Despromover Domain Controller Windows Server 2003 (es-ES)
Consideraciones previas
Quitar la funcionalidad de Global Catalog
Para comenzar, debemos quitar la función de Global Catalog del Domain Controller que des promoveremos. Para ello realizaremos los siguientes pasos, estando logueados en el mismo Domain Controller que daremos de baja o en cualquier otro del mismo Forest o desde un equipo no Domain Controller, pero que le instalamos previamente las herramientas administrativas: Ir a Start – Administrative Tools – Active Directory Sites and Services:
http://www.leoponti.com.ar/blog/20120721/01/01.png
Del listado de sitios que aparecen, buscar el Site donde está el Domain Controller a des promover.
http://www.leoponti.com.ar/blog/20120721/01/02.png
Una vez encontrado, desplegar el menú sobre “NTDS Settings” y seleccionar Properties.
http://www.leoponti.com.ar/blog/20120721/01/03.png
En el cuadro que nos aparecerá, destildaremos la opción que dice “Global Catalog” según siguiente pantalla.
http://www.leoponti.com.ar/blog/20120721/01/04.png
Luego cerraremos las ventanas abiertas anteriormente.
Chequear roles FSMO
Chequear que nuestro Domain Controller a dar de baja, no posee ningun rol FSMO, corriendo el comando netdom query fsmo, chequearemos que Domain Controller tiene cada Rol de Active Directory, de chequear que todos los Roles estan asociados a otros Domain Controllers, seguimos con el proceso de despromocion, ahora si algun rol FSMO lo tiene nuestro DC a dar de baja, ver el siguiente articulo: How to view and transfer FSMO roles in Windows Server 2003
Verificación de la replicación
Aguardamos 2 minutos y verificamos que impacte el cambio que hemos realizado. Para ello ingresamos en Start – Run – y abrimos la línea de comando mediante CMD
http://www.leoponti.com.ar/blog/20120721/01/05.png
Corremos el comando repadmin /replsummary para chequear la replicación de todo el Forest.
http://www.leoponti.com.ar/blog/20120721/01/06.png
Chequear que la respuesta del comando, sea sin errores, de presentarse alguno, suspender la des promoción hasta tanto sea solucionado.
http://www.leoponti.com.ar/blog/20120721/01/07.png
Des-Promoción del rol de DC
Quitamos el servicio de Domain Controllers
Una vez chequeada la replicación de todo el dominio, si ya estamos logueados en el Domain Controller a dar de baja seguimos en el mismo o sino, ingresamos para comenzar a trabajar y luego de logueados, vamos a a Start – Run
http://www.leoponti.com.ar/blog/20120721/01/08.png
Y corremos el comando DCPROMO
http://www.leoponti.com.ar/blog/20120721/01/09.png
Corriendo dicho comando, nos abrirá el wizard que nos permitirá des promover el domain Controller. En esta primera pantalla, nos describe el estado del server y el aviso de que estaremos corriendo la des promoción del mismo, seleccionamos NEXT.
http://www.leoponti.com.ar/blog/20120721/01/10.png
En la siguiente pantalla, nos consultará si queremos des-promovemos un domain Controller del dominio. De ser el último DC, también nos permite dar de baja toda referencia del dominio en cuestión. Esto último no es nuestro caso, por lo tanto NO TILDAR LA OPCION “This server is the last domain Controller in the domain”, solo pasar esta pantalla por la opción NEXT.
http://www.leoponti.com.ar/blog/20120721/01/11.png
La siguiente pantalla, nos permitirá cargar la clave que queremos configurar para el usuario “Administrator” (local) del server, que quedara disponible luego de la des promoción como Domain Controller. Por lo tanto debemos configurar una clave que recordemos luego para poder acceder al equipo después de finalizada toda la tarea. Una vez seteada la password mencionada, haga un click en NEXT.
http://www.leoponti.com.ar/blog/20120721/01/12.png
La siguiente pantalla, nos muestra un resumen de la tarea que realizara el wizard que estamos corriendo. Hacemos un click en NEXT para comenzar la despromoción.
http://www.leoponti.com.ar/blog/20120721/01/13.png
Des-promoviendo
Comenzando la tarea de des promoción, irán apareciendo distintas pantallas con la tarea que va realizando el wizard, las cuales se detallan a continuación.
http://www.leoponti.com.ar/blog/20120721/01/14.png
http://www.leoponti.com.ar/blog/20120721/01/15.png
http://www.leoponti.com.ar/blog/20120721/01/16.png
http://www.leoponti.com.ar/blog/20120721/01/17.png
http://www.leoponti.com.ar/blog/20120721/01/18.png
http://www.leoponti.com.ar/blog/20120721/01/19.png
http://www.leoponti.com.ar/blog/20120721/01/20.png
Una vez finalizada la tarea del Wizard, aparecerá la siguiente pantalla confirmando la tarea y si fue completada en forma satisfactoria. Daremos un click en FINISH.
http://www.leoponti.com.ar/blog/20120721/01/21.png
Seguida a la pantalla anterior, aparecerá la opción para reiniciar el equipo. Hagamos un click en RESTART NOW.
http://www.leoponti.com.ar/blog/20120721/01/22.png
Eliminar el DC 2003 de Site&Services
Ingresamos a Site&Services y buscamos dentro del correspondiente Site, el DC que recién quitamos de la infraestructura.
http://www.leoponti.com.ar/blog/20120721/01/22a.png
Una vez que lo encontramos, lo seleccionamos y desplegando el menú, ponemos la opción de “Delete”
http://www.leoponti.com.ar/blog/20120721/01/22b.png
A la ventana que nos aparece de confirmación de la tarea, ponemos “YES”
http://www.leoponti.com.ar/blog/20120721/01/22c.png
Luego de este cambio, se tendria que ver el DC que en este caso, quedaba disponible en el site (chequear que el mismo, sea Global Catalog de la misma forma que lo chequeamos con el equipo que dimos de baja al comienzo de este post).
http://www.leoponti.com.ar/blog/20120721/01/22d.png
Verificaciones Pos Des-Promoción
Desde otro equipo que tenga instaladas las Tools de Active Directory (puede ser desde otro Domain Controller) corremos el comando repadmin /replsummary, y chequeamos que no aparezca ningún error de réplica en toda la infraestructura de AD. De presentarse algún error, esperar hasta 30 minutos ya que puede ser por un tema de refresco (de replicación) de continuar el error ver de solucionarlo o escalar el tema hasta dar solución al mismo.-
http://www.leoponti.com.ar/blog/20120721/01/23.png
El Domain Controller que damos de baja, quedara como member server, pudiendonos loguear en forma local con la cuenta Administrator y la clave que pusimos en la parte de wizard que vimos en puntos anteriores o con cuenta de dominio cuyos permisos tenga el server segun lo necesario. El objeto Computer en el dominio, durante el proceso de despromocion, se movera automaticamente al contenedor "Computers" o la OU que tengamos predefinida para que se creen los objetos Computers cuando se ponen en dominio.- Con todos estos pasos, habriamos cumplido una forma de despromover en forma correcta un Domain Controller Windows Server 2003, cuando el mismo estaba operativo.-
Para mas informacion:
Demote a domain controller
How to remove completely orphaned Domain Controller
Removing Domain Controller Certificates