. Например, если делегирование DNS для сервера не используется, соответствующий флажок отображаться не будет.

Чтобы указать альтернативные учетные данные администратора DNS, нажмите кнопку Изменить

. Чтобы просмотреть дополнительные разделы, которые мастер удалит во время понижения роли, нажмите кнопку Просмотр разделов. По умолчанию единственными дополнительными разделами являются зоны DNS-домена и DNS-леса. Все остальные разделы не относятся к Windows.

Эквивалентные аргументы командлета ADDSDeployment:

-ignorelastdnsserverforzone <{ $true | false }>
-removeapplicationpartitions <{ $true | false }>
-removednsdelegation <{ $true | false }>
-dnsdelegationremovalcredential <pscredential>

Новый пароль администратора

На странице «Новый пароль администратора» необходимо указать пароль для встроенной учетной записи администратора локального компьютера, после завершения понижения уровня, и компьютер становится сервером-членом домена или компьютером рабочей группы.

Если аргументы командлета Uninstall-ADDSDomainController не заданы, они имеют те же значения по умолчанию, что и параметры в диспетчере сервера.

Аргумент LocalAdministratorPassword действует особым образом.

  • Если этот аргумент не указан, командлет предлагает ввести и подтвердить скрытый пароль. Это предпочтительный вариант использования при интерактивном выполнении командлета.
  • Если аргумент указан со значением, это значение должно быть защищенной строкой. Это не является предпочтительным вариантом использования при интерактивном выполнении командлета.

Например, можно вручную запрашивать пароль с помощью командлета Read-Host , чтобы запрашивать у пользователя безопасную строку.

-localadministratorpassword (read-host -prompt "Password:" -assecurestring)

Предупреждение

Так как предыдущие два варианта не подтверждают пароль, используйте крайнюю осторожность: пароль не отображается.

Можно также ввести защищенную строку в качестве переменной с преобразованным открытым текстом, хотя использовать такой вариант настоятельно не рекомендуется.

Пример:

-localadministratorpassword (convertto-securestring "Password1" -asplaintext -force)

Предупреждение

Ввод или хранение пароля в виде открытого текста не рекомендуется. Любой пользователь, выполняющий эту команду в сценарии или заглядывающий через ваше плечо, сможет узнать пароль локального администратора этого компьютера. Зная пароль, он получит доступ ко всем данным на нем и сможет персонифицировать сам сервер.

Подтверждение

На странице Подтверждение приводится описание запланированного понижения роли. Список параметров конфигурации понижения роли не отображается. Это последняя страница мастера, отображаемая перед тем, как начнется понижение роли. При нажатии на кнопку «Просмотреть сценарий» создается сценарий понижения роли Windows PowerShell.

Нажмите кнопку Понизить уровень, чтобы выполнить следующий командлет ADDSDeployment:

Uninstall-ADDSDomainController

Для просмотра информации о конфигурации используйте необязательный аргумент Whatif с командлетом Uninstall-ADDSDomainController. Это позволит просмотреть явные и неявные значения аргументов командлета.

Пример:

Запрос на перезагрузку — это последняя возможность отменить эту операцию при использовании модуля Windows PowerShell ADDSDeployment. Чтобы подавить этот запрос, используйте аргумент -force или confirm:$false.

Понижение уровня

Когда появляется страница Понижение уровня, это означает, что настройка контроллера домена началась и ее нельзя остановить или отменить. Подробная информация об операциях выводится на этой странице и записывается в следующие журналы:

  • %systemroot%\debug\dcpromo.log
  • %systemroot%\debug\dcpromoui.log

Так как Uninstall-ADDSDomainController и Uninstall-WindowsFeature имеют только одно действие за штуку, они отображаются здесь на этапе подтверждения с минимальными необходимыми аргументами. При нажатии на клавишу ВВОД запускается процесс понижения роли, после чего компьютер перезапускается.

Чтобы автоматически закрывать напоминание о перезагрузке, используйте аргументы -force или -confirm:$false с любым командлетом Windows PowerShell ADDSDeployment. Чтобы предотвратить автоматическую перезагрузку сервера по завершении повышения роли, используйте аргумент -norebootoncompletion:$false.

Предупреждение

Отключать перезагрузку не рекомендуется. Для правильной работы рядовой сервер должен перезагрузиться.

Ниже приводится пример принудительного понижения с минимальным набором обязательных аргументов -forceremoval и -demoteoperationmasterrole. Аргумент -credential не требуется, поскольку пользователь выполнил вход как член группы администраторов предприятия:

Ниже приведен пример удаления последнего контроллера домена в домене с минимальным набором обязательных аргументов -lastdomaincontrollerindomain и -removeapplicationpartitions:

Если вы пытаетесь удалить роль AD DS перед понижением сервера, Windows PowerShell блокирует ошибку:

Важно!

Чтобы получить возможность удалить двоичные файлы роли доменных служб Active Directory, необходимо перезапустить компьютер после понижения роли сервера.

Результаты

На странице Результаты показано, успешно ли было выполнено повышение роли, а также приводится важная для администраторов информация. Контроллер домена автоматически перезагрузится через 10 секунд.

Active Directory Удаление контроллера домена и потерянного DC — Погодин Евгений

Ручное удаление контроллера домена и потерянного домена

Если случилась ситуация, что контроллер домена сдох и нет возможности его удалить корректно с использованием DCPROMO, то на помощь приходит утилита NTDSUTIL.

1. Сначала удаляем контроллер домена

2. Если контроллер домена был последним в дочернем домене, то удаляем сам дочерний «потерянный» домен.

Этап №1. Удаление контроллера

  1. В командной строке введите ntdsutil и нажмите клавишу ВВОД.
  2. Введите metadata cleanup и нажмите клавишу ВВОД. Можно, кстати, сокращать команды,например, meta cl
  3. Введите команду connections и нажмите клавишу ВВОД. Это меню предназначено для подключения к серверу, на котором происходят изменения. Если текущий пользователь не обладает правами администратора, перед подключением следует указать другую учетную запись. Для этого введите команду set creds имя_доменаимя_пользователяПароль и нажмите клавишу ВВОД. В случае использования пустого пароля введите null.
  4. Введите команду connect to server имя_сервера и нажмите клавишу ВВОД. Появится сообщение о подключении к серверу. При возникновении ошибки убедитесь, что доступен контроллер домена, который используется для подключения, а текущая учетная запись обладает правами администратора на сервере. Сервер, к которому вы подключаетесь должен быть рабочим контроллером домена, а не тот который вы удаляете. Это может быть контроллер домена родительского домена, например, если вы удаляете дочерний.
    1. Примечание. Если выполняется подключение к удаляемому серверу, то при попытке его удаления (действие 15) может появиться следующее сообщение об ошибке:
      1. Ошибка 2094. Невозможно удалить объект DSA0x2094
  5. Введите команду quit и нажмите клавишу ВВОД. Появится меню Metadata Cleanup.
  6. Введите команду select operation target и нажмите клавишу ВВОД.
  7. Введите команду list domains и нажмите клавишу ВВОД. Появится список доменов леса с номерами.
  8. Введите команду select domain номер и нажмите клавишу ВВОД, где номер – номер домена, которому принадлежит удаляемый сервер. Выбранный домен используется для проверки того, является ли удаляемый сервер последним контроллером в этом домене.
  9. Введите команду list sites и нажмите клавишу ВВОД. Появится список узлов с номерами.
  10. Введите команду select site номер и нажмите клавишу ВВОД, где номер – номер узла, которому принадлежит удаляемый сервер. Появится подтверждение выбранного домена и узла.
  11. Введите команду list servers in site и нажмите клавишу ВВОД. Появится список серверов узла с номерами.
  12. Введите команду select server номер, где номер – номер удаляемого сервера. Появится подтверждение, которое содержит имя выбранного сервера, его DNS-имя и местонахождение учетной записи.
  13. Введите команду quit и нажмите клавишу ВВОД. Появится меню Metadata Cleanup.
  14. Введите команду remove selected server и нажмите клавишу ВВОД. Должно появиться сообщение об успешном удалении сервера. Появление следующего сообщения об ошибке свидетельствует о том, что объект NTDS Settings был удален из Active Directory ранее другим администратором или в результате репликации успешного удаления объекта после запуска программы DCPROMO.
  15. Введите в каждом меню команду quit и нажмите клавишу ВВОД, чтобы завершить работу с программой Ntdsutil.

Теперь надо почистить DNS. Для этого удалите записи ссылающиеся на удалённый контроллер домена:

_ldap. _tcp.dc._msdcs.domain-name.com _kerberos._tcp.dc._msdcs.domain-name.com _ldap._tcp.._sites.dc._msdcs.domain-name.com _kerberos._tcp.._sites.dc._msdcs.domain-name.com

где domain-name.com домен, который содержит удаляемый контроллер.

Теперь удалим объект в FRS.

  • Откройте оснастку Active Directory Users and Computers (DSA.MSC) и выберите Advanced Features в меню View.
  • Раскройте корневой домен, зайдите в раздел System, далее File Replication Service и Domain System Volume (SYSVOL share)
  • Выделите удаляемый контроллер домена, правым щелчком выберите Delete.

Проверим объект в Active Directory Users and Computers в разделе Domain Controllers.

Если удалённый контроллер там присутствует, то удалите его правым щелчком.

Если появляется ошибка, то воспользуйтесь командой

dsrm «cn=dc-01,ou=domain controllers,dc=domain-name,dc=com»

где вместо dc-01 подставьте ваш удаляемый контроллер, а вместо dc=domain-name,dc=com свой домен.

Если вы удалили не последний контроллер в домене, то не забудьте передать FSMO роли этого удалённого контроллера другим оставшимся контроллерам. http://support.microsoft.com/kb/255504

Если вы удалили последний контроллер в дочернем домене, то, вероятно, у вас есть необходимость удалить сам дочерний домен. Переходите ко второму этапу.

Этап №2. Удаление потерянного (orphaned) домена, т.е. домена не содержащего контроллеров.

  1. В командной строке введите ntdsutil и нажмите клавишу ВВОД.
  2. Введите metadata cleanup и нажмите клавишу ВВОД. Можно, кстати, сокращать команды,например, meta cl
  3. Введите команду connections и нажмите клавишу ВВОД. Это меню предназначено для подключения к серверу, на котором происходят изменения. Если текущий пользователь не обладает правами администратора, перед подключением следует указать другую учетную запись. Для этого введите команду set creds имя_доменаимя_пользователяПароль и нажмите клавишу ВВОД. В случае использования пустого пароля введите null.
  4. Введите команду connect to server имя_сервера с ролью мастера именования доменов и нажмите клавишу ВВОД. Появится сообщение о подключении к серверу. При возникновении ошибки убедитесь, что доступен контроллер домена, который используется для подключения, а текущая учетная запись обладает правами администратора на сервере. Сервер, к которому вы подключаетесь должен быть рабочим контроллером домена, а не тот который вы удаляете. Это может быть контроллер домена родительского домена, например, если вы удаляете дочерний.
    1. Примечание. Если выполняется подключение к удаляемому серверу, то при попытке его удаления (действие 15) может появиться следующее сообщение об ошибке:
      1. Ошибка 2094. Невозможно удалить объект DSA0x2094
  5. Введите команду quit и нажмите клавишу ВВОД. Появится меню Metadata Cleanup.
  6. Введите команду select operation target и нажмите клавишу ВВОД.
  7. Введите команду list domains и нажмите клавишу ВВОД. Появится список доменов леса с номерами.
  8. Введите команду select domain номер и нажмите клавишу ВВОД, где номер – номер домена, который вы хотите удалить.
  9. Введите команду quit и нажмите клавишу ВВОД. Появится меню Metadata Cleanup.
  10. Введите команду remove selected domain и нажмите клавишу ВВОД.
  11. Введите в каждом меню команду quit и нажмите клавишу ВВОД, чтобы завершить работу с программой Ntdsutil.

Если у вас появилась ошибка

DsRemoveDsDomainW error 0x2015 The directory service can perform the requested operation only on a leaf object

То сначала нужно почистить дочерние записи в этом домене. Для этого делаем следующее:

  1. В командной строке введите ntdsutil и нажмите клавишу ВВОД.
  2. Введите domain management или partition management (зависит от версии ОС) и нажмите клавишу ВВОД. Можно сокращать,например, part man
  3. Введите команду connections и нажмите клавишу ВВОД.
  4. Введите команду connect to server имя_сервера с ролью мастера именования доменов и нажмите клавишу ВВОД.
  5. Введите команду quit и нажмите клавишу ВВОД. Появится меню domain management или partition management.
  6. Введите команду list и нажмите клавишу ВВОД. Появится список именных контекстов (NCs).

Например,

«Found 7 Naming Context(s)

0 — CN=Configuration,DC=savilltech,DC=com

1 — DC=savilltech,DC=com

2 — CN=Schema,CN=Configuration,DC=savilltech,DC=com

3 — DC=DomainDnsZones,DC=savilltech,DC=com

4 — DC=ForestDnsZones,DC=savilltech,DC=com

5 — DC=child1,DC=savilltech,DC=com

6 — DC=DomainDnsZones,DC=child1,DC=savilltech,DC=com»

Если мы пытались удалить домен 5 — DC=child1,DC=savilltech,DC=com, то у нас это не получилось, так как он содержит дочернюю запись 6 — DC=DomainDnsZones,DC=child1,DC=savilltech,DC=com.

Следовательно сейчас нам надо удалить все дочерние объекты данного домена. В данном примере нужно выполнить следующее:

7. domain management: delete NC DC=DomainDnsZones,DC=child1,DC=savilltech,dc=com

Появится что-то типа этого

«The operation was successful. The partition has been marked for removal from the enterprise. It will be removed over time in the background».

8. Введите в каждом меню команду quit и нажмите клавишу ВВОД, чтобы завершить работу с программой Ntdsutil.

Теперь можно снова повторить удаление потерянного домена на этапе №2.

Теперь тщательно проверьте DNS на наличие записей об удаленном контроллере домена и удаленном домене. Их нужно так же зачистить.

Так же в оснастке Active Directory Sites and Services проверьте не остались ли связанные с удалённым доменом сайты и серверы. Их тоже нужно почистить правым щелчком мыши.

Удаление контроллера домена из Active Directory » Alukashin.

ru

Автор admin На чтение 6 мин Просмотров 232 Опубликовано

Вам нужно понизить роль контроллера домена на Windows Server 2012,2016,2019,2022?
Ваш контроллер домена мертв, и вы хотите удалить его вручную?
Без проблем.

В этом руководстве я рассмотрю два варианта удаления контроллера домена. Если у вас все еще есть доступ к серверу, то вариант 1 является предпочтительным выбором.

  • Вариант 1. Понизьте роль контроллера домена с помощью диспетчера серверов .
    Используйте этот вариант, если у вас все еще есть доступ к серверу.
  • Вариант 2. Удаление контроллера домена вручную
    Используйте эту опцию, если сервер мертв или у вас больше нет к нему доступа.

В обоих примерах я буду использовать сервер Windows Server 2022, но эти шаги будут работать для Server 2012,2016, и выше.

Совет №1 . Начиная с Server 2008, метаданные контроллера домена очищаются автоматически. Сервер Windows Server 2003 или более ранней версии потребует использования команды ntdsutil для очистки метаданных. При этом вам все равно нужно вручную удалить сервер с сайтов и служб.

Совет № 2 Перед выключением сервера убедитесь, что на сервере не запущены другие службы (например, DNS или DHCP). Если вы можете избежать этого, вы можете избавить себя от большой головной боли.

Совет № 3. Если на удаляемом контроллере домена настроены роли FSMO, они будут автоматически перенесены на другой контроллер домена Вы можете проверить это с помощью команды в CMD netdom query FSMO.

Содержание

  1. Вариант 1. Понизьте роль контроллера домена с помощью диспетчера серверов.
  2. Дополнительные шаги очистки
  3. Вариант 2.Удаление контроллера домена вручную
  4. Резюме

Вариант 1.

Понизьте роль контроллера домена с помощью диспетчера серверов.

Это рекомендуемый Microsoft метод удаления контроллера домена.

Шаг 1. Откройте диспетчер серверов

Шаг 2. Выберите «Удаленные роли и функции» .

Нажмите «Далее» на странице «Перед началом»

Шаг 3 . На странице выбора сервера выберите сервер, который хотите понизить, и нажмите кнопку «Далее».

В этом примере я понижаю уровень сервера «DC2.adlukashin.loc».

Шаг 4 . Снимите флажок «Доменные службы Active Directory» на странице «Роли сервера».

Когда вы снимите флажок, вы получите всплывающее окно для удаления функций, требующих доменных служб Active Directory.

Если вы планируете использовать сервер для управления Active Directory(RSAT), оставьте их установленными. 
В этом примере я планирую вывести сервер из эксплуатации, поэтому я удалю эти инструменты управления.

Шаг 5 . Выберите Понизить уровень этого контроллера домена. (Demote this domain controller)

На следующем экране убедитесь, что вы НЕ выбираете «Принудительное удаление этого контроллера домена». (Force the removal of this domain controller)
Этот параметр следует выбрать, только если контроллер домена не может установить связь с другими контроллерами домена и нет другого способа разрешить эту сетевую проблему. Принудительное понижение уровня оставляет потерянные метаданные в Active Directory на оставшихся контроллерах домена леса. Помимо этого, все нереплицированные изменения на этом контроллере домена, например пароли и новые учетные записи пользователей, навсегда теряются.

Вы также можете изменить учетные данные на этом экране, если это необходимо.

Нажмите кнопку «Next

Шаг 6 . На экране предупреждений появится предупреждение, что на этом сервере размещены дополнительные роли. Если у вас есть клиентские компьютеры, использующие этот сервер для DNS, вам потребуется обновить их, чтобы они указывали на другой сервер, поскольку роль DNS будет удалена.

Установите флажок « Proceed with removal» и нажмите «Далее».

Шаг 7 . Если у вас есть делегирование DNS, вы можете выбрать «Удалить делегирование DNS и нажать «Далее». В большинстве случаев у вас не будет делегирования DNS, и вы можете снять этот флажок.
Шаг 8 . Теперь введите новый пароль администратора. Это будет для учетной записи локального администратора на этом сервере.

Шаг 9. Просмотрите параметры и нажмите «Понизить» .

При нажатии на понижение сервер будет понижен и перезагружен. После перезагрузки сервер станет рядовым сервером. Вы можете войти на сервер с учетными данными домена.

Также оснастка может выдать ошибку. Тут получается два варианта.
1)Либо мы устраняем проблему и идем по шагам и корректно удаляем.
2)Либо в шаге 5 мы выбираем Force the removal of this domain controller

Если посмотреть на соседнем контроллере домена , то видно что контроллера DC2 уже нет в списке.

Дополнительные шаги очистки

По какой-то причине Microsoft решила не включать сайты и сервисы в процесс очистки. Возможно, он остался там на случай, если вы захотите снова повысить роль сервера до контроллера домена. Если вы не собираетесь повышать уровень сервера до контроллера домена, выполните следующие действия.

  1. Откройте сайты и службы Active Directory и удалите сервер.

Вы можете видеть выше, что сервер, который я только что понизил, все еще указан в списках сайтов и служб. Я просто щелкну по нему правой кнопкой мыши и удалю.

Вот и все для варианта 1. Вы можете зайти в папку «Контроллеры домена» и убедиться, что сервер удален. Также рекомендуется запустить dcdiag после удаления контроллера домена, чтобы убедиться, что в вашей среде нет серьезных ошибок.

Вам также может потребоваться просмотреть и протестировать репликацию. Вы можете использовать команду repadmin для проверки наличия проблем с репликацией.

Вариант 2.Удаление контроллера домена вручную

Используйте эту опцию, если сервер мертв, отключен или вы просто не можете получить к нему доступ.  На самом деле всего 1 шаг.

Шаг 1 . На другом контроллере домена или компьютере с инструментами RSAT откройте «Active Directory — пользователи и компьютеры».

Перейдите в папку «Контроллеры домена». Щелкните правой кнопкой мыши контроллер домена, который вы хотите удалить, и нажмите «Удалить».

На следующем экране установите флажок «Все равно удалить этот контроллер домена» и нажмите «Удалить».

Если контроллер домена является сервером глобального каталога, вы получите дополнительное сообщение для подтверждения удаления. Я нажму Да.

Вот и все.

Последним шагом будет удаление сервера из Сайтов и служб, как я показал вам в варианте 1.

Как я упоминал в начале этой статьи, начиная с сервера 2008, очистка метаданных выполняется автоматически в обоих вариантах. Большинство практических руководств скажут вам открыть командную строку и запустить ntdsutil для очистки метаданных. В этом нет необходимости, если ваша серверная операционная система 2008 или выше.

Кажется, проще вручную удалить контроллер домена, чем использовать мастер диспетчера серверов. Технически я не уверен, в чем разница, но Microsoft рекомендует использовать мастер удаления, если вы можете. Используйте ручной метод в качестве последнего варианта.

Резюме

В этом руководстве я показал вам два метода удаления контроллера домена. Microsoft сделала этот процесс очень простым, автоматически очищая метаданные, начиная с сервера 2008. Поскольку сети и системы постоянно меняются, может наступить время, когда вам нужно удалить контроллер домена.

Как понизить роль контроллера домена: пошаговое руководство

Вы системный администратор Windows и ищете, как понизить роль контроллера домена в Active Directory? Вы попали в нужное место. Существует множество причин для понижения роли контроллера домена. Например, если сервер должен быть членом автономного сервера или его необходимо перенести в другой домен, сначала необходимо выполнить понижение роли контроллера домена. Этого можно добиться, просто обратившись к мастеру установки Active Directory, или иногда требуется понижение роли вручную. В этой статье объясняется пошаговое руководство по понижению роли контроллера домена.

Меры предосторожности

  1. Для аутентификации при входе в систему вам потребуется глобальный каталог. Если локальный сервер является сервером глобального каталога, убедитесь, что у вас есть копия каталога Golbal, иначе аутентификация при входе не удастся.
  2. Никогда не используйте модуль обслуживания образов развертывания и управления ими или исполняемую роль удаления AD DS, если сервер является контроллером домена. Выполнение понижения роли AD DS с помощью Dism.exe или эквивалентного ему модуля PowerShell повлияет на обычный процесс загрузки сервера.
  3. При очистке метаданных убедитесь, что «Защитить объект от случайного удаления» параметр для объекта «Компьютер» и объекта «Настройки NTDS», связанного с контроллером домена, выключен . Если его не отключить, вы получите сообщение «Отказано в доступе» . Чтобы исправить это, щелкните правой кнопкой мыши объект компьютера или объект настроек NTDS и выберите  «Свойства» . нажмите «Объект»  и снимите флажок «Защитить объект от случайного удаления» .

Способы понижения роли контроллера домена  

Понижение роли контроллера домена можно выполнить двумя способами.

  1. Использование диспетчера серверов
  2. Понижение вручную

Использование диспетчера серверов 

Этот вариант предпочтительнее, когда доступ к серверу еще есть. Именно этот вариант рекомендует Microsoft.

  1. Открыть Диспетчер серверов
  2. В строке меню разверните узел Управление. Выберите Удалить роли и функции 9.0013  и нажмите Далее .
  3. В мастере выберите сервер, который нужно понизить, нажмите Далее .
  4. В списке ролей снимите флажок «Доменные службы Active Directory» . Появится всплывающее окно с информацией о функциях , для которых требуются доменные службы Active Directory . Если вы хотите полностью вывести сервер из эксплуатации, снимите все флажки. Если вы хотите использовать сервер для управления AD, оставьте их отмеченными.
  5. В Результаты проверки  , щелкните гиперссылку  , чтобы понизить уровень этого контроллера домена.
  6. Откроется мастер настройки доменных служб Active Directory. Убедитесь, что « Принудительное удаление этого контроллера домена» равно UNCHECKED . Эта опция предназначена исключительно для удаления последнего сервера в домене. Если вы хотите изменить текущего пользователя, учетные данные можно изменить здесь. Нажмите Далее .
  7. Контроллер домена может выполнять дополнительные роли, такие как размещение DNS и глобального каталога. Следовательно, появится предупреждение. Направив клиентские компьютеры на другой сервер, можно безопасно проверить Приступить к удалению . Затем нажмите Далее .
  8. На странице Параметры удаления , если на вашем сервере включено делегирование DNS, отметьте «Удалить делегирование DNS» . Если на вашем сервере нет делегирования DNS, снимите флажок «Удалить делегирование DNS» .
  9. Для этого локального сервера требуется пароль нового администратора.
  10. Просмотрев параметры, нажмите  Понизить уровень .

Наконечник Pro : если вы нажмете кнопку «Просмотреть сценарий», будет создан сценарий PowerShell. Его можно использовать для автоматизации понижения роли, если в вашей Active Directory есть дополнительные контроллеры домена. Сервер будет понижен в должности и останется рядовым сервером. В него можно войти, используя учетные данные домена.

Понижение вручную 

Когда сервер недоступен, не работает или отключен, единственным вариантом является его понижение вручную.

  1. Войдите на любой контроллер домена или компьютер с установленными инструментами удаленного администрирования серверов (RSAT). Развернуть «Пользователи и компьютеры Active Directory» и перейдите в папку «Контроллеры домена». Справа щелкните правой кнопкой мыши контроллер домена, который хотите удалить, и выберите удалить .
  2. Откроется диалоговое окно Удаление контроллера домена . Установите флажок  «Все равно удалить этот контроллер домена». Он постоянно находится в автономном режиме и больше не может быть удален с помощью мастера удаления». и нажмите Удалить .

Очистка метаданных

После принудительного удаления контроллера домена или любых доменных служб Active Directory обычно требуется очистка метаданных. Это связано с тем, что метаданные представляют собой данные, которые идентифицируют сервер как контроллер домена для системы репликации. Таким образом, любые данные, указывающие DC на систему репликации, должны быть удалены. Выведенный из эксплуатации или выведенный из эксплуатации контроллер домена может также содержать данные службы репликации файлов (FRS) и распределенной файловой системы (DFS) или подключения к ролям Flexible Single Master Operations (FSMO). Процесс очистки гарантирует, что эти данные также будут удалены.

Очистка метаданных может быть выполнена:

  • С помощью инструментов графического интерфейса.
  • Использование командной строки.

Очистка метаданных с помощью инструментов графического интерфейса

Минимальным требованием для выполнения автоматической очистки пользователем является членство в группе администраторов домена . Windows Server 2008 или более поздние версии RSAT автоматически выполняют очистку метаданных. Средства удаленного администрирования сервера (RSAT), консоль пользователей и компьютеров AD (Dsa.msc) или консоль сайтов и служб AD (Dssite.msc) выполняют автоматическую очистку метаданных. Но при использовании Dssite.msc следует убедиться, что сначала удален объект NTDS Settings под учетной записью компьютера.

Очистка с помощью пользователей и компьютеров AD

  1. Развернуть Пользователи и компьютеры Active Directory . Если есть партнер по репликации, щелкните правой кнопкой мыши Active Directory Users and Computers, выберите Change Domain Controller и выберите контроллер домена, из которого следует удалить метаданные. Затем нажмите ОК.
  2. Перейдите в домен удаленного контроллера домена и щелкните папку Контроллеры домена .
  3. В области сведений с правой стороны удалите объект компьютера предполагаемого контроллера домена.
  4. Откроется диалоговое окно доменных служб Active Directory. Проверьте имя контроллера домена и нажмите  Да .
  5. Откроется диалоговое окно «Удаление контроллера домена». Проверьте Этот контроллер домена постоянно находится в автономном режиме и его нельзя понизить с помощью мастера установки доменных служб Active Directory (DCPROMO) , а затем нажмите Удалить . Если контроллер домена является сервером глобального каталога, откроется другое диалоговое окно. Подтвердите удаление и нажмите Да .
  6. Если контроллер домена содержит какую-либо роль FSMO, нажмите OK , чтобы перенести роли на указанный контроллер домена. Этот DC не может быть изменен во время этой процедуры. Любые необходимые изменения должны быть выполнены после очистки метаданных.

Очистка с помощью сайтов и служб AD

  1. Откройте сайты и службы Active Directory. Если есть партнер по репликации, щелкните правой кнопкой мыши сайты и службы Active Directory, выберите «Изменить контроллер домена» и выберите контроллер домена, из которого следует удалить метаданные. Затем нажмите ОК.
  2. Разверните сайт контроллера домена, затем Серверы, затем удаленный DC. Щелкните правой кнопкой мыши объект «Настройки NTDS» и нажмите «Удалить».
  3. Выполните те же шаги с 4 по 6, что и в разделе Очистка с помощью пользователей и компьютеров AD.

Очистка метаданных с помощью командной строки

Все серверы, на которых установлены службы AD Lightweight Directory Services (AD LDS) или RSAT, поставляются с инструментом командной строки — ntdsutil.exe. Чтобы очистить метаданные сервера с помощью вышеуказанного инструмента, выполните следующие действия.

  1. Откройте cmd от имени администратора.
  2. Введите ntdutil и нажмите Enter.
  3. Далее введите очистка метаданных и нажмите Enter.
  4. Теперь введите команду удалить выбранный сервер <имя вашего сервера здесь>  (замените здесь имя вашего сервера на имя вашего сервера).
  5. Нажмите  Да  после просмотра информации, чтобы выполнить очистку метаданных.
  6. Для подтверждения перейдите в консоль Active Directory Users and Computers и разверните вкладку/параметр/кнопку контроллера домена. В области сведений любой объект, связанный с контроллером домена, который вы удалили, должен НЕ  появляются. Сделайте то же самое для сайтов и служб Active Directory. Должен быть найден объект NTDS Settings NOT .

Примечание : Если под серверным объектом находится какой-либо дочерний объект, это означает, что приложение использует этот объект. В этом случае d o не удалять объект сервера.   Между методами понижения роли серверов нет различий. Но лучше оставить ручное понижение в качестве наименее приоритетного.

Понижение роли контроллера домена Windows Server 2016

В этом Ask the Admin я покажу вам, как понизить роль контроллера домена и удалить роль сервера доменных служб Active Directory.

 

 

Большинство системных администраторов Windows знают, как сделать сервер контроллером домена. В старых версиях Windows Server этого легко добиться, запустив dcpromo. В более новых версиях вы добавляете роль доменных служб Active Directory (ADDS) с помощью диспетчера серверов. После добавления роли диспетчер сервера предложит вам завершить процесс и откроет мастер, который проведет вас через установку контроллера домена.

Существует несколько способов понижения роли контроллера домена. Диспетчер серверов предлагает два способа добиться этого. Первый и, возможно, самый очевидный — использовать команду Удалить роли и функции в меню Управление . Если вы попытаетесь удалить роль сервера ADDS таким образом, мастер проведет вас через весь процесс удаления. Другой способ начать процесс — щелкнуть Local Server слева от диспетчера серверов, а затем прокрутить вниз до РОЛИ И ФУНКЦИИ справа. Затем щелкните правой кнопкой мыши Доменные службы Active Directory в списке ролей и нажмите Удалить роль или функцию в меню.

  • В мастере удаления ролей и компонентов щелкните Выбор сервера слева, а затем щелкните Роли сервера под ним.
  • В списке ролей справа снимите флажок Доменные службы Active Directory .
  • Во всплывающем диалоговом окне подтвердите, что хотите удалить связанные роли, такие как инструменты Active Directory DS, нажав Удалить элементы .

Понижение роли контроллера домена с помощью диспетчера серверов (Изображение предоставлено Расселом Смитом)

 

Перед удалением ADDS Windows Server выполнит проверку достоверности. Вы не сможете удалить роль, пока контроллер домена не будет понижен в должности. В результатах проверки будет показано предупреждение и предоставлена ​​ссылка, которая открывает мастер настройки доменных служб Active Directory.

  • В диалоговом окне проверки нажмите Понизить уровень этого контроллера домена .
  • В мастере настройки доменных служб Active Directory проверьте сведения на экране Credentials .

Понижение роли контроллера домена с помощью диспетчера сервера (Изображение предоставлено Расселом Смитом)

 

Проверка Принудительное удаление этого контроллера домена оставляет метаданные объекта пониженной роли контроллера домена в Active Directory. Если контроллер домена является последним в домене, вам нужно будет проверить Последний контроллер домена в домене , прежде чем вы сможете продолжить. Вы также можете изменить учетные данные, используемые для понижения, нажав Изменить…

Понижение роли контроллера домена с помощью диспетчера серверов (Изображение предоставлено Расселом Смитом)

  • Нажмите Далее .
  • На экране предупреждений установите флажок Приступить к удалению и нажмите Далее . Здесь вам напоминают, что на контроллере домена размещается DNS и, возможно, глобальный каталог, и что другие серверы в домене могут полагаться на эти службы.
  • На экране «Параметры удаления» вы можете удалить зоны DNS, разделы приложений AD и делегирование DNS. На этом экране будут отображаться только параметры, применимые к контроллеру домена. Отметьте элементы, которые необходимо удалить, и нажмите Далее .
  • На экране «Новый пароль администратора» введите и подтвердите новый пароль, который станет учетной записью локального администратора после перезагрузки сервера. Щелкните Далее .
  • Наконец, на экране «Параметры просмотра» проверьте выбранные параметры и нажмите 9.0012 Понизить в должности .

Через несколько минут вам будет предложено перезагрузить сервер. После этого вы можете завершить удаление роли сервера ADDS в диспетчере серверов.

Описанную выше процедуру также можно выполнить с помощью двух командлетов AD PowerShell. Первый шаг — понизить роль контроллера домена до рядового сервера. Откройте командную строку PowerShell и выполните команду, как показано ниже. Перед использованием модуля AD PowerShell необходимо установить средства удаленного администрирования сервера AD (RSAT).

 Uninstall-ADDSDomainController

В Uninstall-ADDSDomainController можно добавить другие параметры, чтобы отразить параметры, доступные в мастере настройки доменных служб Active Directory.

 Uninstall-ADDSDomainController -Credential (Get-Credential) -ForceRemoval

Полный список доступных параметров см. в Get-Help Uninstall-ADDSDomainController.

После понижения роли сервера и перезагрузки запустите Uninstall-WindowsFeature, чтобы удалить роль сервера ADDS:

 Uninstall-WindowsFeature AD-Domain-Services -IncludeManagementTools

Если вы попытаетесь удалить ADDS перед понижением роли контроллера домена, PowerShell вернет ошибку.

В этом Спросите администратора я показал вам, как понизить роль контроллера домена Windows Server 2016 и удалить роль доменных служб Active Directory.

Подписывайтесь на Рассела в Твиттере @smithrussell.

Подробнее в Windows Server

Сентябрьские обновления вторника вызывают проблемы с групповой политикой на ПК с Windows

26 сентября 2022 г. | Rabia Noureen

Последнее обновление Windows Server 2022 улучшает защиту от атак программ-вымогателей

17 августа 2022 г. | Rabia Noureen

Последние обновления Windows Server могут вызывать проблемы с печатью и сканированием

25 июля 2022 г. | Rabia Noureen

Последняя сборка Windows Server vNext Insider Build обеспечивает поддержку LAPS

7 июля 2022 г. | Rabia Noureen

Microsoft исправит ошибку Windows, нарушающую работу точек доступа Wi-Fi после установки последнего патча, вторник, обновление

17 июня 2022 г. | Rabia Noureen

Microsoft подтверждает наличие проблем с резервным копированием Windows Server в обновлениях этого месяца во вторник

16 июня 2022 г. | Rabia Noureen

Самые популярные на Петри

Проблема с удалением дочернего домена в лесу Active Directory


Понижение домена Active Directory

  • При попытке понизить роль последнего контроллера домена в дочернем домене происходит сбой.
  • Сервер по-прежнему является контроллером домена после того, как понижение роли было сообщено об успешном завершении.
  • Последний контроллер домена представляет собой Windows 2000 Server в смешанной среде, в которой содержится.
  • Вы просматриваете журнал DCPromo (c:\windows\debug\DCPromo.log) и обнаруживаете следующее:

02/02 06:34:14 [ИНФОРМАЦИЯ] Ошибка. Согласно информации, хранящейся локально, этот контроллер домена является последним контроллером домена в домене, а домен имеет дочерний домен. (8398)

02/02 06:34:14 [ИНФО] NtdsDemote возвращено 8398

02/02 06:34:14 [ИНФО] DsRolepDemoteDs возвращено 8398

02/02 06:34:14 [ОШИБКА] Не удалось понизить роль службы каталогов (8398)

  • Затем вы пытаетесь использовать инструмент NTDSUTIL из корневого контроллера домена леса для удаления дочернего домена и получаете следующую ошибку:

Ошибка DsRemoveDsDomainW 0x2015

Когда вы повышаете уровень сервера Windows Server 2003 до контроллера домена, он создает контекст именования (DC=DomainDnsZones) в разделе приложения.

  • Если последним контроллером домена в дочернем домене является сервер Windows 2000, он проверяет Active Directory, находит этот контекст именования и считает его дочерним доменом.
  • Дочерний домен считает, что у него есть другой дочерний домен, что приводит к сбою DCPromo.

Active Directory

Проверьте: журналы системных событий, журналы событий служб каталогов и журнал DCPromo

Решение:

вы выполняете эти действия на корневом контроллере домена леса):
Сообщение об ошибке «DsRemoveDsDomainW error 0x2015» при попытке использовать Ntdsutil для удаления метаданных для контроллера домена, который был удален из вашей сети в Windows Server 2003
http://support.microsoft.com/kb/887424/

— Нажмите «Пуск», выберите «Выполнить», введите ntdsutil и нажмите клавишу ВВОД.
— В командной строке Ntdsutil введите управление доменом и нажмите клавишу ВВОД.
— введите соединений и нажмите клавишу ВВОД.
— введите для подключения к серверу Имя_контроллера_домена и нажмите клавишу ВВОД.
— после появления следующего сообщения введите quit и нажмите клавишу ВВОД:
— Подключено к Domain_Controller_Name с использованием учетных данных локально вошедшего в систему пользователя
— В командной строке управления доменом введите list и нажмите клавишу ВВОД.
— обратите внимание на следующую запись:
— DC=DomainDnsZones, DC=Child_Domain, DC=extension
— например, если дочерний домен — Contoso.com, обратите внимание на следующую запись:
— DC=DomainDnsZones, DC= contoso,DC=com
— введите следующую команду и нажмите клавишу ВВОД.
— удалить nc dc=domaindnszones,dc=Child_Domain,dc=extension
— Примечание. В этой команде Child_Domain представляет имя дочернего домена, который вы хотите удалить. Например, если дочерним доменом является Contoso. com, введите следующую команду и нажмите клавишу ВВОД:
— удалить nc dc=domaindnszones,dc=contoso,dc=com
— закрыть Ntdsutil.

2. Используйте NTDSUTIL для удаления контроллера домена из дочернего домена.
Как удалить данные в Active Directory после неудачного понижения роли контроллера домена
http://support.microsoft.com/kb/216498

3. Затем используйте NTDSUTIL на контроллере домена Forest Root, чтобы удалить дочерний домен.
— C:\> ntdsutil
— ntdsutil: очистка метаданных
— очистка метаданных: подключения
— подключения к серверу: подключение к серверу DC01 … Connected to DC01 908ita 9 Binding to DC08ita локального пользователя
— соединения с сервером: выход
— очистка метаданных: выбрать цель операции
— выбрать цель операции: список доменов
Найдено 3 домена(ов)
0 — DC=Microsoft,DC=com
1 — DC=Child1,DC=Microsoft,DC= com
2 — DC=Child2,DC=Microsoft,DC=com
— выберите цель операции: выберите домен 2
Сайт — CN=London,CN=Sites,CN=Configuration,DC=Microsoft,DC=com
Домен — DC=Child2,DC=Microsoft,DC=com
Нет текущего сервера
Нет текущего контекста именования
— выберите цель операции: quit
— очистка метаданных: удалить выбранный домен

4.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *