Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel wird erläutert, wie Sie Active Directory Domain Services (AD DS) mithilfe von Server-Manager oder Windows PowerShell entfernen.
Workflow zum Entfernen von AD DS
Das folgende Workflowdiagramm zeigt die Schritte zum Entfernen von AD DS.
Achtung
Das Entfernen der AD DS-Rollen mit Dism.exe oder dem Windows PowerShell DISM-Modul nach der Heraufstufung auf einen Domänencontroller (DC) wird nicht unterstützt und verhindert, dass der Server normal gestartet wird.
Im Gegensatz zum Server-Manager und dem ADDSDeployment-Modul für Windows PowerShell ist DISM ein systemeigenes Wartungssystem, das über keine kenntnisse von AD DS oder seiner Konfiguration verfügt. Wir empfehlen die Verwendung von Dism.exe oder das Windows PowerShell DISM-Modul nicht zum Entfernen der AD DS-Rolle, es sei denn, der Server ist bereits kein Domänencontroller mehr.
Entfernen von Funktionen und Rollen mithilfe von PowerShell
| ADDSDeployment- und ServerManager-Cmdlets | Argumente (Fett formatierte Argumente sind erforderlich. Kursiv formatierte Argumente können über Windows PowerShell oder den AD DS-Konfigurations-Assistenten angegeben werden.) |
|---|---|
| Uninstall-ADDSDomainController | -ÜberspringeVorprüfungen -LocalAdministratorPassword -Bestätigen -Berechtigungsnachweis -DemoteOperationMasterRole -DNSDelegationRemovalCredential -Kraft -ForceRemoval -IgnoreLastDCInDomainMismatch -IgnoreLastDNSServerForZone -LastDomainControllerInDomain -NorebootonCompletion -AnwendungspartitionenEntfernen -RemoveDNSDelegation -RetainDCMetadata |
| Uninstall-WindowsFeature/Remove-WindowsFeature |
-Name -VerwaltungswerkzeugeEinbeziehen -Neustarten -Entfernen -Kraft -ComputerName -Berechtigungsnachweis -LogPath -VHD |
Weitere Informationen zum Herabstufen Ihres DC mithilfe von PowerShell finden Sie unter Uninstall-ADDSDomainController und Uninstall-WindowsFeature.
Uninstall-ADDSDomainController und Uninstall-WindowsFeature erfordern nur die minimalen Argumente, da sie jeweils eine einzelne Aktion ausführen. Wenn Sie während der Bestätigungsphase die EINGABETASTE auswählen, wird der unwiderrufliche Herabstufungsprozess initiiert und das Gerät neu gestartet.
Das Argument Anmeldeinformation ist nur erforderlich, wenn Sie nicht bereits als Mitglied der Gruppe Organisations-Admins oder der Gruppe Domain-Admins angemeldet sind. Das Argument IncludeManagementTools ist nur erforderlich, wenn Sie alle AD DS-Verwaltungsprogramme entfernen möchten.
Tiefer stufen
Entfernen von Rollen und Features
Es gibt zwei Methoden zum Entfernen der AD DS-Rolle:
Wählen Sie im Menü "Verwalten" im Hauptdashboard " Rollen und Features entfernen" aus:
Wählen Sie im Navigationsbereich AD DS oder Alle Server aus. Blättern Sie nach unten zum Bereich Rollen und Features. Klicken Sie in der Liste "Rollen und Features" mit der rechten Maustaste auf "Active Directory-Domänendienste", und wählen Sie "Rollen oder Features entfernen" aus. Diese Benutzeroberfläche überspringt die Seite Serverauswahl.
Die ServerManager-Cmdlets Uninstall-WindowsFeature und Remove-WindowsFeature verhindern, dass Sie die AD DS-Rolle entfernen, bis Sie den Domänencontroller herabstufen.
Serverauswahl
Im Abschnitt " Serverauswahl " können Sie zwischen einem der Server auswählen, die zuvor dem Pool hinzugefügt wurden, sofern darauf zugegriffen werden kann. Der lokale Server, auf dem Server-Manager ausgeführt wird, ist immer automatisch verfügbar.
Serverrollen und Features
Deaktivieren Sie das Kontrollkästchen Active Directory Domain Services , um einen Domänencontroller zu herabstufen. Wenn der Server derzeit ein Domänencontroller ist, entfernt diese Aktion die AD DS-Rolle nicht. Stattdessen wird ein Dialogfeld " Validierungsergebnisse " angezeigt, in dem Sie den Server tieferstufen können. Wenn der Server ein Domänencontroller ist, entfernt diese Aktion die Binärdateien wie jedes andere Rollenfeature.
- Entfernen Sie keine weiteren AD DS-Rollen oder -Features wie DNS, GPMC oder die RSAT-Tools, falls Sie den Domänencontroller im Anschluss direkt wieder heraufstufen möchten. Durch das Entfernen anderer Rollen und Funktionen wird die Zeit für die erneute Heraufstufung verlängert, da Server-Manager diese Funktionen neu installiert, wenn Sie die Rolle erneut installieren.
- Entfernen Sie nicht benötigte AD DS-Rollen und Features nach eigenem Ermessen, falls Sie den Domänencontroller permanent herabstufen möchten. Um Rollen und Features zu entfernen, deaktivieren Sie die entsprechenden Kontrollkästchen.
Hier ist die vollständige Liste der AD DS-bezogenen Rollen und Features:
- Active Directory-Modul für Windows PowerShell-Feature
- AD DS- und AD LDS-Tools-Feature
- Active Directory-Verwaltungscenter-Feature
- AD DS-Snap-Ins und -Befehlszeilentools-Feature
- DNS-Server
- Gruppenrichtlinien-Verwaltungskonsole
Die entsprechenden ADDSDeployment- und Server-Manager Windows PowerShell-Cmdlets sind:
Uninstall-ADDSDomainController
Uninstall-WindowsFeature
Anmeldeinformationen
Auf der Seite Anmeldeinformationen werden Herabstufungsoptionen konfiguriert. Geben Sie in der folgenden Liste die zum Ausführen der Herabstufung erforderlichen Anmeldeinformationen an:
Zum Herabstufen eines zusätzlichen Domänencontrollers sind Domänenadministratoranmeldeinformationen erforderlich. Durch Auswählen der Option Entfernen dieses Domänencontrollers erzwingen wird der Domänencontroller herabgestuft, ohne die Metadaten des Domänencontrollerobjekts aus Active Directory zu entfernen.
Warnung
Wählen Sie diese Option nicht aus, es sei denn, der Domänencontroller kann sich nicht an andere Domänencontroller wenden, und es gibt keine vernünftige Möglichkeit, dieses Netzwerkproblem zu beheben. Bei der erzwungenen Herabstufung bleiben in Active Directory der restlichen Domänencontroller in der Gesamtstruktur verwaiste Metadaten zurück. Darüber hinaus gehen alle unreplizierten Änderungen auf diesem Domänencontroller, z. B. Kennwörter oder neue Benutzerkonten, für immer verloren. Verwaiste Metadaten sind die Ursache in einem erheblichen Prozentsatz der Microsoft-Kundensupportfälle für AD DS, Exchange, SQL Server und andere Software.
Wenn Sie einen Domänencontroller gewaltsam herabstufen, müssen Sie die Metadatenbereinigung sofort manuell durchführen. Weitere Informationen finden Sie unter Bereinigen von Servermetadaten.
Zum Herabstufen des letzten Domänencontrollers in einer Domäne ist eine Gruppenmitgliedschaft für Unternehmensadministratoren erforderlich, da dadurch die Domäne selbst entfernt wird. (Wenn die Domäne die letzte in der Gesamtstruktur ist, entfernt diese Aktion die Gesamtstruktur.) Der Server-Manager informiert Sie, ob der aktuelle Domänencontroller der letzte Domänencontroller in der Domäne ist. Aktivieren Sie das Kontrollkästchen "Letzter Domänencontroller" im Domänenkontrollkästchen , um zu bestätigen, dass der Domänencontroller der letzte Domänencontroller in der Domäne ist.
Die entsprechenden ADDSDeployment Windows PowerShell-Argumente sind:
-Credential <PSCredential>
-ForceRemoval <{ $true | $false }>
-LastDomainControllerInDomain <{ $true | $false }>
Warnungen
Auf der Seite " Warnungen " werden Sie über die möglichen Folgen des Entfernens des Domänencontrollers informiert. Wählen Sie Entfernen fortsetzen aus, um fortzufahren.
Wenn Sie zuvor das Entfernen dieses Domänencontrollers auf der Seite "Anmeldeinformationen " erzwungen haben, werden auf der Seite " Warnungen " alle vom Domänencontroller gehosteten Rollen für flexible Einzelmastervorgänge angezeigt. Sie müssen die Rollen unmittelbar nach dem Herabstufen des Servers von einem anderen Domänencontroller übernehmen. Weitere Informationen zum Übernehmen von FSMO-Rollen finden Sie unter Übernehmen der Rolle des Betriebsmasters.
Für diese Seite gibt es kein entsprechendes Windows PowerShell-Argument für ADDSDeployment.
Entfernungsoptionen
Die Seite "Entfernungsoptionen" wird angezeigt, wenn Sie auf der Seite "Anmeldeinformationen" den letzten Domänencontroller in der Domäne auswählen. Auf dieser Seite können Sie zusätzliche Entfernungsoptionen konfigurieren. Wählen Sie Letzten DNS-Server für Zone ignorieren, Anwendungspartitionen entfernen und DNS-Delegierung entfernen aus, um die Schaltfläche Weiter zu aktivieren.
Die Optionen werden nur angezeigt, wenn sie auf den Domänencontroller anwendbar sind. Wenn beispielsweise keine DNS-Delegierung für den Server vorhanden ist, wird dieses Kontrollkästchen nicht angezeigt.
Wählen Sie "Ändern" aus, um alternative ADMINISTRATIVE DNS-Anmeldeinformationen anzugeben. Wählen Sie "Partitionen anzeigen" aus, um zusätzliche Partitionen anzuzeigen, die der Assistent während der Herabstufung entfernt. Standardmäßig sind die einzigen anderen Partitionen die Domänen-DNS-Zonen und die Gesamtstruktur-DNS-Zonen. Alle sonstigen Partitionen sind nicht-Windows-Partitionen.
Die entsprechenden ADDSDeployment-Cmdlet-Argumente sind:
-IgnoreLastDnsServerForZone <{ $true | false }>
-RemoveApplicationPartitions <{ $true | false }>
-RemoveDNSDelegation <{ $true | false }>
-DNSDelegationRemovalCredential <PsCredential>
Neues Administratorkennwort
Auf der Seite " Neues Administratorkennwort" müssen Sie ein Kennwort für das Administratorkonto des integrierten lokalen Computers angeben, nachdem die Herabstufung abgeschlossen ist und der Computer zu einem Domänenmitgliedsserver oder einem Arbeitsgruppencomputer wird.
Das Cmdlet Uninstall-ADDSDomainController und die Argumente verwenden dieselben Standardwerte wie der Server-Manager, wenn die Werte nicht angegeben werden.
Für das LocalAdministratorPassword-Argument gelten Sonderregeln:
- Wenn dieses Argument nicht angegeben ist, werden Sie vom Cmdlet aufgefordert, ein maskiertes Kennwort einzugeben und zu bestätigen. Dies ist die bevorzugte Verwendung bei einer interaktiven Cmdlet-Ausführung.
- Wenn das Argument mit einem Wert angegeben wird, muss der Wert eine sichere Zeichenfolge sein. Dies ist nicht die bevorzugte Verwendung bei einer interaktiven Cmdlet-Ausführung.
Sie können beispielsweise manuell zur Eingabe eines Kennworts auffordern, indem Sie das Read-Host-Cmdlet verwenden, um den Benutzer zur Eingabe einer sicheren Zeichenfolge aufzufordern:
Uninstall-ADDSDomainController -LocalAdministratorPassword (Read-Host -Prompt "Password:" -AsSecureString)
Da die beiden vorherigen Optionen das Kennwort nicht bestätigen, verwenden Sie äußerste Vorsicht. Das Kennwort ist nicht sichtbar.
Sie können eine sichere Zeichenfolge auch als konvertierte Klartextvariable angeben, obwohl davon dringend abgeraten wird. Beispiel:
Uninstall-ADDSDomainController -LocalAdministratorPassword (ConvertTo-SecureString "Password1" -AsPlainText -Force)
Das Bereitstellen oder Speichern eines Klartextkennworts wird nicht empfohlen. Jeder, der diesen Befehl in einem Skript ausführt oder über die Schulter schaut, wird das lokale Administrator-Passwort des Computers kennen. Jede Person mit diesen Kenntnissen hat vollen Zugriff auf alle Daten und kann die Identität des Servers annehmen.
Bestätigung
Auf der Bestätigungsseite wird die geplante Herabstufung angezeigt. Die Seite listet keine Konfigurationsoptionen für die Herabstufung auf. Dies ist die letzte Seite des Assistenten, bevor die Herabstufung beginnt. Die Schaltfläche "Skript anzeigen " erstellt ein Windows PowerShell-Herabstufungsskript.
Wählen Sie Herabstufen aus, um das folgende Cmdlet für die AD DS-Bereitstellung auszuführen:
Uninstall-ADDSDomainController
Verwenden Sie das optionale Whatif-Argument mit dem Cmdlet Uninstall-ADDSDomainController , um Konfigurationsinformationen zu überprüfen. Auf diese Weise können Sie die expliziten und impliziten Werte der Argumente eines Cmdlets anzeigen.
Beispiel:
Die Aufforderung zum Neustart ist die letzte Möglichkeit, den Vorgang abzubrechen, wenn ADDDeployment Windows PowerShell verwendet wird. Verwenden Sie die -force- oder confirm:$false-Argumente, um diese Aufforderung zu überspringen.
Herabstufung
Wenn die Herabstufungsseite angezeigt wird, beginnt die Domänencontrollerkonfiguration und kann nicht angehalten oder abgebrochen werden. Detaillierte Vorgänge werden auf dieser Seite angezeigt und in Protokolle geschrieben:
- %systemroot%\debug\dcpromo.log
- %systemroot%\debug\dcpromoui.log
Mit dem -force-Argument oder dem -confirm:$false-Argument können Sie den Neustart in allen Windows PowerShell-Cmdlets vom Typ "ADDSDeployment" automatisch akzeptieren. Verwenden Sie das -norebootoncompletion:$false-Argument, um zu verhindern, dass der Server am Ende der Heraufstufung automatisch neu gestartet wird.
Warnung
Es wird nicht empfohlen, den Neustart außer Kraft zu setzen. Der Mitgliedsserver muss neu gestartet werden, um korrekt zu funktionieren.
Hier ist ein Beispiel für erzwungene Herabstufung mit den minimal erforderlichen Argumenten von -forceremoval und -demoteoperationmasterrole. Das Argument "-Anmeldeinformationen " ist nicht erforderlich, da der Benutzer sich als Mitglied der Gruppe "Unternehmensadministratoren" angemeldet hat:
Hier ist ein Beispiel für das Entfernen des letzten Domänencontrollers in der Domäne mit den mindestens erforderlichen Argumenten von -lastdomaincontrollerindomain und -removeapplicationpartitionen:
Beim Versuch, die AD DS-Rolle zu entfernen, ohne den Server herabzustufen, blockiert Windows PowerShell den Vorgang mit einer Fehlermeldung:
Wichtig
Sie müssen den Computer nach der Herabstufung des Servers neu starten, bevor Sie die Rollen-Binärdateien der AD DS-Rolle entfernen können.
Ergebnisse
Auf der Seite Ergebnisse werden Erfolg bzw. Misserfolg der Heraufstufung sowie alle wichtigen Administrationsinformationen angezeigt. Der Domänencontroller wird nach 10 Sekunden automatisch neu gestartet.