Menurunkan Pengendali dan Domain Domain
Berlaku untuk: Windows Server 2022, Windows Server 2019, Windows Server
Artikel ini menjelaskan cara menghapus AD DS, menggunakan Manajer Server atau Windows PowerShell.
Alur kerja penghapusan AD DS
Perhatian
Menghapus peran AD DS dengan Dism.exe atau modul WINDOWS PowerShell DISM setelah promosi ke Pengendali Domain tidak didukung dan akan mencegah server melakukan booting secara normal.
Tidak seperti Manajer Server atau modul ADDSDeployment untuk Windows PowerShell, DISM adalah sistem layanan asli yang tidak memiliki pengetahuan yang melekat tentang AD DS atau konfigurasinya. Jangan gunakan dism.exe atau modul WINDOWS PowerShell DISM untuk menghapus instalan peran AD DS kecuali server tidak lagi menjadi pengendali domain.
Demosi dan penghapusan peran dengan PowerShell
ADDSDeployment dan ServerManager Cmdlets | Argumen (Argumen tebal diperlukan. Argumen miring dapat ditentukan dengan menggunakan Windows PowerShell atau Wizard Konfigurasi AD DS.) |
---|---|
Hapus instalan-ADDSDomainController | -SkipPreChecks -LocalAdministratorPassword -Confirm -Credential -DemoteOperationMasterRole -DNSDelegationRemovalCredential -Force -ForceRemoval -IgnoreLastDCInDomainMismatch -IgnoreLastDNSServerForzone -LastDomainControllerInDomain -Norebootoncompletion -RemoveApplicationPartitions -RemoveDNSDelegation -RetainDCMetadata |
Hapus instalan-WindowsFeature/Remove-WindowsFeature | -Nama -IncludeManagementTools -Restart -Remove -Force -ComputerName -Credential -LogPath -Vhd |
Catatan
Argumen -credential hanya diperlukan jika Anda belum masuk sebagai anggota grup Admin Perusahaan (mendemosikan DC terakhir dalam domain) atau grup Admin Domain (mendemosikan DC replika). Argumen -includemanagementtools hanya diperlukan jika Anda ingin menghapus semua utilitas manajemen AD DS.
Demosi
Menghapus Peran dan Fitur
Manajer Server menawarkan dua antarmuka untuk menghapus peran Active Directory Domain Services:
Menu Kelola di dasbor utama, menggunakan Hapus Peran dan Fitur
Pilih AD DS atau Semua Server di panel navigasi. Gulir ke bawah ke bagian Peran dan Fitur . Klik kanan Active Directory Domain Services di daftar Peran dan Fitur dan pilih Hapus Peran atau Fitur. Antarmuka ini melewati halaman Pemilihan Server.
Cmdlet ServerManager Menghapus Instalan-WindowsFeature dan Remove-WindowsFeature akan mencegah Anda menghapus peran AD DS hingga Anda menurunkan pengontrol domain.
Pemilihan Server
Dialog Pemilihan Server memungkinkan Anda memilih dari salah satu server yang sebelumnya ditambahkan ke kumpulan, selama dapat diakses. Server lokal yang menjalankan Manajer Server selalu tersedia secara otomatis.
Peran dan Fitur Server
Kosongkan kotak centang Active Directory Domain Services untuk menurunkan pengontrol domain; jika server saat ini adalah pengendali domain, ini tidak menghapus peran AD DS dan alih-alih beralih ke dialog Hasil Validasi dengan penawaran untuk diturunkan. Jika tidak, biner akan dihapus seperti fitur peran lainnya.
Jangan hapus peran atau fitur terkait AD DS lainnya - seperti DNS, GPMC, atau alat RSAT - jika Anda ingin segera mempromosikan pengontrol domain. Menghapus peran dan fitur tambahan meningkatkan waktu untuk mempromosikan kembali, karena Manajer Server menginstal ulang fitur-fitur ini saat Anda menginstal ulang peran.
Hapus peran dan fitur AD DS yang tidak diperlukan atas kebijaksanaan Anda sendiri jika Anda ingin menurunkan pengontrol domain secara permanen. Ini memerlukan penghapusan kotak centang untuk peran dan fitur tersebut.
Daftar lengkap peran dan fitur terkait AD DS meliputi:
- Modul Direktori Aktif untuk fitur Windows PowerShell
- Fitur Alat AD DS dan AD LDS
- Fitur Pusat Administratif Direktori Aktif
- Fitur Snap-in AD DS dan Alat Baris Perintah
- Server DNS
- Konsol Manajemen Kebijakan Grup
Cmdlet ADDSDeployment dan ServerManager Windows PowerShell yang setara adalah:
Uninstall-addsdomaincontroller
Uninstall-windowsfeature
Kredensial
Anda mengonfigurasi opsi demosi pada halaman Kredensial . Berikan kredensial yang diperlukan untuk melakukan demosi dari daftar berikut:
Menurunkan pengontrol domain tambahan memerlukan kredensial Admin Domain. Memilih Paksa penghapusan pengontrol domain ini menurunkan pengontrol domain tanpa menghapus metadata objek pengendali domain dari Direktori Aktif.
Peringatan
Jangan pilih opsi ini kecuali pengendali domain tidak dapat menghubungi pengendali domain lain dan tidak ada cara yang wajar untuk mengatasi masalah jaringan tersebut. Demosi paksa meninggalkan metadata tanpa intim di Direktori Aktif pada pengontrol domain yang tersisa di forest. Selain itu, semua perubahan yang tidak direplikasi pada pengendali domain tersebut, seperti kata sandi atau akun pengguna baru, hilang selamanya. Metadata tanpa induk adalah akar penyebab dalam persentase signifikan dari kasus Dukungan Pelanggan Microsoft untuk AD DS, Exchange, SQL, dan perangkat lunak lainnya.
Jika Anda menurunkan pengontrol domain secara paksa, Anda harus segera melakukan pembersihan metadata secara manual. Untuk langkah-langkahnya, tinjau Bersihkan Metadata Server.
Menurunkan pengontrol domain terakhir di domain memerlukan keanggotaan grup Admin Perusahaan, karena ini menghapus domain itu sendiri (jika domain terakhir di forest, ini akan menghapus forest). Manajer Server memberi tahu Anda jika pengendali domain saat ini adalah pengendali domain terakhir di domain. Pilih kotak centang Pengontrol domain terakhir di domain untuk mengonfirmasi pengendali domain adalah pengontrol domain terakhir di domain.
Argumen ADDSDeployment Windows PowerShell yang setara adalah:
-credential <pscredential>
-forceremoval <{ $true | false }>
-lastdomaincontrollerindomain <{ $true | false }>
Peringatan
Halaman Peringatan memberi tahu Anda tentang kemungkinan konsekuensi menghapus pengontrol domain ini. Untuk melanjutkan, Anda harus memilih Lanjutkan dengan penghapusan.
Peringatan
Jika sebelumnya Anda memilih Paksa penghapusan pengendali domain ini pada halaman Kredensial , halaman Peringatan memperlihatkan semua peran Operasi Master Tunggal Fleksibel yang dihosting oleh pengendali domain ini. Anda harus merebut peran dari pengendali domain lain segera setelah menurunkan server ini. Untuk informasi selengkapnya tentang merebut peran FSMO, lihat Merebut Peran Master Operasi.
Halaman ini tidak memiliki argumen ADDSDeployment Windows PowerShell yang setara.
Opsi Penghapusan
Halaman Opsi Penghapusan muncul tergantung sebelumnya memilih Pengontrol domain terakhir di domain pada halaman Kredensial . Halaman ini memungkinkan Anda mengonfigurasi opsi penghapusan tambahan. Pilih Abaikan server DNS terakhir untuk zona, Hapus partisi aplikasi, dan Hapus Delegasi DNS untuk mengaktifkan tombol Berikutnya .
Opsi hanya muncul jika berlaku untuk pengendali domain ini. Misalnya, jika tidak ada delegasi DNS untuk server ini, maka kotak centang tersebut tidak akan ditampilkan.
Pilih Ubah untuk menentukan kredensial administratif DNS alternatif. Pilih Tampilkan Partisi untuk melihat partisi tambahan yang dihapus wizard selama demosi. Secara default, satu-satunya partisi tambahan adalah DNS Domain dan Zona DNS Hutan. Semua partisi lainnya adalah partisi non-Windows.
Argumen cmdlet ADDSDeployment yang setara adalah:
-ignorelastdnsserverforzone <{ $true | false }>
-removeapplicationpartitions <{ $true | false }>
-removednsdelegation <{ $true | false }>
-dnsdelegationremovalcredential <pscredential>
Kata Sandi Administrator Baru
Halaman Kata Sandi Administrator Baru mengharuskan Anda menyediakan kata sandi untuk akun Administrator komputer lokal bawaan, setelah demosi selesai dan komputer menjadi server anggota domain atau komputer grup kerja.
Cmdlet dan argumen Uninstall-ADDSDomainController mengikuti default yang sama dengan Manajer Server jika tidak ditentukan.
Argumen LocalAdministratorPassword bersifat khusus:
- Jika tidak ditentukan sebagai argumen, cmdlet akan meminta Anda untuk memasukkan dan mengonfirmasi kata sandi yang ditutupi. Ini adalah penggunaan yang disukai saat menjalankan cmdlet secara interaktif.
- Jika ditentukan dengan nilai, maka nilainya harus berupa string aman. Ini bukan penggunaan yang disukai saat menjalankan cmdlet secara interaktif.
Misalnya, Anda dapat meminta kata sandi secara manual dengan menggunakan cmdlet Read-Host untuk meminta string aman kepada pengguna.
-localadministratorpassword (read-host -prompt "Password:" -assecurestring)
Peringatan
Karena dua opsi sebelumnya tidak mengonfirmasi kata sandi, gunakan sangat hati-hati: kata sandi tidak terlihat.
Anda juga dapat memberikan string aman sebagai variabel teks jernih yang dikonversi, meskipun ini sangat tidak disarankan. Contohnya:
-localadministratorpassword (convertto-securestring "Password1" -asplaintext -force)
Peringatan
Menyediakan atau menyimpan kata sandi teks yang jelas tidak disarankan. Siapa pun yang menjalankan perintah ini dalam skrip atau mencari di atas bahu Anda mengetahui kata sandi administrator lokal komputer tersebut. Dengan pengetahuan itu, mereka memiliki akses ke semua datanya dan dapat meniru server itu sendiri.
Konfirmasi
Halaman Konfirmasi menunjukkan demosi yang direncanakan; halaman tidak mencantumkan opsi konfigurasi demosi. Ini adalah halaman terakhir yang ditunjukkan wizard sebelum demosi dimulai. Tombol Tampilkan Skrip membuat skrip demosi Windows PowerShell.
Pilih Demosi untuk menjalankan cmdlet Penyebaran AD DS berikut:
Uninstall-ADDSDomainController
Gunakan argumen Whatif opsional dengan cmdlet dan Uninstall-ADDSDomainController untuk meninjau informasi konfigurasi. Ini memungkinkan Anda melihat nilai eksplisit dan implisit dari argumen cmdlet.
Contohnya:
Perintah untuk memulai ulang adalah kesempatan terakhir Anda untuk membatalkan operasi ini saat menggunakan ADDSDeployment Windows PowerShell. Untuk mengambil alih perintah tersebut , gunakan argumen -force atau confirm:$false .
Demosi
Saat halaman Demosi ditampilkan, konfigurasi pengontrol domain dimulai dan tidak dapat dihentikan atau dibatalkan. Operasi terperinci ditampilkan di halaman ini dan menulis ke log:
- %systemroot%\debug\dcpromo.log
- %systemroot%\debug\dcpromoui.log
Karena Uninstall-ADDSDomainController dan Uninstall-WindowsFeature hanya memiliki satu tindakan masing-masing, mereka ditampilkan di sini dalam fase Konfirmasi dengan argumen minimum yang diperlukan. Menekan ENTER memulai proses demosi yang tidak dapat dipanggil dan memulai ulang komputer.
Untuk menerima perintah reboot secara otomatis, gunakan argumen -force atau -confirm:$false dengan cmdlet ADDSDeployment Windows PowerShell. Untuk mencegah server melakukan boot ulang secara otomatis di akhir promosi, gunakan argumen -norebootoncompletion:$false .
Peringatan
Mengambil alih boot ulang tidak disarankan. Server anggota harus memulai ulang agar berfungsi dengan benar.
Berikut adalah contoh demo paksa dengan argumen minimal yang diperlukan dari -forceremoval dan -demoteoperationmasterrole. Argumen -credential tidak diperlukan karena pengguna masuk sebagai anggota grup Admin Perusahaan:
Berikut adalah contoh menghapus pengontrol domain terakhir di domain dengan argumen minimal yang diperlukan dari -lastdomaincontrollerindomain dan -removeapplicationpartitions:
Jika Anda mencoba menghapus peran AD DS sebelum menurunkan server, Windows PowerShell memblokir Anda dengan kesalahan:
Penting
Anda harus memulai ulang komputer setelah mendemosikan server sebelum Dapat menghapus biner peran AD-Domain-Services.
Hasil
Halaman Hasil menunjukkan keberhasilan atau kegagalan promosi dan informasi administratif penting apa pun. Pengontrol domain akan secara otomatis di-boot ulang setelah 10 detik.