Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W tym artykule wyjaśniono, jak usunąć usługi Active Directory Domain Services (AD DS) przy użyciu Menedżera serwera lub programu Windows PowerShell.
Przepływ pracy usuwania usług AD DS
Poniższy diagram przepływu pracy przedstawia kroki usuwania usług AD DS.
Caution
Usunięcie ról usług AD DS za pomocą Dism.exe lub modułu DISM programu Windows PowerShell po awansowaniu na kontroler domeny (DC) nie jest obsługiwane i uniemożliwia normalne uruchomienie serwera.
W przeciwieństwie do Menedżera serwera lub modułu ADDSDeployment dla programu Windows PowerShell, DISM jest natywnym systemem obsługi, który nie ma nieodłącznej wiedzy na temat usług AD DS ani jego konfiguracji. Nie zalecamy używania Dism.exe ani modułu DISM programu Windows PowerShell w celu odinstalowania roli usług AD DS, chyba że serwer nie jest już kontrolerem domeny.
Degradacja i usuwanie roli za pomocą programu PowerShell
| Polecenia cmdlet ADDSDeployment i ServerManager | Arguments (Bold arguments are required. Italicized arguments can be specified by using Windows PowerShell or the AD DS Configuration Wizard.) |
|---|---|
| Uninstall-ADDSDomainController | -SkipPreChecks -LocalAdministratorPassword -Confirm -Credential -DemoteOperationMasterRole -DNSDelegationRemovalCredential -Force -ForceRemoval -IgnoreLastDCInDomainMismatch -IgnoreLastDNSServerForZone -LastDomainControllerInDomain -Norebootoncompletion -RemoveApplicationPartitions -RemoveDNSDelegation -RetainDCMetadata |
| Uninstall-WindowsFeature/Remove-WindowsFeature |
-Name -IncludeManagementTools -Restart -Remove -Force -ComputerName -Credential -LogPath -Vhd |
To learn more about how to demote your DC using PowerShell, see the Uninstall-ADDSDomainController and Uninstall-WindowsFeature PowerShell references.
Kiedy używa się Uninstall-ADDSDomainController i Uninstall-WindowsFeature, te polecenia wymagają tylko minimalnych argumentów, ponieważ każde z nich wykonuje jedną akcję. Pressing the Enter key during the confirmation phase initiates the irrevocable demotion process and restarts your device.
The Credential argument is only required if you aren't already signed in as a member of the Enterprise Admins group or the Domain Admins group. The IncludeManagementTools argument is only required if you want to remove all of the AD DS management utilities.
Demote
Usuwanie ról i funkcji
Istnieją dwie metody, których można użyć, aby usunąć rolę usług AD DS.
The Manage menu on the main dashboard, using Remove Roles and Features
Select AD DS or All Servers on the navigation pane. Przewiń w dół do sekcji Role i funkcje . Kliknij prawym przyciskiem myszy usługi Active Directory Domain Services na liście Role i funkcje , a następnie wybierz polecenie Usuń rolę lub funkcję. This interface skips the Server Selection page.
The ServerManager cmdlets Uninstall-WindowsFeature and Remove-WindowsFeature prevent you from removing the AD DS role until you demote the domain controller.
Server selection
The Server Selection dialog enables you to choose from one of the servers previously added to the pool, as long as it's accessible. Serwer lokalny z Menedżerem serwera jest zawsze automatycznie dostępny.
Role i funkcje serwera
Wyczyść pole wyboru Usługi domenowe Active Directory , aby obniżyć poziom kontrolera domeny; Jeśli serwer jest obecnie kontrolerem domeny, nie powoduje to usunięcia roli usług AD DS i zamiast tego przełącza się do okna dialogowego Wyniki weryfikacji z ofertą, aby obniżyć poziom. W przeciwnym razie usuwa pliki binarne, tak jak każda inna funkcjonalność roli.
- Nie usuwaj żadnych innych ról ani funkcji związanych z usługami AD DS — takich jak DNS, GPMC lub narzędzia RSAT — jeśli zamierzasz ponownie podwyższyć poziom kontrolera domeny. Usunięcie innych ról i funkcji zwiększa czas ponownego uruchamiania, ponieważ Menedżer serwera ponownie zainstaluje te funkcje podczas ponownej instalacji roli.
- Usuń niepotrzebne role i funkcje usług AD DS według własnego uznania, jeśli zamierzasz trwale zdegradować kontroler domeny. Wymaga to wyczyszczenia pól wyboru dla tych ról i funkcji.
Pełna lista ról i funkcji związanych z usługami AD DS obejmuje:
- Moduł usługi Active Directory dla funkcji programu Windows PowerShell
- Funkcja narzędzi AD DS i AD LDS
- Funkcja Centrum administracyjnego usługi Active Directory
- Funkcje przystawek AD DS i narzędzi wiersza polecenia
- DNS Server
- Konsola zarządzania zasadami grupy
Równoważne polecenia cmdlet programu ADDSDeployment i ServerManager środowiska Windows PowerShell to:
Uninstall-ADDSDomainController
Uninstall-WindowsFeature
Credentials
You configure demotion options on the Credentials page. Podaj poświadczenia niezbędne do degradacji z następującej listy:
Obniżenie poziomu dodatkowego kontrolera domeny wymaga poświadczeń administratora domeny. Wybranie opcji Wymuś usunięcie tego kontrolera domeny powoduje obniżenie poziomu kontrolera domeny bez usuwania metadanych obiektu kontrolera domeny z usługi Active Directory.
Warning
Nie wybieraj tej opcji, chyba że kontroler domeny nie może skontaktować się z innymi kontrolerami domeny i nie ma rozsądnego sposobu rozwiązania tego problemu z siecią. Wymuszone obniżenie poziomu pozostawia osierocone metadane w usłudze Active Directory na pozostałych kontrolerach domeny w lesie domenowym. Ponadto wszystkie niereplikowane zmiany na tym kontrolerze domeny, takie jak hasła lub nowe konta użytkowników, zostaną utracone na zawsze. Osierocone metadane są główną przyczyną znacznego procentu zgłoszeń do pomocy technicznej klienta firmy Microsoft dotyczących usług AD DS, Exchange, SQL i innego oprogramowania.
If you forcibly demote a domain controller, you must manually perform metadata cleanup immediately. Aby uzyskać instrukcje, zapoznaj się z Czyszczenie metadanych serwera.
Obniżenie poziomu ostatniego kontrolera domeny w domenie wymaga członkostwa w grupie Administratorzy przedsiębiorstwa, ponieważ spowoduje to usunięcie samej domeny (jeśli jest to ostatnia domena w lesie domenowym, spowoduje to usunięcie lasu domenowego). Menedżer serwera informuje, czy bieżący kontroler domeny jest ostatnim kontrolerem domeny w domenie. Zaznacz pole wyboru Ostatni kontroler domeny w domenie , aby potwierdzić, że kontroler domeny jest ostatnim kontrolerem domeny w domenie.
Równoważne argumenty programu ADDSDeployment środowiska Windows PowerShell to:
-Credential <PSCredential>
-ForceRemoval <{ $true | $false }>
-LastDomainControllerInDomain <{ $true | $false }>
Warnings
The Warnings page alerts you to the possible consequences of removing this domain controller. Aby kontynuować, musisz wybrać pozycję Kontynuuj usuwanie.
Jeśli wcześniej wybrano opcję Wymuś usunięcie tego kontrolera domeny na stronie Poświadczenia, na stronie Ostrzeżenia zostaną wyświetlone wszystkie role elastycznych operacji głównych hostowane przez ten kontroler domeny. You must seize the roles from another domain controller immediately after demoting this server. Aby uzyskać więcej informacji na temat przejmowania ról FSMO, zobacz Przejmowanie roli wzorca operacji.
Ta strona nie ma równoważnego argumentu Windows PowerShell programu ADDSDeployment.
Removal Options
The Removal Options page appears, depending on previously selecting Last domain controller in the domain on the Credentials page. Ta strona umożliwia skonfigurowanie dodatkowych opcji usuwania. Wybierz pozycję Ignoruj ostatni serwer DNS dla strefy, Usuń partycje aplikacji i Usuń delegowanie DNS , aby włączyć przycisk Dalej .
Opcje są wyświetlane tylko wtedy, gdy mają zastosowanie do tego kontrolera domeny. Jeśli na przykład nie ma delegowania DNS dla tego serwera, to to pole wyboru nie jest wyświetlane.
Select Change to specify alternate DNS administrative credentials. Select View Partitions to view extra partitions the wizard removes during the demotion. Domyślnie jedynymi innymi partycjami są domenowe strefy DNS i strefy DNS lasu. Wszystkie inne partycje to partycje inne niż Windows.
Równoważne argumenty polecenia cmdlet modułu ADDSDeployment to:
-IgnoreLastDnsServerForZone <{ $true | false }>
-RemoveApplicationPartitions <{ $true | false }>
-RemoveDNSDelegation <{ $true | false }>
-DNSDelegationRemovalCredential <PsCredential>
Nowe hasło administratora
Strona Nowego hasła administratora wymaga podania hasła dla wbudowanego konta Administratora komputera lokalnego, po zakończeniu procesu obniżenia roli i przekształceniu się w serwer członkowski domeny lub komputer w grupie roboczej.
The Uninstall-ADDSDomainController cmdlet and arguments follow the same defaults as Server Manager if not specified.
The LocalAdministratorPassword argument is special:
- If not specified as an argument, then the cmdlet prompts you to enter and confirm a masked password. Jest to preferowane użycie przy interaktywnym uruchamianiu polecenia cmdlet.
- Jeśli określono wartość, wartość musi być bezpiecznym ciągiem znaków. Nie jest to preferowane użycie podczas interakcyjnego uruchamiania polecenia cmdlet.
For example, you can manually prompt for a password by using the Read-Host cmdlet to prompt the user for a secure string.
Uninstall-ADDSDomainController -LocalAdministratorPassword (Read-Host -Prompt "Password:" -AsSecureString)
Ponieważ poprzednie dwie opcje nie potwierdzają hasła, należy zachować szczególną ostrożność. Hasło nie jest widoczne.
Można również podać bezpieczny ciąg jako przekonwertowaną zmienną w postaci zwykłego tekstu, chociaż jest to zdecydowanie niezalecane. For example:
Uninstall-ADDSDomainController -LocalAdministratorPassword (ConvertTo-SecureString "Password1" -AsPlainText -Force)
Podanie lub zapisanie hasła w postaci zwykłego tekstu nie jest zalecane. Każdy, kto uruchamia to polecenie w skrypcie lub patrzy przez ramię, zna hasło administratora lokalnego tego komputera. Dzięki tej wiedzy mają dostęp do wszystkich swoich danych i mogą personifikować sam serwer.
Confirmation
The Confirmation page shows the planned demotion; the page doesn't list demotion configuration options. Jest to ostatnia strona, która zostanie wyświetlona przed rozpoczęciem degradacji. Przycisk Wyświetl skrypt tworzy skrypt obniżania poziomu programu Windows PowerShell.
Select Demote to run the following AD DS Deployment cmdlet:
Uninstall-ADDSDomainController
Use the optional Whatif argument with the Uninstall-ADDSDomainController and cmdlet to review configuration information. Dzięki temu można zobaczyć jawne i niejawne wartości argumentów polecenia cmdlet.
For example:
Monit o ponowne uruchomienie to ostatnia okazja do anulowania tej operacji podczas korzystania z programu ADDSDeployment Windows PowerShell. To override that prompt, use the -force or confirm:$false arguments.
Demotion
When the Demotion page displays, the domain controller configuration begins and can't be halted or canceled. Szczegółowe operacje są wyświetlane na tej stronie i zapisywane w dziennikach:
- %systemroot%\debug\dcpromo.log
- %systemroot%\debug\dcpromoui.log
To accept the reboot prompt automatically, use the -force or -confirm:$false arguments with any ADDSDeployment Windows PowerShell cmdlet. To prevent the server from automatically rebooting at the end of promotion, use the -norebootoncompletion:$false argument.
Warning
Unikanie restartu jest odradzane. Serwer członkowski musi zostać uruchomiony ponownie, aby działał poprawnie.
Here's an example of forcibly demoting with its minimal required arguments of -forceremoval and -demoteoperationmasterrole. The -credential argument isn't required because the user logged on as a member of the Enterprise Admins group:
Here's an example of removing the last domain controller in the domain with its minimal required arguments of -lastdomaincontrollerindomain and -removeapplicationpartitions:
Jeśli spróbujesz usunąć rolę usług AD DS przed obniżeniem poziomu serwera, program Windows PowerShell zablokuje cię i wyświetli błąd.
Important
Musisz ponownie uruchomić komputer po obniżeniu poziomu serwera, zanim będzie można usunąć pliki binarne roli AD-Domain-Services.
Results
The Results page shows the success or failure of the promotion and any important administrative information. Kontroler domeny automatycznie uruchamia się ponownie po 10 sekundach.