Bagikan melalui

Menurunkan pengontrol domain dan domain

Artikel ini menjelaskan cara menghapus Active Directory Domain Services (AD DS) menggunakan Server Manager atau Windows PowerShell.

Alur kerja penghapusan AD DS

Diagram alur kerja berikut menunjukkan langkah-langkah untuk menghapus AD DS.

Bagan alur kerja penghapusan AD DS

Caution

Menghapus peran AD DS dengan Dism.exe atau modul WINDOWS PowerShell DISM setelah promosi ke Pengendali Domain (DC) tidak didukung dan mencegah server melakukan booting secara normal.

Tidak seperti Manajer Server atau modul ADDSDeployment untuk Windows PowerShell, DISM adalah sistem layanan asli yang tidak memiliki pengetahuan yang melekat tentang AD DS atau konfigurasinya. Kami tidak menyarankan penggunaan Dism.exe atau modul WINDOWS PowerShell DISM untuk menghapus instalan peran AD DS kecuali server tidak lagi menjadi pengendali domain.

Penurunan jabatan dan penghapusan peran dengan PowerShell

ADDSDeployment dan ServerManager Cmdlets Arguments (Bold arguments are required. Italicized arguments can be specified by using Windows PowerShell or the AD DS Configuration Wizard.)
Uninstall-ADDSDomainController -SkipPreChecks

-LocalAdministratorPassword

-Confirm

-Credential

-DemoteOperationMasterRole

-DNSDelegationRemovalCredential

-Force

-ForceRemoval

-IgnoreLastDCInDomainMismatch

-IgnoreLastDNSServerForZone

-LastDomainControllerInDomain

-Norebootoncompletion

-RemoveApplicationPartitions

-RemoveDNSDelegation

-RetainDCMetadata
Uninstall-WindowsFeature/Remove-WindowsFeature -Name

-IncludeManagementTools

-Restart

-Remove

-Force

-ComputerName

-Credential

-LogPath

-Vhd

To learn more about how to demote your DC using PowerShell, see the Uninstall-ADDSDomainController and Uninstall-WindowsFeature PowerShell references.

Saat menggunakan Uninstall-ADDSDomainController dan Uninstall-WindowsFeature, perintah ini hanya memerlukan argumen minimum karena masing-masing melakukan satu tindakan. Pressing the Enter key during the confirmation phase initiates the irrevocable demotion process and restarts your device.

The Credential argument is only required if you aren't already signed in as a member of the Enterprise Admins group or the Domain Admins group. The IncludeManagementTools argument is only required if you want to remove all of the AD DS management utilities.

Demote

Menghapus peran dan fitur

Ada dua metode yang dapat Anda gunakan untuk menghapus peran AD DS:

  • The Manage menu on the main dashboard, using Remove Roles and Features

    Manajer Server - Menghapus Peran dan Fitur

  • Select AD DS or All Servers on the navigation pane. Gulir ke bawah ke bagian Peran dan Fitur . Klik kanan Active Directory Domain Services di daftar Peran dan Fitur dan pilih Hapus Peran atau Fitur. This interface skips the Server Selection page.

    Manajer Server - Semua Server- Hapus Peran dan Fitur

The ServerManager cmdlets Uninstall-WindowsFeature and Remove-WindowsFeature prevent you from removing the AD DS role until you demote the domain controller.

Server selection

Hapus Panduan Peran dan Fitur pilih server tujuan

The Server Selection dialog enables you to choose from one of the servers previously added to the pool, as long as it's accessible. Server lokal yang menjalankan Manajer Server selalu tersedia secara otomatis.

Peran dan Fitur Server

Menghapus Panduan Peran dan Fitur - Pilih peran yang akan dihapus

Kosongkan kotak centang Active Directory Domain Services untuk menurunkan pengendali domain; jika server saat ini adalah pengendali domain, ini tidak menghapus peran AD DS, dan sebaliknya beralih ke dialog Hasil Validasi dengan penawaran untuk diturunkan. Jika tidak, file biner akan dihapus seperti fitur peran lainnya.

  • Jangan hapus peran atau fitur terkait AD DS lainnya - seperti DNS, GPMC, atau alat RSAT - jika Anda ingin segera mempromosikan pengontrol domain. Menghapus peran dan fitur lain meningkatkan waktu untuk mempromosikan ulang, karena Manajer Server menginstal ulang fitur-fitur ini saat Anda menginstal ulang peran.
  • Hapus peran dan fitur AD DS yang tidak diperlukan atas kebijaksanaan Anda sendiri jika Anda ingin menurunkan pengontrol domain secara permanen. Ini memerlukan penghapusan kotak centang untuk peran dan fitur tersebut.

Daftar lengkap peran dan fitur terkait AD DS meliputi:

  • Modul Direktori Aktif untuk fitur Windows PowerShell
  • Fitur Alat AD DS dan AD LDS
  • Fitur Pusat Administrasi Direktori Aktif
  • Fitur Snap-in AD DS dan Alat Baris Perintah
  • DNS Server
  • Konsol Manajemen Kebijakan Grup

Cmdlet ADDSDeployment dan ServerManager Windows PowerShell yang setara adalah:

Uninstall-ADDSDomainController
Uninstall-WindowsFeature

Menghapus Panduan Peran dan Fitur - Dialog konfirmasi

Menghapus Panduan Peran dan Fitur - Validasi

Credentials

Panduan Konfigurasi Layanan Domain Direktori Aktif - Pilihan kredensial

You configure demotion options on the Credentials page. Berikan kredensial yang diperlukan untuk melakukan demosi dari daftar berikut:

  • Menurunkan pengontrol domain tambahan memerlukan kredensial Admin Domain. Memilih Paksa penghapusan pengontrol domain ini akan menurunkan pengontrol domain tanpa menghapus metadata objek pengontrol domain dari Active Directory.

    Warning

    Jangan pilih opsi ini kecuali pengendali domain tidak dapat menghubungi pengendali domain lain dan tidak ada cara yang wajar untuk mengatasi masalah jaringan tersebut. Demosi paksa meninggalkan metadata yatim piatu di Active Directory pada pengontrol domain yang tersisa di forest. Selain itu, semua perubahan yang tidak direplikasi pada pengendali domain tersebut, seperti kata sandi atau akun pengguna baru, hilang selamanya. Metadata tanpa induk adalah akar penyebab dalam persentase signifikan dari kasus Dukungan Pelanggan Microsoft untuk AD DS, Exchange, SQL, dan perangkat lunak lainnya.

    If you forcibly demote a domain controller, you must manually perform metadata cleanup immediately. Untuk langkah-langkahnya, tinjau Bersihkan Metadata Server.

    Wizard Konfigurasi Layanan Domain Active Directory - Penghapusan Paksa Kredensial

  • Menurunkan pengontrol domain terakhir di domain memerlukan keanggotaan grup Admin Perusahaan, karena ini menghapus domain itu sendiri (jika domain terakhir di forest, ini akan menghapus forest). Manajer Server memberi tahu Anda jika pengendali domain saat ini adalah pengendali domain terakhir di domain. Pilih kotak centang Pengontrol domain terakhir di domain untuk mengonfirmasi pengendali domain adalah pengontrol domain terakhir di domain.

Argumen ADDSDeployment Windows PowerShell yang setara adalah:

-Credential <PSCredential>
-ForceRemoval <{ $true | $false }>
-LastDomainControllerInDomain <{ $true | $false }>

Warnings

Panduan Konfigurasi Active Directory Domain Services - Dampak Kredensial Peran FSMO

The Warnings page alerts you to the possible consequences of removing this domain controller. Untuk melanjutkan, Anda harus memilih Lanjutkan dengan penghapusan.

Jika sebelumnya Anda memilih Paksa penghapusan pengendali domain ini pada halaman Kredensial , halaman Peringatan memperlihatkan semua peran Operasi Master Tunggal Fleksibel yang dihosting oleh pengendali domain ini. You must seize the roles from another domain controller immediately after demoting this server. Untuk informasi selengkapnya tentang merebut peran FSMO, lihat Merebut Peran Pengendali Operasi.

Halaman ini tidak memiliki argumen ADDSDeployment Windows PowerShell yang setara.

Removal Options

Wizard Konfigurasi Layanan Domain Direktori Aktif - Kredensial Hapus partisi DNS dan Aplikasi

The Removal Options page appears, depending on previously selecting Last domain controller in the domain on the Credentials page. Halaman ini memungkinkan Anda mengonfigurasi opsi penghapusan ekstra. Pilih Abaikan server DNS terakhir untuk zona, Hapus partisi aplikasi, dan Hapus Delegasi DNS untuk mengaktifkan tombol Berikutnya .

Opsi hanya muncul jika berlaku untuk pengendali domain ini. Misalnya, jika tidak ada delegasi DNS untuk server ini, maka kotak centang tersebut tidak ditampilkan.

Select Change to specify alternate DNS administrative credentials. Select View Partitions to view extra partitions the wizard removes during the demotion. Secara default, satu-satunya partisi lainnya adalah DNS Domain dan Zona DNS Hutan. Semua partisi lainnya adalah partisi non-Windows.

Argumen cmdlet ADDSDeployment yang setara adalah:

-IgnoreLastDnsServerForZone <{ $true | false }>
-RemoveApplicationPartitions <{ $true | false }>
-RemoveDNSDelegation <{ $true | false }>
-DNSDelegationRemovalCredential <PsCredential>

Kata sandi administrator baru

Wizard Konfigurasi Layanan Domain Active Directory - Kredensial kata sandi administrator yang baru

Halaman Kata Sandi Administrator Baru mengharuskan Anda menyediakan kata sandi untuk akun Administrator komputer lokal bawaan, setelah demosi selesai dan komputer menjadi server anggota domain atau komputer grup kerja.

The Uninstall-ADDSDomainController cmdlet and arguments follow the same defaults as Server Manager if not specified.

The LocalAdministratorPassword argument is special:

  • If not specified as an argument, then the cmdlet prompts you to enter and confirm a masked password. Ini adalah penggunaan yang disukai saat menjalankan cmdlet secara interaktif.
  • Jika ditentukan dengan nilai, maka nilainya harus berupa string aman. Ini bukan penggunaan yang disukai saat menjalankan cmdlet secara interaktif.

For example, you can manually prompt for a password by using the Read-Host cmdlet to prompt the user for a secure string.

Uninstall-ADDSDomainController -LocalAdministratorPassword (Read-Host -Prompt "Password:" -AsSecureString)

Karena dua opsi sebelumnya tidak mengonfirmasi kata sandi, gunakan sangat hati-hati. Kata sandi tidak terlihat.

Anda juga dapat memberikan string aman sebagai variabel teks jernih yang dikonversi, meskipun ini sangat tidak disarankan. For example:

Uninstall-ADDSDomainController -LocalAdministratorPassword (ConvertTo-SecureString "Password1" -AsPlainText -Force)

Menyediakan atau menyimpan kata sandi teks yang jelas tidak disarankan. Siapa pun yang menjalankan perintah ini dalam skrip atau melihat dari belakang Anda akan mengetahui kata sandi admin lokal komputer tersebut. Dengan pengetahuan itu, mereka memiliki akses ke semua datanya dan dapat meniru server itu sendiri.

Confirmation

Wizard Konfigurasi Layanan Domain Direktori Aktif - Opsi Ulasan

The Confirmation page shows the planned demotion; the page doesn't list demotion configuration options. Ini adalah halaman terakhir yang ditunjukkan panduan sebelum penurunan dimulai. Tombol Tampilkan Skrip membuat skrip demosi Windows PowerShell.

Select Demote to run the following AD DS Deployment cmdlet:

Uninstall-ADDSDomainController

Use the optional Whatif argument with the Uninstall-ADDSDomainController and cmdlet to review configuration information. Ini memungkinkan Anda melihat nilai eksplisit dan implisit dari argumen cmdlet.

For example:

Cuplikan layar jendela terminal yang memperlihatkan nilai eksplisit dan implisit dari argumen cmdlet.

Perintah untuk memulai ulang adalah kesempatan terakhir Anda untuk membatalkan operasi ini saat menggunakan ADDSDeployment Windows PowerShell. To override that prompt, use the -force or confirm:$false arguments.

Demotion

Wizard Konfigurasi Layanan Domain Active Directory - Demosi sedang berlangsung

When the Demotion page displays, the domain controller configuration begins and can't be halted or canceled. Operasi terperinci ditampilkan di halaman ini dan dicatat ke dalam log.

  • %systemroot%\debug\dcpromo.log
  • %systemroot%\debug\dcpromoui.log

Contoh dari PowerShell Uninstall-ADDSDomainController

Contoh Penghapusan Instalasi PowerShell-WindowsFeature

To accept the reboot prompt automatically, use the -force or -confirm:$false arguments with any ADDSDeployment Windows PowerShell cmdlet. To prevent the server from automatically rebooting at the end of promotion, use the -norebootoncompletion:$false argument.

Warning

Mengabaikan restart tidak disarankan. Server anggota harus memulai ulang agar berfungsi dengan benar.

PowerShell Uninstall-ADDSDomainController Force Contoh

Here's an example of forcibly demoting with its minimal required arguments of -forceremoval and -demoteoperationmasterrole. The -credential argument isn't required because the user logged on as a member of the Enterprise Admins group:

Cuplikan layar jendela terminal yang menunjukkan contoh penurunan paksa dengan argumen minimal yang diperlukan, yaitu -forceremoval dan -demoteoperationmasterrole.

Here's an example of removing the last domain controller in the domain with its minimal required arguments of -lastdomaincontrollerindomain and -removeapplicationpartitions:

Contoh Uninstall-ADDSDomainController -LastDomainControllerInDomain PowerShell

Jika Anda mencoba menghapus peran AD DS sebelum menurunkan server, Windows PowerShell memblokir Anda dengan kesalahan:

Langkah prasyarat penghapusan instalasi gagal selama penghapusan AD-Domain-Services, dan penghapusan instalasi tidak dapat dilanjutkan. 1. Pengontrol domain perlu diturunkan sebelum Peran Layanan Active DirectoryDomain dapat dihapus instalasinya.

Important

Anda harus merestart komputer setelah menurunkan server sebelum Anda dapat menghapus berkas biner peran AD-Domain-Services.

Results

Anda Akan dikeluarkan peringatan setelah AD DS dihapus

The Results page shows the success or failure of the promotion and any important administrative information. Pengontrol domain secara otomatis memulai ulang setelah 10 detik.