Herabstufen von Domänencontrollern und Domänen
In diesem Artikel wird erläutert, wie Sie Active Directory Domain Services (AD DS) mithilfe des Server-Managers oder Windows PowerShell entfernen.
Workflow zum Entfernen von AD DS
Achtung
Das Entfernen der AD DS-Rollen mithilfe von Dism.exe oder dem Windows PowerShell DISM-Modul nach der Heraufstufung eines Domänencontrollers (DC) wird nicht unterstützt und führt dazu, dass der Server nicht mehr normal startet.
Im Gegensatz zu Server-Manager oder dem ADDSDeployment-Modul für Windows PowerShell handelt es sich bei DISM um einen systemeigenen Dienst, der keine Kenntnisse von AD DS und deren Konfiguration hat. Wir empfehlen die Verwendung von Dism.exe oder das Windows PowerShell DISM-Modul nicht zum Entfernen der AD DS-Rolle, es sei denn, der Server ist bereits kein Domänencontroller mehr.
Herabstufung und Rollenentfernung mit Windows PowerShell
ADDSDeployment- und ServerManager-Cmdlets | Argumente (Fett formatierte Argumente sind erforderlich. Kursiv formatierte Argumente können mithilfe von Windows PowerShell oder des AD DS-Konfigurations-Assistenten angegeben werden.) |
---|---|
Uninstall-ADDSDomainController | -SkipPreChecks -LocalAdministratorPassword -Confirm -Credential -DemoteOperationMasterRole -DNSDelegationRemovalCredential -Force -ForceRemoval -IgnoreLastDCInDomainMismatch -IgnoreLastDNSServerForZone -LastDomainControllerInDomain -Norebootoncompletion -RemoveApplicationPartitions -RemoveDNSDelegation -RetainDCMetadata |
Uninstall-WindowsFeature/Remove-WindowsFeature | -Name -IncludeManagementTools -Restart -Remove -Force -ComputerName -Credential -LogPath -Vhd |
Weitere Informationen zum Herunterstufen Ihres DC mithilfe von PowerShell finden Sie in den Verweisen Uninstall-ADDSDomainController und Uninstall-WindowsFeature PowerShell.
Bei Verwendung von Uninstall-ADDSDomainController
und Uninstall-WindowsFeature
, diese Befehle erfordern nur die minimalen Argumente, während sie jeweils eine einzelne Aktion ausführen. Durch Drücken der Eingabetaste während der Bestätigungsphase wird der unwiderrufliche Herabstufungsprozess initiiert und das Gerät neu gestartet.
Hinweis
Das Argument Anmeldeinformation ist nur erforderlich, wenn Sie nicht bereits als Mitglied der Gruppe Organisations-Admins oder der Gruppe Domain-Admins angemeldet sind. Das Argument IncludeManagementTools ist nur erforderlich, wenn Sie alle AD DS-Verwaltungsprogramme entfernen möchten.
Tiefer stufen
Entfernen von Rollen und Features
Es gibt zwei Methoden zum Entfernen der AD DS-Rolle:
Das Menü Verwalten im Haupt-Dashboard, unter Rollen und Features entfernen
Wählen Sie im Navigationsbereich AD DS oder Alle Server aus. Blättern Sie nach unten zum Bereich Rollen und Features. Klicken Sie in der Liste Rollen und Features mit der rechten Maustaste auf Active Directory Domain Services, und wählen Sie Rolle oder Feature entfernen aus. Diese Benutzeroberfläche überspringt die Seite Serverauswahl.
Die Server-Manager-Cmdlets Uninstall-WindowsFeature und Remove-WindowsFeature verhindern das Entfernen der AD DS-Rolle ohne Herabstufen des Domänencontrollers.
Serverauswahl
Im Dialogfeld Serverauswahl können Sie einen der zuvor zum Pool hinzugefügten Server auswählen, sofern auf diesen zugegriffen werden kann. Der lokale Server, auf dem Server-Manager ausgeführt wird, ist immer automatisch verfügbar.
Serverrollen und Features
Deaktivieren Sie das Kontrollkästchen Active Directory Domain Services, um einen Domänencontroller herabzustufen. Wenn der Server derzeit ein Domänencontroller ist, wird dabei die AD DS-Rolle nicht entfernt und stattdessen zum Dialogfeld Validierungsergebnisse gewechselt, wo Sie die Herabstufung vornehmen können. Andernfalls werden die Binärdateien entfernt wie andere Rollenfeatures.
Entfernen Sie keine weiteren AD DS-Rollen oder -Features wie DNS, GPMC oder die RSAT-Tools, falls Sie den Domänencontroller im Anschluss direkt wieder heraufstufen möchten. Durch die Entfernung weiterer Rollen und Features wird die Dauer der späteren erneuten Heraufstufung verlängert, da Server-Manager diese Features ebenfalls erneut installiert, wenn Sie die Rolle erneut installieren.
Entfernen Sie nicht benötigte AD DS-Rollen und Features nach eigenem Ermessen, falls Sie den Domänencontroller permanent herabstufen möchten. Heben Sie dazu die Auswahl der Kontrollkästchen für die entsprechenden Rollen und Features auf.
Die vollständige Liste der AD DS-verwandten Rollen und Features enthält:
- Active Directory-Modul für Windows PowerShell-Feature
- AD DS- und AD LDS-Tools-Feature
- Active Directory-Verwaltungscenter-Feature
- AD DS-Snap-Ins und -Befehlszeilentools-Feature
- DNS-Server
- Gruppenrichtlinien-Verwaltungskonsole
Die entsprechenden ADDSDeployment- und Server-Manager Windows PowerShell-Cmdlets sind:
Uninstall-ADDSDomainController
Uninstall-WindowsFeature
Anmeldeinformationen
Auf der Seite Anmeldeinformationen werden Herabstufungsoptionen konfiguriert. Geben Sie in der folgenden Liste die zum Ausführen der Herabstufung erforderlichen Anmeldeinformationen an:
Für die Herabstufung eines zusätzlichen Domänencontrollers sind Domänenadministrator-Anmeldeinformationen erforderlich. Durch Auswählen der Option Entfernen dieses Domänencontrollers erzwingen wird der Domänencontroller herabgestuft, ohne die Metadaten des Domänencontrollerobjekts aus Active Directory zu entfernen.
Warnung
Wählen Sie diese Option nur dann aus, wenn der Domänencontroller keine andere Domänencontroller kontaktieren kann und zum Beheben dieses Netzwerkproblems keine angemessene Möglichkeit besteht. Bei der erzwungenen Herabstufung bleiben in Active Directory der restlichen Domänencontroller in der Gesamtstruktur verwaiste Metadaten zurück. Zudem gehen alle nicht replizierten Änderungen an diesem Domänencontroller, beispielsweise Kennwörter oder neue Benutzerkonten, für immer verloren. Verwaiste Metadaten stellen die Hauptursache in einem erheblichen Prozentsatz der Microsoft Kundendienstfälle für AD DS, Exchange, SQL und andere Software dar.
Wenn Sie einen Domänencontroller zwangsweise herabstufen, müssen Sie sofort eine manuelle Metadatenbereinigung ausführen. Informationen zu den entsprechenden Schritten finden Sie unter Bereinigen von Servermetadaten.
Für das Herabstufen des letzten Domänencontrollers in einer Domäne ist eine Mitgliedschaft in der Gruppe Organisations-Admins erforderlich, da hierbei die Domäne selbst entfernt wird (wenn dies die letzte Domäne in der Gesamtstruktur ist, wird dabei die Gesamtstruktur entfernt). Wenn der aktuelle Domänencontroller der letzte Domänencontroller in der Domäne ist, werden Sie von Server-Manager darüber informiert. Markieren Sie das Kontrollkästchen Letzter Domänencontroller in der Domäne, um zu bestätigen, dass der Domänencontroller der letzte Domänencontroller in der Domäne ist.
Die entsprechenden ADDSDeployment Windows PowerShell-Argumente sind:
-Credential <PSCredential>
-ForceRemoval <{ $true | $false }>
-LastDomainControllerInDomain <{ $true | $false }>
Warnungen
Die Seite Warnungen weist Sie auf die möglichen Konsequenzen beim Entfernen dieses Domänencontrollers hin. Wählen Sie Entfernen fortsetzen aus, um fortzufahren.
Warnung
Falls Sie zuvor Entfernen dieses Domänencontrollers erzwingen auf der Seite Anmeldeinformationen ausgewählt haben, werden auf der Seite Warnungen alle von diesem Domänencontroller gehosteten FSMO-Rollen angezeigt. Sie müssen die Rollen von einem anderen Domänencontroller sofort nach der Herabstufung dieses Servers übernehmen. Weitere Informationen zum Übernehmen von FSMO-Rollen finden Sie unter Übernehmen der Rolle des Betriebsmasters.
Für diese Seite gibt es kein entsprechendes Windows PowerShell-Argument für ADDSDeployment.
Entfernungsoptionen
Die Seite Entfernungsoptionen wird in Abhängigkeit davon angezeigt, ob auf der Seite Anmeldeinformationen die Option Entfernen dieses Domänencontrollers erzwingen ausgewählt wurde. Auf dieser Seite können Sie zusätzliche Optionen für die Entfernung konfigurieren. Wählen Sie Letzten DNS-Server für Zone ignorieren, Anwendungspartitionen entfernen und DNS-Delegierung entfernen aus, um die Schaltfläche Weiter zu aktivieren.
Diese Optionen werden nur angezeigt, wenn sie auf diesem Domänencontroller verfügbar sind. Wenn z. B. keine DNS-Delegierung für diesen Server konfiguriert ist, wird das Kontrollkästchen nicht angezeigt.
Wählen Sie Ändern aus, um alternative DNS-Administratoranmeldeinformationen anzugeben. Wählen Sie Partitionen anzeigen aus, um weitere Partitionen anzuzeigen, die der Assistent bei der Herabstufung entfernt. Standardmäßig existieren nur die Partitionen Domänen-DNS und Gesamtstruktur-DNS. Alle sonstigen Partitionen sind nicht-Windows-Partitionen.
Die entsprechenden ADDSDeployment-Cmdlet-Argumente sind:
-IgnoreLastDnsServerForZone <{ $true | false }>
-RemoveApplicationPartitions <{ $true | false }>
-RemoveDNSDelegation <{ $true | false }>
-DNSDelegationRemovalCredential <PsCredential>
Neues Administratorkennwort
Auf der Seite Neues Administratorkennwort müssen Sie ein Kennwort für das Administratorkonto des integrierten lokalen Computers angeben, nachdem die Herabstufung abgeschlossen und der Computer zu einem Mitgliedsserver in einer Domäne oder zu einem Arbeitsgruppencomputer geworden ist.
Die Unistall-ADDSDomainController-Argumente verwenden dieselben Standardwerte wie Server-Manager, wenn diese nicht angegeben sind.
Für das LocalAdministratorPassword-Argument gelten Sonderregeln:
- Wenn dieses Argument nicht angegeben wird, fordert Sie das Cmdlet zur Eingabe und Bestätigung eines maskierten Kennworts auf. Dies ist die bevorzugte Verwendung bei einer interaktiven Cmdlet-Ausführung.
- Bei Angabe mit einem Wert muss der Wert eine sichere Zeichenfolge sein. Dies ist nicht die bevorzugte Verwendung bei einer interaktiven Cmdlet-Ausführung.
Mithilfe des Cmdlets Read-Host können Sie beispielsweise manuell nach einem Kennwort fragen, um den oder die Benutzer*in zur Eingabe einer sicheren Zeichenfolge aufzufordern.
Uninstall-ADDSDomainController -LocalAdministratorPassword (Read-Host -Prompt "Password:" -AsSecureString)
Warnung
Da bei den beiden vorherigen Optionen das Kennwort nicht bestätigt wird, gehen Sie äußerst vorsichtig vor: Das Kennwort wird nicht angezeigt.
Sie können eine sichere Zeichenfolge auch als konvertierte Klartextvariable angeben, obwohl davon dringend abgeraten wird. Beispiel:
Uninstall-ADDSDomainController -LocalAdministratorPassword (ConvertTo-SecureString "Password1" -AsPlainText -Force)
Warnung
Das Bereitstellen oder Speichern eines Klartextkennworts wird nicht empfohlen. Alle Personen, die diesen Befehl ausführen oder Ihnen dabei zusehen, kennen dann das lokale Administratorkennwort dieses Computers. Jede Person mit diesen Kenntnissen hat vollen Zugriff auf alle Daten und kann die Identität des Servers annehmen.
Bestätigung
Auf der Seite Bestätigung wird die geplante Herabstufung angezeigt. Die Seite enthält keine Konfigurationsoptionen für die Herabstufung. Dies ist die letzte Seite des Assistenten, bevor die Herabstufung beginnt. Wenn Sie auf die Schaltfläche Skript anzeigen klicken, wird ein Windows PowerShell-Herabstufungsskript generiert.
Wählen Sie Herabstufen aus, um das folgende Cmdlet für die AD DS-Bereitstellung auszuführen:
Uninstall-ADDSDomainController
Verwenden Sie das optionale Whatif-Argument für das Uninstall-ADDSDomainController-Cmdlet, um die Konfigurationsinformationen zu überprüfen. Auf diese Weise können Sie die expliziten und impliziten Werte der Argumente eines Cmdlets anzeigen.
Beispiel:
Die Aufforderung zum Neustart ist die letzte Gelegenheit, um diese Operation abzubrechen, wenn Sie ADDSDeployment Windows PowerShell verwenden. Verwenden Sie die -force- oder confirm:$false-Argumente, um diese Aufforderung zu überspringen.
Herabstufung
Wenn die Seite Herabstufung angezeigt wird, beginnt die Konfiguration des Domänencontrollers. Diese kann nicht angehalten oder abgebrochen werden. Detaillierte Informationen zur Operation werden auf dieser Seite angezeigt und in die folgenden Logs geschrieben:
- %systemroot%\debug\dcpromo.log
- %systemroot%\debug\dcpromoui.log
Mit dem -force-Argument oder dem -confirm:$false-Argument können Sie den Neustart in allen Windows PowerShell-Cmdlets vom Typ "ADDSDeployment" automatisch akzeptieren. Verwenden Sie das -norebootoncompletion:$false-Argument, um zu verhindern, dass der Server am Ende der Heraufstufung automatisch neu gestartet wird.
Warnung
Es wird davon abgeraten, den Neustart zu verhindern. Der Mitgliedsserver muss neu gestartet werden, um korrekt zu funktionieren.
Nachstehend finden Sie ein Beispiel für eine erzwungene Herabstufung mit den mindestens erforderlichen Argumenten -forceremoval und -demoteoperationmasterrole. Das Argument -credential ist nicht erforderlich, da der Benutzer bzw. die Benutzerin als Mitglied der Gruppe „Unternehmensadministratoren“ angemeldet ist.
Im Anschluss sehen Sie ein Beispiel für das Entfernen des letzten Domänencontrollers in der Domäne mit den mindestens erforderlichen Argumenten -lastdomaincontrollerindomain und -removeapplicationpartitions:
Beim Versuch, die AD DS-Rolle zu entfernen, ohne den Server herabzustufen, blockiert Windows PowerShell den Vorgang mit einer Fehlermeldung:
Wichtig
Sie müssen den Computer nach der Herabstufung des Servers neu starten, bevor Sie die Rollen-Binärdateien der AD DS-Rolle entfernen können.
Ergebnisse
Auf der Seite Ergebnisse werden Erfolg bzw. Misserfolg der Heraufstufung sowie alle wichtigen Administrationsinformationen angezeigt. Der Domänencontroller wird automatisch nach 10 Sekunden neu gestartet.