Teilen über

Herabstufen von Domänencontrollern und Domänen

  • Artikel

Gilt für: Windows Server 2022, Windows Server 2019, Windows Server

Dieser Artikel beschreibt die Deinstallation von AD DS mit Server-Manager oder Windows PowerShell.

Workflow zum Entfernen von AD DS

AD DS removal workflow chart

Achtung

Das Entfernen der AD DS-Rollen mithilfe von Dism.exe oder dem Windows PowerShell DISM-Modul nach der Heraufstufung eines Domänencontrollers wird nicht unterstützt und führt dazu, dass der Server nicht mehr normal startet.

Im Gegensatz zu Server-Manager oder dem ADDSDeployment-Modul für Windows PowerShell handelt es sich bei DISM um einen systemeigenen Dienst, der keine Kenntnisse von AD DS und deren Konfiguration hat. Verwenden Sie Dism.exe oder das Windows PowerShell DISM-Modul nicht zum Entfernen der AD DS-Rolle, es sei denn, der Server ist bereits kein Domänencontroller mehr.

Herabstufung und Rollenentfernung mit Windows PowerShell

ADDSDeployment- und ServerManager-Cmdlets Argumente (Fett formatierte Argumente sind erforderlich. Kursiv formatierte Argumente können mithilfe von Windows PowerShell oder des AD DS-Konfigurations-Assistenten angegeben werden.)
Uninstall-ADDSDomainController -SkipPreChecks

-LocalAdministratorPassword

-Confirm

-Credential

-DemoteOperationMasterRole

-DNSDelegationRemovalCredential

-Force

-ForceRemoval

-IgnoreLastDCInDomainMismatch

-IgnoreLastDNSServerForZone

-LastDomainControllerInDomain

-Norebootoncompletion

-RemoveApplicationPartitions

-RemoveDNSDelegation

-RetainDCMetadata
Uninstall-WindowsFeature/Remove-WindowsFeature -Name

-IncludeManagementTools

-Restart

-Remove

-Force

-ComputerName

-Credential

-LogPath

-Vhd

Hinweis

Das -credential-Argument wird nur benötigt, wenn Sie nicht bereits als Mitglied der Gruppe Unternehmens-Admins (Herabstufung des letzten DC in einer Domäne) oder der Gruppe Domänen-Admins (Herabstufung eines Replikat-DC) angemeldet sind. Das -includemanagementtools-Argument wird nur benötigt, wenn Sie alle AD DS-Verwaltungshilfsprogramme entfernen möchten.

Tiefer stufen

Entfernen von Rollen und Features

Server-Manager bietet zwei Benutzeroberflächen zum Entfernen der Active Directory-Domänendienste-Rolle:

  • Das Menü Verwalten im Haupt-Dashboard, unter Rollen und Features entfernen

    Server Manager - Remove Roles and Features

  • Wählen Sie im Navigationsbereich AD DS oder Alle Server aus. Blättern Sie nach unten zum Bereich Rollen und Features. Klicken Sie in der Liste Rollen und Features mit der rechten Maustaste auf Active Directory Domain Services, und wählen Sie Rolle oder Feature entfernen aus. Diese Benutzeroberfläche überspringt die Seite Serverauswahl.

    Server Manager - All Servers- Remove Roles and Features

Die Server-Manager-Cmdlets Uninstall-WindowsFeature und Remove-WindowsFeature verhindern das Entfernen der AD DS-Rolle ohne Herabstufen des Domänencontrollers.

Serverauswahl

Remove Roles and Features Wizard select destination server

Im Dialogfeld Serverauswahl können Sie einen der zuvor zum Pool hinzugefügten Server auswählen, sofern auf diesen zugegriffen werden kann. Der lokale Server, auf dem Server-Manager ausgeführt wird, ist immer automatisch verfügbar.

Serverrollen und Features

Remove Roles and Features Wizard - Select roles to remove

Deaktivieren Sie das Kontrollkästchen Active Directory Domain Services, um einen Domänencontroller herabzustufen. Wenn der Server derzeit ein Domänencontroller ist, wird dabei die AD DS-Rolle nicht entfernt und stattdessen zum Dialogfeld Validierungsergebnisse gewechselt, wo Sie die Herabstufung vornehmen können. Andernfalls werden die Binärdateien entfernt wie andere Rollenfeatures.

  • Entfernen Sie keine weiteren AD DS-Rollen oder -Features wie DNS, GPMC oder die RSAT-Tools, falls Sie den Domänencontroller im Anschluss direkt wieder heraufstufen möchten. Durch die Entfernung weiterer Rollen und Features wird die Dauer der späteren erneuten Heraufstufung verlängert, da Server-Manager diese Features ebenfalls erneut installiert, wenn Sie die Rolle erneut installieren.

  • Entfernen Sie nicht benötigte AD DS-Rollen und Features nach eigenem Ermessen, falls Sie den Domänencontroller permanent herabstufen möchten. Heben Sie dazu die Auswahl der Kontrollkästchen für die entsprechenden Rollen und Features auf.

    Die vollständige Liste der AD DS-verwandten Rollen und Features enthält:

    • Active Directory-Modul für Windows PowerShell-Feature
    • AD DS- und AD LDS-Tools-Feature
    • Active Directory-Verwaltungscenter-Feature
    • AD DS-Snap-Ins und -Befehlszeilentools-Feature
    • DNS-Server
    • Gruppenrichtlinien-Verwaltungskonsole

Die entsprechenden ADDSDeployment- und Server-Manager Windows PowerShell-Cmdlets sind:

Uninstall-addsdomaincontroller
Uninstall-windowsfeature

Remove Roles and Features Wizard - Confirmation dialog

Remove Roles and Features Wizard - Validation

Anmeldeinformationen

Active Directory Domain Services Configuration Wizard - Credentials selection

Auf der Seite Anmeldeinformationen werden Herabstufungsoptionen konfiguriert. Geben Sie in der folgenden Liste die zum Ausführen der Herabstufung erforderlichen Anmeldeinformationen an:

  • Für die Herabstufung eines zusätzlichen Domänencontrollers sind Domänenadministrator-Anmeldeinformationen erforderlich. Durch Auswählen der Option Entfernen dieses Domänencontrollers erzwingen wird der Domänencontroller herabgestuft, ohne die Metadaten des Domänencontrollerobjekts aus Active Directory zu entfernen.

    Warnung

    Wählen Sie diese Option nur dann aus, wenn der Domänencontroller keine andere Domänencontroller kontaktieren kann und zum Beheben dieses Netzwerkproblems keine angemessene Möglichkeit besteht. Bei der erzwungenen Herabstufung bleiben in Active Directory der restlichen Domänencontroller in der Gesamtstruktur verwaiste Metadaten zurück. Zudem gehen alle nicht replizierten Änderungen an diesem Domänencontroller, beispielsweise Kennwörter oder neue Benutzerkonten, für immer verloren. Verwaiste Metadaten stellen die Hauptursache in einem erheblichen Prozentsatz der Microsoft Kundendienstfälle für AD DS, Exchange, SQL und andere Software dar.

    Wenn Sie einen Domänencontroller zwangsweise herabstufen, müssen Sie sofort eine manuelle Metadatenbereinigung ausführen. Informationen zu den entsprechenden Schritten finden Sie unter Bereinigen von Servermetadaten.

    Active Directory Domain Services Configuration Wizard - Credentials Force removal

  • Für das Herabstufen des letzten Domänencontrollers in einer Domäne ist eine Mitgliedschaft in der Gruppe Organisations-Admins erforderlich, da hierbei die Domäne selbst entfernt wird (wenn dies die letzte Domäne in der Gesamtstruktur ist, wird dabei die Gesamtstruktur entfernt). Wenn der aktuelle Domänencontroller der letzte Domänencontroller in der Domäne ist, werden Sie von Server-Manager darüber informiert. Markieren Sie das Kontrollkästchen Letzter Domänencontroller in der Domäne, um zu bestätigen, dass der Domänencontroller der letzte Domänencontroller in der Domäne ist.

Die entsprechenden ADDSDeployment Windows PowerShell-Argumente sind:

-credential <pscredential>
-forceremoval <{ $true | false }>
-lastdomaincontrollerindomain <{ $true | false }>

Warnungen

Active Directory Domain Services Configuration Wizard - Credentials FSMO Roles Impact

Die Seite Warnungen weist Sie auf die möglichen Konsequenzen beim Entfernen dieses Domänencontrollers hin. Wählen Sie Entfernen fortsetzen aus, um fortzufahren.

Warnung

Falls Sie zuvor Entfernen dieses Domänencontrollers erzwingen auf der Seite Anmeldeinformationen ausgewählt haben, werden auf der Seite Warnungen alle von diesem Domänencontroller gehosteten FSMO-Rollen angezeigt. Sie müssen die Rollen von einem anderen Domänencontroller sofort nach der Herabstufung dieses Servers übernehmen. Weitere Informationen zum Übernehmen von FSMO-Rollen finden Sie unter Übernehmen der Rolle des Betriebsmasters.

Für diese Seite gibt es kein entsprechendes Windows PowerShell-Argument für ADDSDeployment.

Entfernungsoptionen

Active Directory Domain Services Configuration Wizard - Credentials Remove DNS and Application partitions

Die Seite Entfernungsoptionen wird in Abhängigkeit davon angezeigt, ob auf der Seite Anmeldeinformationen die Option Entfernen dieses Domänencontrollers erzwingen ausgewählt wurde. Auf dieser Seite können Sie zusätzliche Optionen für die Entfernung konfigurieren. Wählen Sie Letzten DNS-Server für Zone ignorieren, Anwendungspartitionen entfernen und DNS-Delegierung entfernen aus, um die Schaltfläche Weiter zu aktivieren.

Diese Optionen werden nur angezeigt, wenn sie auf diesem Domänencontroller verfügbar sind. Wenn z. B. keine DNS-Delegierung für diesen Server konfiguriert ist, wird das Kontrollkästchen nicht angezeigt.

Wählen Sie Ändern aus, um alternative DNS-Administratoranmeldeinformationen anzugeben. Wählen Sie Partitionen anzeigen aus, um weitere Partitionen anzuzeigen, die der Assistent bei der Herabstufung entfernt. Standardmäßig existieren nur die Partitionen Domänen-DNS und Gesamtstruktur-DNS. Alle sonstigen Partitionen sind nicht-Windows-Partitionen.

Die entsprechenden ADDSDeployment-Cmdlet-Argumente sind:

-ignorelastdnsserverforzone <{ $true | false }>
-removeapplicationpartitions <{ $true | false }>
-removednsdelegation <{ $true | false }>
-dnsdelegationremovalcredential <pscredential>

Neues Administratorkennwort

Active Directory Domain Services Configuration Wizard - Credentials New Administrator Password

Auf der Seite Neues Administratorkennwort müssen Sie ein Kennwort für das Administratorkonto des integrierten lokalen Computers angeben, nachdem die Herabstufung abgeschlossen und der Computer zu einem Mitgliedsserver in einer Domäne oder zu einem Arbeitsgruppencomputer geworden ist.

Die Unistall-ADDSDomainController-Argumente verwenden dieselben Standardwerte wie Server-Manager, wenn diese nicht angegeben sind.

Für das LocalAdministratorPassword-Argument gelten Sonderregeln:

  • Wenn dieses Argument nicht angegeben wird, fordert Sie das Cmdlet zur Eingabe und Bestätigung eines maskierten Kennworts auf. Dies ist die bevorzugte Verwendung bei einer interaktiven Cmdlet-Ausführung.
  • Bei Angabe mit einem Wert muss der Wert eine sichere Zeichenfolge sein. Dies ist nicht die bevorzugte Verwendung bei einer interaktiven Cmdlet-Ausführung.

Mithilfe des Cmdlets Read-Host können Sie beispielsweise manuell nach einem Kennwort fragen, um den oder die Benutzer*in zur Eingabe einer sicheren Zeichenfolge aufzufordern.

-localadministratorpassword (read-host -prompt "Password:" -assecurestring)

Warnung

Da bei den beiden vorherigen Optionen das Kennwort nicht bestätigt wird, gehen Sie äußerst vorsichtig vor: Das Kennwort wird nicht angezeigt.

Sie können eine sichere Zeichenfolge auch als konvertierte Klartextvariable angeben, obwohl davon dringend abgeraten wird. Beispiel:

-localadministratorpassword (convertto-securestring "Password1" -asplaintext -force)

Warnung

Das Bereitstellen oder Speichern eines Klartextkennworts wird nicht empfohlen. Alle Personen, die diesen Befehl ausführen oder Ihnen dabei zusehen, kennen dann das lokale Administratorkennwort dieses Computers. Jede Person mit diesen Kenntnissen hat vollen Zugriff auf alle Daten und kann die Identität des Servers annehmen.

Bestätigung

Active Directory Domain Services Configuration Wizard - Review Options

Auf der Seite Bestätigung wird die geplante Herabstufung angezeigt. Die Seite enthält keine Konfigurationsoptionen für die Herabstufung. Dies ist die letzte Seite des Assistenten, bevor die Herabstufung beginnt. Wenn Sie auf die Schaltfläche Skript anzeigen klicken, wird ein Windows PowerShell-Herabstufungsskript generiert.

Wählen Sie Herabstufen aus, um das folgende Cmdlet für die AD DS-Bereitstellung auszuführen:

Uninstall-ADDSDomainController

Verwenden Sie das optionale Whatif-Argument für das Uninstall-ADDSDomainController-Cmdlet, um die Konfigurationsinformationen zu überprüfen. Auf diese Weise können Sie die expliziten und impliziten Werte der Argumente eines Cmdlets anzeigen.

Beispiel:

Screenshot of a terminal window that shows the explicit and implicit values of a cmdlet's arguments.

Die Aufforderung zum Neustart ist die letzte Gelegenheit, um diese Operation abzubrechen, wenn Sie ADDSDeployment Windows PowerShell verwenden. Verwenden Sie die -force- oder confirm:$false-Argumente, um diese Aufforderung zu überspringen.

Herabstufung

Active Directory Domain Services Configuration Wizard - Demotion in progress

Wenn die Seite Herabstufung angezeigt wird, beginnt die Konfiguration des Domänencontrollers. Diese kann nicht angehalten oder abgebrochen werden. Detaillierte Informationen zur Operation werden auf dieser Seite angezeigt und in die folgenden Logs geschrieben:

  • %systemroot%\debug\dcpromo.log
  • %systemroot%\debug\dcpromoui.log

Da Uninstall-ADDSDomainController und Uninstall-WindowsFeature nur aus einer Aktion bestehen, werden sie hier in der Bestätigungsphase mit den mindestens erforderlichen Argumenten angezeigt. Mit der EINGABETASTE starten Sie den unwiderruflichen Herabstufungsprozess inklusive Computerneustart.

PowerShell Uninstall-ADDSDomainController Example

PowerShell Uninstall-WindowsFeature Example

Mit dem -force-Argument oder dem -confirm:$false-Argument können Sie den Neustart in allen Windows PowerShell-Cmdlets vom Typ "ADDSDeployment" automatisch akzeptieren. Verwenden Sie das -norebootoncompletion:$false-Argument, um zu verhindern, dass der Server am Ende der Heraufstufung automatisch neu gestartet wird.

Warnung

Es wird davon abgeraten, den Neustart zu verhindern. Der Mitgliedsserver muss neu gestartet werden, um korrekt zu funktionieren.

PowerShell Uninstall-ADDSDomainController Force Example

Nachstehend finden Sie ein Beispiel für eine erzwungene Herabstufung mit den mindestens erforderlichen Argumenten -forceremoval und -demoteoperationmasterrole. Das Argument -credential ist nicht erforderlich, da der Benutzer bzw. die Benutzerin als Mitglied der Gruppe „Unternehmensadministratoren“ angemeldet ist.

Screenshot of a terminal window that shows an example of forcibly demoting with its minimal required arguments of -forceremoval and -demoteoperationmasterrole.

Im Anschluss sehen Sie ein Beispiel für das Entfernen des letzten Domänencontrollers in der Domäne mit den mindestens erforderlichen Argumenten -lastdomaincontrollerindomain und -removeapplicationpartitions:

PowerShell Uninstall-ADDSDomainController -LastDomainControllerInDomain Example

Beim Versuch, die AD DS-Rolle zu entfernen, ohne den Server herabzustufen, blockiert Windows PowerShell den Vorgang mit einer Fehlermeldung:

An uninstallation prerequisite step failed during the removal of AD-Domain-Services, and uninstallation cannot continue. 1. The domain controller needs to be demoted before the Active DirectoryDomain Services Role can be uninstalled.

Wichtig

Sie müssen den Computer nach der Herabstufung des Servers neu starten, bevor Sie die Rollen-Binärdateien der AD DS-Rolle entfernen können.

Ergebnisse

You're About to be signed off warning after removal of AD DS

Auf der Seite Ergebnisse werden Erfolg bzw. Misserfolg der Heraufstufung sowie alle wichtigen Administrationsinformationen angezeigt. Der Domänencontroller wird automatisch nach 10 Sekunden neu gestartet.