Bagikan melalui

Menurunkan Pengendali dan Domain Domain

  • Artikel

Berlaku untuk: Windows Server 2022, Windows Server 2019, Windows Server

Artikel ini menjelaskan cara menghapus AD DS, menggunakan Manajer Server atau Windows PowerShell.

Alur kerja penghapusan AD DS

AD DS removal workflow chart

Perhatian

Menghapus peran AD DS dengan Dism.exe atau modul WINDOWS PowerShell DISM setelah promosi ke Pengendali Domain tidak didukung dan akan mencegah server melakukan booting secara normal.

Tidak seperti Manajer Server atau modul ADDSDeployment untuk Windows PowerShell, DISM adalah sistem layanan asli yang tidak memiliki pengetahuan yang melekat tentang AD DS atau konfigurasinya. Jangan gunakan dism.exe atau modul WINDOWS PowerShell DISM untuk menghapus instalan peran AD DS kecuali server tidak lagi menjadi pengendali domain.

Demosi dan penghapusan peran dengan PowerShell

ADDSDeployment dan ServerManager Cmdlets Argumen (Argumen tebal diperlukan. Argumen miring dapat ditentukan dengan menggunakan Windows PowerShell atau Wizard Konfigurasi AD DS.)
Hapus instalan-ADDSDomainController -SkipPreChecks

-LocalAdministratorPassword

-Confirm

-Credential

-DemoteOperationMasterRole

-DNSDelegationRemovalCredential

-Force

-ForceRemoval

-IgnoreLastDCInDomainMismatch

-IgnoreLastDNSServerForzone

-LastDomainControllerInDomain

-Norebootoncompletion

-RemoveApplicationPartitions

-RemoveDNSDelegation

-RetainDCMetadata
Hapus instalan-WindowsFeature/Remove-WindowsFeature -Nama

-IncludeManagementTools

-Restart

-Remove

-Force

-ComputerName

-Credential

-LogPath

-Vhd

Catatan

Argumen -credential hanya diperlukan jika Anda belum masuk sebagai anggota grup Admin Perusahaan (mendemosikan DC terakhir dalam domain) atau grup Admin Domain (mendemosikan DC replika). Argumen -includemanagementtools hanya diperlukan jika Anda ingin menghapus semua utilitas manajemen AD DS.

Demosi

Menghapus Peran dan Fitur

Manajer Server menawarkan dua antarmuka untuk menghapus peran Active Directory Domain Services:

  • Menu Kelola di dasbor utama, menggunakan Hapus Peran dan Fitur

    Server Manager - Remove Roles and Features

  • Pilih AD DS atau Semua Server di panel navigasi. Gulir ke bawah ke bagian Peran dan Fitur . Klik kanan Active Directory Domain Services di daftar Peran dan Fitur dan pilih Hapus Peran atau Fitur. Antarmuka ini melewati halaman Pemilihan Server.

    Server Manager - All Servers- Remove Roles and Features

Cmdlet ServerManager Menghapus Instalan-WindowsFeature dan Remove-WindowsFeature akan mencegah Anda menghapus peran AD DS hingga Anda menurunkan pengontrol domain.

Pemilihan Server

Remove Roles and Features Wizard select destination server

Dialog Pemilihan Server memungkinkan Anda memilih dari salah satu server yang sebelumnya ditambahkan ke kumpulan, selama dapat diakses. Server lokal yang menjalankan Manajer Server selalu tersedia secara otomatis.

Peran dan Fitur Server

Remove Roles and Features Wizard - Select roles to remove

Kosongkan kotak centang Active Directory Domain Services untuk menurunkan pengontrol domain; jika server saat ini adalah pengendali domain, ini tidak menghapus peran AD DS dan alih-alih beralih ke dialog Hasil Validasi dengan penawaran untuk diturunkan. Jika tidak, biner akan dihapus seperti fitur peran lainnya.

  • Jangan hapus peran atau fitur terkait AD DS lainnya - seperti DNS, GPMC, atau alat RSAT - jika Anda ingin segera mempromosikan pengontrol domain. Menghapus peran dan fitur tambahan meningkatkan waktu untuk mempromosikan kembali, karena Manajer Server menginstal ulang fitur-fitur ini saat Anda menginstal ulang peran.

  • Hapus peran dan fitur AD DS yang tidak diperlukan atas kebijaksanaan Anda sendiri jika Anda ingin menurunkan pengontrol domain secara permanen. Ini memerlukan penghapusan kotak centang untuk peran dan fitur tersebut.

    Daftar lengkap peran dan fitur terkait AD DS meliputi:

    • Modul Direktori Aktif untuk fitur Windows PowerShell
    • Fitur Alat AD DS dan AD LDS
    • Fitur Pusat Administratif Direktori Aktif
    • Fitur Snap-in AD DS dan Alat Baris Perintah
    • Server DNS
    • Konsol Manajemen Kebijakan Grup

Cmdlet ADDSDeployment dan ServerManager Windows PowerShell yang setara adalah:

Uninstall-addsdomaincontroller
Uninstall-windowsfeature

Remove Roles and Features Wizard - Confirmation dialog

Remove Roles and Features Wizard - Validation

Kredensial

Active Directory Domain Services Configuration Wizard - Credentials selection

Anda mengonfigurasi opsi demosi pada halaman Kredensial . Berikan kredensial yang diperlukan untuk melakukan demosi dari daftar berikut:

  • Menurunkan pengontrol domain tambahan memerlukan kredensial Admin Domain. Memilih Paksa penghapusan pengontrol domain ini menurunkan pengontrol domain tanpa menghapus metadata objek pengendali domain dari Direktori Aktif.

    Peringatan

    Jangan pilih opsi ini kecuali pengendali domain tidak dapat menghubungi pengendali domain lain dan tidak ada cara yang wajar untuk mengatasi masalah jaringan tersebut. Demosi paksa meninggalkan metadata tanpa intim di Direktori Aktif pada pengontrol domain yang tersisa di forest. Selain itu, semua perubahan yang tidak direplikasi pada pengendali domain tersebut, seperti kata sandi atau akun pengguna baru, hilang selamanya. Metadata tanpa induk adalah akar penyebab dalam persentase signifikan dari kasus Dukungan Pelanggan Microsoft untuk AD DS, Exchange, SQL, dan perangkat lunak lainnya.

    Jika Anda menurunkan pengontrol domain secara paksa, Anda harus segera melakukan pembersihan metadata secara manual. Untuk langkah-langkahnya, tinjau Bersihkan Metadata Server.

    Active Directory Domain Services Configuration Wizard - Credentials Force removal

  • Menurunkan pengontrol domain terakhir di domain memerlukan keanggotaan grup Admin Perusahaan, karena ini menghapus domain itu sendiri (jika domain terakhir di forest, ini akan menghapus forest). Manajer Server memberi tahu Anda jika pengendali domain saat ini adalah pengendali domain terakhir di domain. Pilih kotak centang Pengontrol domain terakhir di domain untuk mengonfirmasi pengendali domain adalah pengontrol domain terakhir di domain.

Argumen ADDSDeployment Windows PowerShell yang setara adalah:

-credential <pscredential>
-forceremoval <{ $true | false }>
-lastdomaincontrollerindomain <{ $true | false }>

Peringatan

Active Directory Domain Services Configuration Wizard - Credentials FSMO Roles Impact

Halaman Peringatan memberi tahu Anda tentang kemungkinan konsekuensi menghapus pengontrol domain ini. Untuk melanjutkan, Anda harus memilih Lanjutkan dengan penghapusan.

Peringatan

Jika sebelumnya Anda memilih Paksa penghapusan pengendali domain ini pada halaman Kredensial , halaman Peringatan memperlihatkan semua peran Operasi Master Tunggal Fleksibel yang dihosting oleh pengendali domain ini. Anda harus merebut peran dari pengendali domain lain segera setelah menurunkan server ini. Untuk informasi selengkapnya tentang merebut peran FSMO, lihat Merebut Peran Master Operasi.

Halaman ini tidak memiliki argumen ADDSDeployment Windows PowerShell yang setara.

Opsi Penghapusan

Active Directory Domain Services Configuration Wizard - Credentials Remove DNS and Application partitions

Halaman Opsi Penghapusan muncul tergantung sebelumnya memilih Pengontrol domain terakhir di domain pada halaman Kredensial . Halaman ini memungkinkan Anda mengonfigurasi opsi penghapusan tambahan. Pilih Abaikan server DNS terakhir untuk zona, Hapus partisi aplikasi, dan Hapus Delegasi DNS untuk mengaktifkan tombol Berikutnya .

Opsi hanya muncul jika berlaku untuk pengendali domain ini. Misalnya, jika tidak ada delegasi DNS untuk server ini, maka kotak centang tersebut tidak akan ditampilkan.

Pilih Ubah untuk menentukan kredensial administratif DNS alternatif. Pilih Tampilkan Partisi untuk melihat partisi tambahan yang dihapus wizard selama demosi. Secara default, satu-satunya partisi tambahan adalah DNS Domain dan Zona DNS Hutan. Semua partisi lainnya adalah partisi non-Windows.

Argumen cmdlet ADDSDeployment yang setara adalah:

-ignorelastdnsserverforzone <{ $true | false }>
-removeapplicationpartitions <{ $true | false }>
-removednsdelegation <{ $true | false }>
-dnsdelegationremovalcredential <pscredential>

Kata Sandi Administrator Baru

Active Directory Domain Services Configuration Wizard - Credentials New Administrator Password

Halaman Kata Sandi Administrator Baru mengharuskan Anda menyediakan kata sandi untuk akun Administrator komputer lokal bawaan, setelah demosi selesai dan komputer menjadi server anggota domain atau komputer grup kerja.

Cmdlet dan argumen Uninstall-ADDSDomainController mengikuti default yang sama dengan Manajer Server jika tidak ditentukan.

Argumen LocalAdministratorPassword bersifat khusus:

  • Jika tidak ditentukan sebagai argumen, cmdlet akan meminta Anda untuk memasukkan dan mengonfirmasi kata sandi yang ditutupi. Ini adalah penggunaan yang disukai saat menjalankan cmdlet secara interaktif.
  • Jika ditentukan dengan nilai, maka nilainya harus berupa string aman. Ini bukan penggunaan yang disukai saat menjalankan cmdlet secara interaktif.

Misalnya, Anda dapat meminta kata sandi secara manual dengan menggunakan cmdlet Read-Host untuk meminta string aman kepada pengguna.

-localadministratorpassword (read-host -prompt "Password:" -assecurestring)

Peringatan

Karena dua opsi sebelumnya tidak mengonfirmasi kata sandi, gunakan sangat hati-hati: kata sandi tidak terlihat.

Anda juga dapat memberikan string aman sebagai variabel teks jernih yang dikonversi, meskipun ini sangat tidak disarankan. Contohnya:

-localadministratorpassword (convertto-securestring "Password1" -asplaintext -force)

Peringatan

Menyediakan atau menyimpan kata sandi teks yang jelas tidak disarankan. Siapa pun yang menjalankan perintah ini dalam skrip atau mencari di atas bahu Anda mengetahui kata sandi administrator lokal komputer tersebut. Dengan pengetahuan itu, mereka memiliki akses ke semua datanya dan dapat meniru server itu sendiri.

Konfirmasi

Active Directory Domain Services Configuration Wizard - Review Options

Halaman Konfirmasi menunjukkan demosi yang direncanakan; halaman tidak mencantumkan opsi konfigurasi demosi. Ini adalah halaman terakhir yang ditunjukkan wizard sebelum demosi dimulai. Tombol Tampilkan Skrip membuat skrip demosi Windows PowerShell.

Pilih Demosi untuk menjalankan cmdlet Penyebaran AD DS berikut:

Uninstall-ADDSDomainController

Gunakan argumen Whatif opsional dengan cmdlet dan Uninstall-ADDSDomainController untuk meninjau informasi konfigurasi. Ini memungkinkan Anda melihat nilai eksplisit dan implisit dari argumen cmdlet.

Contohnya:

Screenshot of a terminal window that shows the explicit and implicit values of a cmdlet's arguments.

Perintah untuk memulai ulang adalah kesempatan terakhir Anda untuk membatalkan operasi ini saat menggunakan ADDSDeployment Windows PowerShell. Untuk mengambil alih perintah tersebut , gunakan argumen -force atau confirm:$false .

Demosi

Active Directory Domain Services Configuration Wizard - Demotion in progress

Saat halaman Demosi ditampilkan, konfigurasi pengontrol domain dimulai dan tidak dapat dihentikan atau dibatalkan. Operasi terperinci ditampilkan di halaman ini dan menulis ke log:

  • %systemroot%\debug\dcpromo.log
  • %systemroot%\debug\dcpromoui.log

Karena Uninstall-ADDSDomainController dan Uninstall-WindowsFeature hanya memiliki satu tindakan masing-masing, mereka ditampilkan di sini dalam fase Konfirmasi dengan argumen minimum yang diperlukan. Menekan ENTER memulai proses demosi yang tidak dapat dipanggil dan memulai ulang komputer.

PowerShell Uninstall-ADDSDomainController Example

PowerShell Uninstall-WindowsFeature Example

Untuk menerima perintah reboot secara otomatis, gunakan argumen -force atau -confirm:$false dengan cmdlet ADDSDeployment Windows PowerShell. Untuk mencegah server melakukan boot ulang secara otomatis di akhir promosi, gunakan argumen -norebootoncompletion:$false .

Peringatan

Mengambil alih boot ulang tidak disarankan. Server anggota harus memulai ulang agar berfungsi dengan benar.

PowerShell Uninstall-ADDSDomainController Force Example

Berikut adalah contoh demo paksa dengan argumen minimal yang diperlukan dari -forceremoval dan -demoteoperationmasterrole. Argumen -credential tidak diperlukan karena pengguna masuk sebagai anggota grup Admin Perusahaan:

Screenshot of a terminal window that shows an example of forcibly demoting with its minimal required arguments of -forceremoval and -demoteoperationmasterrole.

Berikut adalah contoh menghapus pengontrol domain terakhir di domain dengan argumen minimal yang diperlukan dari -lastdomaincontrollerindomain dan -removeapplicationpartitions:

PowerShell Uninstall-ADDSDomainController -LastDomainControllerInDomain Example

Jika Anda mencoba menghapus peran AD DS sebelum menurunkan server, Windows PowerShell memblokir Anda dengan kesalahan:

An uninstallation prerequisite step failed during the removal of AD-Domain-Services, and uninstallation cannot continue. 1. The domain controller needs to be demoted before the Active DirectoryDomain Services Role can be uninstalled.

Penting

Anda harus memulai ulang komputer setelah mendemosikan server sebelum Dapat menghapus biner peran AD-Domain-Services.

Hasil

You're About to be signed off warning after removal of AD DS

Halaman Hasil menunjukkan keberhasilan atau kegagalan promosi dan informasi administratif penting apa pun. Pengontrol domain akan secara otomatis di-boot ulang setelah 10 detik.