Abbassamento di livello dei controller di dominio e dei domini

  • Articolo

Si applica a: Windows Server 2022, Windows Server 2019, Windows Server

Questo articolo illustra come rimuovere Active Directory Domain Services con Server Manager o Windows PowerShell.

Flusso di lavoro della rimozione di Active Directory Domain Services

AD DS removal workflow chart

Attenzione

La rimozione dei ruoli Servizi di dominio Active Directory con Dism.exe o con il modulo Gestione e manutenzione immagini distribuzione di Windows PowerShell dopo l'innalzamento di livello a controller di dominio non è supportata e impedirà il normale avvio del server.

Diversamente da Server Manager o dal modulo di distribuzione di Servizi di dominio Active Directory per Windows PowerShell, Gestione e manutenzione immagini distribuzione è un sistema di manutenzione nativo senza informazioni inerenti a Servizi di dominio Active Directory o alla sua configurazione. Non usare Dism.exe o il modulo Gestione e manutenzione immagini distribuzione di Windows PowerShell per disinstallare il ruolo Servizi di dominio Active Directory a meno che il server non sia più un controller di dominio.

Abbassamento di livello e rimozione del ruolo con PowerShell

Cmdlet ADDSDeployment e ServerManager Argomenti. Gli argomenti ingrassetto sono obbligatori. Gli argomenti incorsivo possono essere specificati usando Windows PowerShell o la Configurazione guidata Servizi di dominio Active Directory.
Uninstall-ADDSDomainController -SkipPreChecks

-LocalAdministratorPassword

-Confirm

-Credential

-DemoteOperationMasterRole

-DNSDelegationRemovalCredential

-Force

-ForceRemoval

-IgnoreLastDCInDomainMismatch

-IgnoreLastDNSServerForZone

-LastDomainControllerInDomain

-Norebootoncompletion

-RemoveApplicationPartitions

-RemoveDNSDelegation

-RetainDCMetadata
Uninstall-WindowsFeature/Remove-WindowsFeature -Name

-IncludeManagementTools

-Restart

-Remove

-Force

-ComputerName

-Credential

-LogPath

-Vhd

Nota

L'argomento -credential è obbligatorio solo se non si è già connessi come membro del gruppo Enterprise Admins (abbassamento di livello dell'ultimo controller di dominio di un dominio) o del gruppo Domain Admins (abbassamento di livello di un controller di dominio di replica). L'argomento -includemanagementtools è obbligatorio solo se si desidera rimuovere tutte le utilità di gestione di Servizi di dominio Active Directory.

Abbassa di livello

Rimuovere ruoli e funzionalità

Server Manager offre due interfacce per la rimozione del ruolo Servizi di dominio Active Directory:

  • Il menu Gestisci nel dashboard principale, con Rimuovi ruoli e funzionalità

    Server Manager - Remove Roles and Features

  • Selezionare Active Directory Domain Services o Tutti i server nel riquadro di spostamento. Scorrere verso il basso fino alla sezione Ruoli e funzionalità. Fare clic con il pulsante destro del mouse su Active Directory Domain Services nell'elenco Ruoli e funzionalità e scegliere Rimuovi ruolo o funzionalità. Questa interfaccia salta la pagina Selezione dei server.

    Server Manager - All Servers- Remove Roles and Features

I cmdlet Uninstall-WindowsFeature e Remove-WindowsFeature di Server Manager impediscono di rimuovere il ruolo Active Directory Domain Services finché non si abbassa di livello il controller di dominio.

Selezione dei server

Remove Roles and Features Wizard select destination server

La finestra di dialogo Selezione dei server consente di scegliere uno dei server aggiunti in precedenza al pool, purché sia accessibile. Il server locale che esegue Server Manager è sempre automaticamente disponibile.

Ruoli del server e funzionalità

Remove Roles and Features Wizard - Select roles to remove

Deselezionare la casella di controllo Active Directory Domain Services per abbassare di livello un controller di dominio. Se il server è attualmente un controller di dominio, il ruolo Active Directory Domain Services non viene rimosso, ma si passa alla finestra di dialogo Risultati convalida con l'opzione per l'abbassamento di livello. In caso contrario, vengono rimossi i file binari come qualsiasi altra funzionalità del ruolo.

  • Non rimuovere altri ruoli o funzionalità relative ad Active Directory Domain Services, ad esempio DNS, Console Gestione Criteri di gruppo o strumenti di Strumenti di amministrazione remota del server se si intende innalzare di nuovo di livello il controller di dominio immediatamente. Se si rimuovono altri ruoli e funzionalità, il nuovo innalzamento di livello richiede più tempo, perché Server Manager reinstalla queste funzionalità quando si reinstalla il ruolo.

  • Se si intende abbassare definitivamente di livello il controller di dominio, rimuovere i ruoli e le funzionalità di Servizi di dominio Active Directory non necessari a propria discrezione. Sarà necessario deselezionare le caselle di controllo relative a tali ruoli e funzionalità.

    L'elenco completo di ruoli e funzionalità di Servizi di dominio Active Directory include:

    • Funzionalità Modulo Active Directory per Windows PowerShell
    • Funzionalità Strumenti per Servizi di dominio Active Directory e AD LDS
    • Funzionalità Centro di amministrazione di Active Directory
    • Funzionalità Snap-in e strumenti da riga di comando di Servizi di dominio Active Directory
    • Server DNS.
    • Console Gestione Criteri di gruppo

I cmdlet ADDSDeployment e ServerManager di Windows PowerShell equivalenti sono:

Uninstall-addsdomaincontroller
Uninstall-windowsfeature

Remove Roles and Features Wizard - Confirmation dialog

Remove Roles and Features Wizard - Validation

Credenziali

Active Directory Domain Services Configuration Wizard - Credentials selection

Nella pagina Credenziali è possibile configurare le opzioni di abbassamento di livello. Fornire le credenziali necessarie per eseguire l'abbassamento di livello attenendosi all'elenco seguente:

  • L'abbassamento di livello di un controller di dominio aggiuntivo richiede le credenziali Domain Admin. Selezionando Rimozione forzata controller di dominio il controller di dominio viene abbassato di livello senza che vengano rimossi i metadati dell'oggetto controller di dominio da Active Directory.

    Avviso

    Non selezionare questa opzione se il controller di dominio non riesce a contattare altri controller di dominio e non vi è alcuna soluzione ragionevole per risolvere il problema di rete. L'abbassamento di livello forzato lascia orfani i metadati di Active Directory nei restanti controller di dominio della foresta. Inoltre tutte le modifiche non replicate nel rispettivo controller di dominio, come password o nuovi account utente, andranno perse. I metadati orfani sono la causa principale di una elevata percentuale di casi riportati al supporto tecnico Microsoft riguardanti i Servizi di dominio Active Directory, Exchange, SQL e altre applicazioni software.

    Quando si esegue l'abbassamento di livello forzato di un controller di dominio, è necessario effettuare immediatamente la pulizia dei metadati. Per informazioni sulla procedura, vedere la pagina relativa alla pulizia dei metadati del server.

    Active Directory Domain Services Configuration Wizard - Credentials Force removal

  • Per abbassare il livello dell'ultimo controller di dominio in un dominio è necessario appartenere al gruppo Enterprise Admins, in quanto viene rimosso il dominio stesso (se è l'ultimo dominio nella foresta, viene rimossa anche la foresta). Server Manager segnala che il controller di dominio corrente è l'ultimo controller nel dominio. Selezionare la casella di controllo Ultimo controller di dominio del dominio per confermare che il controller è l'ultimo controller di dominio nel dominio.

Gli argomenti ADDSDeployment di Windows PowerShell equivalenti sono:

-credential <pscredential>
-forceremoval <{ $true | false }>
-lastdomaincontrollerindomain <{ $true | false }>

Avvisi

Active Directory Domain Services Configuration Wizard - Credentials FSMO Roles Impact

La pagina Avvisi avverte delle possibili conseguenze della rimozione di questo controller di dominio. Per continuare, è necessario selezionare Procedi alla rimozione.

Avviso

Se in precedenza è stato selezionato Rimozione forzata controller di dominio nella pagina Credenziali, la pagina Avvisi mostra tutti i ruoli Flexible Single Master Operations ospitati da questo controller di dominio. È necessariorequisire i ruoli da un altro controller di dominioimmediatamentedopo aver abbassato di livello questo server. Per altre informazioni sulla riassegnazione dei ruoli FSMO, vedere Riassegnare il ruolo Master operazioni.

Questa pagina non ha un argomento ADDSDeployment di Windows PowerShell equivalente.

Opzioni di rimozione

Active Directory Domain Services Configuration Wizard - Credentials Remove DNS and Application partitions

La pagina Opzioni di rimozione viene visualizzata se in precedenza è stato selezionato Ultimo controller di dominio del dominio nella pagina Credenziali. Questa pagina consente di configurare altre opzioni di rimozione. Selezionare Ignora ultimo server DNS per la zona, Rimuovi partizioni applicative e Rimuovi la delega DNS per abilitare il pulsante Avanti.

Le opzioni vengono visualizzate solo se applicabili a questo controller di dominio. Se, ad esempio, non esistono deleghe DNS per questo server, la casella di controllo non verrà visualizzata.

Fare clic su Cambia per specificare credenziali amministrative DNS alternative. Selezionare Visualizza partizioni per visualizzare altre partizioni rimosse dalla procedura guidata durante l'abbassamento di livello. Per impostazione predefinita, le sole partizioni aggiuntive sono quelle del DNS dominio e delle zone DNS della foresta. Tutte le altre sono partizioni non Windows.

Gli argomenti del cmdlet di ADDSDeployment equivalenti sono:

-ignorelastdnsserverforzone <{ $true | false }>
-removeapplicationpartitions <{ $true | false }>
-removednsdelegation <{ $true | false }>
-dnsdelegationremovalcredential <pscredential>

Nuova password amministratore

Active Directory Domain Services Configuration Wizard - Credentials New Administrator Password

Il Nuova Password amministratore pagina è necessario fornire una password per account di amministratore del computer locale predefinito, una volta completata l'abbassamento di livello e il computer diventa un server membro del dominio o gruppo di lavoro.

Il cmdlet e gli argomenti Uninstall-ADDSDomainController, se non specificati, seguono le stesse impostazioni predefinite di Server Manager.

L'argomento LocalAdministratorPassword è particolare:

  • Se non viene specificato come argomento, il cmdlet richiede di inserire e confermare una password nascosta. Questo è il metodo di utilizzo consigliabile quando il cmdlet viene eseguito in modo interattivo.
  • Se viene indicato con un valore, tale valore deve essere una stringa sicura. Questo non è il metodo di utilizzo consigliabile quando il cmdlet viene eseguito in modo interattivo.

Ad esempio, è possibile richiedere manualmente una password usando il cmdlet Read-Host per richiedere all'utente una stringa sicura.

-localadministratorpassword (read-host -prompt "Password:" -assecurestring)

Avviso

Poiché le due opzioni precedenti non chiedono conferma della password, usare estrema cautela in quanto la password non è visibile.

È inoltre possibile specificare una stringa sicura come variabile di testo in chiaro convertita, anche se questo metodo è sconsigliato. Ad esempio:

-localadministratorpassword (convertto-securestring "Password1" -asplaintext -force)

Avviso

È sconsigliabile inserire o archiviare una password di testo in chiaro. In questo modo, la password di amministratore locale per il computer diverrebbe nota a chiunque esegua questo comando in uno script o riesca a leggerla dallo schermo dell'utente. Conoscendola, chiunque avrebbe accesso a tutti i dati e potrebbe rappresentare il server stesso.

Conferma

Active Directory Domain Services Configuration Wizard - Review Options

La pagina Conferma mostra l'abbassamento di livello pianificato, ma non le opzioni di configurazione dell'abbassamento di livello. È l'ultima pagina visualizzata dalla procedura guidata prima dell'inizio dell'abbassamento di livello. Usare il pulsante Visualizza script per creare uno script di abbassamento di livello di Windows PowerShell.

Fare clic su Abbassa di livello per eseguire il cmdlet di distribuzione di Active Directory Domain Services seguente:

Uninstall-ADDSDomainController

Usare l'argomento facoltativo Whatif con il cmdlet Uninstall-ADDSDomainController e il cmdlet per rivedere le informazioni sulla configurazione. In questo modo è possibile visualizzare i valori espliciti e impliciti degli argomenti di un cmdlet.

Ad esempio:

Screenshot of a terminal window that shows the explicit and implicit values of a cmdlet's arguments.

Il prompt per riavviare è l'ultima opportunità per annullare questa operazione quando si usa ADDSDeployment per Windows PowerShell. Per sostituire il prompt, usare gli argomenti -force o confirm:$false.

Abbasamento di livello

Active Directory Domain Services Configuration Wizard - Demotion in progress

Quando la pagina Abbassamento di livello viene visualizzata, la configurazione del controller di dominio inizia e non può essere interrotta o annullata. I dettagli delle operazioni vengono visualizzati in questa pagina e scritti nei log:

  • %systemroot%\debug\dcpromo.log
  • %systemroot%\debug\dcpromoui.log

Dal momento che Uninstall-ADDSDomainController e Uninstall-WindowsFeature hanno solo un'azione ciascuno, vengono visualizzati qui nella fase di conferma con gli argomenti obbligatori minimi. Premendo INVIO, viene avviato il processo di abbassamento di livello irrevocabile e viene riavviato il computer.

PowerShell Uninstall-ADDSDomainController Example

PowerShell Uninstall-WindowsFeature Example

Per accettare automaticamente il prompt di riavvio, usare gli argomenti -force o -confirm:$false con un cmdlet ADDSDeployment di Windows PowerShell. Per evitare il riavvio automatico del server al termine dell'innalzamento di livello, usare l'argomento -norebootoncompletion:$false.

Avviso

Si sconsiglia di eseguire l'override del riavvio. Il server membro deve essere riavviato per funzionare correttamente.

PowerShell Uninstall-ADDSDomainController Force Example

Ecco un esempio di abbassamento forzato di livello con il numero minimo di argomenti obbligatori -forceremoval e -demoteoperationmasterrole. L'argomento -credential non è obbligatorio perché l'utente ha eseguito l'accesso come membro del gruppo Enterprise Admins:

Screenshot of a terminal window that shows an example of forcibly demoting with its minimal required arguments of -forceremoval and -demoteoperationmasterrole.

Il seguente è un esempio di rimozione dell'ultimo controller di dominio nel dominio con il numero minimo di argomenti obbligatori -lastdomaincontrollerindomain e -removeapplicationpartitions:

PowerShell Uninstall-ADDSDomainController -LastDomainControllerInDomain Example

Se si tenta di rimuovere il ruolo Active Directory Domain Services prima di abbassare il livello del server, Windows PowerShell blocca l'operazione con un errore:

An uninstallation prerequisite step failed during the removal of AD-Domain-Services, and uninstallation cannot continue. 1. The domain controller needs to be demoted before the Active DirectoryDomain Services Role can be uninstalled.

Importante

È necessario riavviare il computer dopo aver abbassato il livello del server prima di poter rimuovere i file binari del ruolo AD-Domain-Services.

Risultati

You're About to be signed off warning after removal of AD DS

La pagina Risultati mostra l'esito positivo o negativo dell'innalzamento di livello e le informazioni amministrative importanti. Il controller di dominio verrà automaticamente riavviato dopo 10 secondi.