Поделиться через

Понижение уровня контроллеров домена и доменов

В этой статье объясняется, как удалить службы домен Active Directory (AD DS) с помощью диспетчер сервера или Windows PowerShell.

Рабочий процесс удаления AD DS

Диаграмма рабочего процесса удаления AD DS

Внимание

Удаление ролей AD DS с помощью Dism.exe или модуля DISM Windows PowerShell после повышения уровня контроллера домена (DC) не поддерживается и не позволяет серверу нормально загружаться.

В отличие от диспетчера сервера или модуля ADDSDeployment для Windows PowerShell, DISM — это собственная система обслуживания, которая не распознает доменные службы Active Directory или их конфигурацию. Мы не рекомендуем использовать Dism.exe или модуль DISM Windows PowerShell для удаления роли AD DS, если сервер больше не является контроллером домена.

Понижение и удаление ролей с помощью PowerShell

Командлеты ADDSDeployment и ServerManager Аргументы (аргументы полужирного шрифта обязательны. Курсивные аргументы можно указать с помощью Windows PowerShell или мастера настройки AD DS.)
Uninstall-ADDSDomainController -SkipPreChecks

-LocalAdministratorPassword

-Confirm

-Мандат

-DemoteOperationMasterRole

-DNSDelegationRemovalCredential

-Force

-ForceRemoval

-IgnoreLastDCInDomainMismatch

-IgnoreLastDNSServerForZone

-LastDomainControllerInDomain

-Norebootoncompletion

-RemoveApplicationPartitions

-RemoveDNSDelegation

-RetainDCMetadata
Uninstall-WindowsFeature/Remove-WindowsFeature -Имя

-IncludeManagementTools

-Перезапуск

-Remove

-Force

-ComputerName

-Credential

-LogPath

-Vhd

Дополнительные сведения о том, как понизить контроллер домена с помощью PowerShell, см. в справочниках по Uninstall-ADDSDomainController и Uninstall-WindowsFeature PowerShell.

При использовании Uninstall-ADDSDomainController и Uninstall-WindowsFeatureэтих командах требуются только минимальные аргументы, так как они выполняют одно действие. Нажатие клавиши ВВОД на этапе подтверждения инициирует необратимый процесс понижения и перезапускает устройство.

Примечание.

Аргумент учетных данных требуется только в том случае, если вы еще не выполнили вход в качестве члена группы администраторов предприятия или группы администраторов домена. Аргумент IncludeManagementTools требуется только в том случае, если требуется удалить все служебные программы управления AD DS.

Понижение

Удаление ролей и компонентов

Существует два метода, которые можно использовать для удаления роли AD DS:

  • В меню Управление на главной информационной панели выберите пункт Удалить роли и компоненты

    диспетчер сервера. Удаление ролей и компонентов

  • Выберите AD DS или все серверы на панели навигации. Перейдите вниз к разделу Роли и компоненты. Щелкните правой кнопкой мыши домен Active Directory Службы в списке ролей и компонентов и выберите "Удалить роль" или "Функция". В этом интерфейсе пропускается страница Выбор сервера.

    диспетчер сервера — все серверы— удаление ролей и компонентов

Командлеты ServerManager Remove-WindowsFeature и Remove-WindowsFeature не позволят удалить роль AD DS до тех пор, пока контроллер домена не будет понижен.

Выбор сервера

Мастер удаления ролей и компонентов выберите целевой сервер

Диалоговое окно выбора сервера позволяет выбрать один из серверов, добавленных ранее в пул, до тех пор, пока он доступен. Локальный сервер, на котором запущен диспетчер сервера, доступен всегда.

"Роли сервера" и "Компоненты"

Мастер удаления ролей и компонентов— выбор ролей для удаления

Снимите флажок "Службы домен Active Directory", чтобы понизить контроллер домена; если сервер в настоящее время является контроллером домена, это не удаляет роль AD DS и вместо этого переключается на диалоговое окно "Результаты проверки" с предложением для понижения. В противном случае он удаляет двоичные файлы, как и любую другую функцию роли.

  • Не удаляйте другие роли или компоненты, связанные с AD DS, такие как DNS, GPMC или средства RSAT, если вы планируете повторно повысить уровень контроллера домена. Удаление дополнительных ролей и компонентов увеличивает время, необходимое для повторного повышения роли, так как диспетчер сервера повторно устанавливает их при переустановке роли.

  • Если вы планируете понизить роль контроллера домена навсегда, удалите ненужные роли и компоненты доменных служб Active Directory по собственному усмотрению. Для этого необходимо снять флажки, соответствующие этим ролям и компонентам.

    Вот полный список ролей и компонентов, связанных с доменными службами Active Directory:

    • Модуль Active Directory для Windows PowerShell
    • Средства AD DS и AD LDS
    • Центр администрирования Active Directory
    • Оснастки и программы командной строки AD DS
    • DNS-сервер
    • Консоль управления групповыми политиками

Эквивалентные командлеты модулей ADDSDeployment и ServerManager Windows PowerShell:

Uninstall-ADDSDomainController
Uninstall-WindowsFeature

Мастер удаления ролей и компонентов — диалоговое окно подтверждения

Мастер удаления ролей и компонентов — проверка

Подтверждение компетенции

Мастер настройки служб домен Active Directory — выбор учетных данных

Параметры понижения уровня настраиваются на странице Учетные данные. Учетные данные, необходимые для понижения уровня, представлены в следующем списке:

  • Для понижения уровня дополнительного контроллера домена требуются учетные данные администратора домена. При выборе принудительного удаления этого контроллера домена контроллер домена понижение контроллера домена без удаления метаданных объекта контроллера домена из Active Directory.

    Предупреждение

    Этот параметр следует выбрать, только если контроллер домена не может установить связь с другими контроллерами домена и нет другого способа разрешить эту сетевую проблему. Принудительное понижение уровня оставляет потерянные метаданные в Active Directory на оставшихся контроллерах домена леса. Помимо этого, все нереплицированные изменения на этом контроллере домена, например пароли и новые учетные записи пользователей, навсегда теряются. Потерянные метаданные — это основная причина обращения в службу поддержки пользователей Майкрософт по поводу AD DS, Exchange, SQL и другого программного обеспечения.

    При принудительном понижении уровня контроллера домена необходимо немедленно почистить метаданные вручную. Этапы очистки см. в разделе Очистка метаданных сервера.

    Мастер настройки служб домен Active Directory — принудительное удаление учетных данных

  • Для понижения уровня последнего контроллера домена требуется членство в группе администраторов предприятия, так как при этом удаляется сам домен (если это последний домен леса, при этом удаляется лес). Диспетчер сервера сообщает, является ли текущий контроллер последним контроллером в домене. Для подтверждения того, что контроллер является последним в домене, необходимо установить флажок Последний контроллер домена в домене.

Эквивалентные аргументы Windows PowerShell ADDSDeployment:

-Credential <PSCredential>
-ForceRemoval <{ $true | $false }>
-LastDomainControllerInDomain <{ $true | $false }>

Предупреждения

Мастер настройки служб домен Active Directory — влияние ролей FSMO

Страница Предупреждения информирует о возможных последствиях удаления контроллера домена. Чтобы продолжить, необходимо установить флажок Продолжить удаление.

Предупреждение

Если ранее на странице Учетные данные вы выбрали параметр Принудительно удалить контроллер домена, на странице Предупреждения будут показаны все роли FSMO, размещенные в этом контроллере домена. Необходимо захватить роли с другого контроллера домена сразу после понижения роли этого сервера. Дополнительные сведения о захвате ролей FSMO см. в разделе Захват роли хозяина операций.

На этой странице нет эквивалентного аргумента ADDSDeployment Windows PowerShell.

Параметры удаления

Мастер настройки служб домен Active Directory — учетные данные удаляют разделы DNS и приложений

Страница Параметры удаления выводится или не выводится в зависимости от того, был ли выбран параметр Последний контроллер домена в домене на странице Учетные данные. На ней можно настроить дополнительные параметры удаления. Нажмите кнопку "Игнорировать последний DNS-сервер для зоны", "Удалить секции приложений" и "Удалить делегирование DNS", чтобы включить кнопку "Далее".

Параметры выводятся, только если они применимы к этому контроллеру домена. Например, если для этого сервера нет делегирования DNS, этот флажок не будет отображаться.

Выберите "Изменить", чтобы указать альтернативные учетные данные администратора DNS. Выберите "Просмотреть секции", чтобы просмотреть дополнительные секции , которые мастер удаляет во время понижения. По умолчанию единственными дополнительными разделами являются зоны DNS-домена и DNS-леса. Все остальные разделы не относятся к Windows.

Эквивалентные аргументы командлета ADDSDeployment:

-IgnoreLastDnsServerForZone <{ $true | false }>
-RemoveApplicationPartitions <{ $true | false }>
-RemoveDNSDelegation <{ $true | false }>
-DNSDelegationRemovalCredential <PsCredential>

Новый пароль администратора

Мастер настройки служб домен Active Directory — учетные данные нового пароля администратора

На странице "Новый пароль администратора" необходимо указать пароль для встроенной учетной записи администратора локального компьютера, после завершения понижения, а компьютер становится сервером-членом домена или компьютером рабочей группы.

Если аргументы командлета Uninstall-ADDSDomainController не заданы, они имеют те же значения по умолчанию, что и параметры в диспетчере сервера.

Аргумент LocalAdministratorPassword действует особым образом.

  • Если этот аргумент не указан, командлет предлагает ввести и подтвердить скрытый пароль. Это предпочтительный вариант использования при интерактивном выполнении командлета.
  • Если аргумент указан со значением, это значение должно быть защищенной строкой. Это не предпочтительное использование при интерактивном выполнении командлета.

Например, можно вручную запрашивать пароль с помощью командлета Read-Host для запроса пользователя к безопасной строке.

Uninstall-ADDSDomainController -LocalAdministratorPassword (Read-Host -Prompt "Password:" -AsSecureString)

Предупреждение

Так как предыдущие два варианта не подтверждают пароль, используйте крайнюю осторожность: пароль не отображается.

Можно также ввести защищенную строку в качестве переменной с преобразованным открытым текстом, хотя использовать такой вариант настоятельно не рекомендуется. Например:

Uninstall-ADDSDomainController -LocalAdministratorPassword (ConvertTo-SecureString "Password1" -AsPlainText -Force)

Предупреждение

Ввод или хранение пароля в виде открытого текста не рекомендуется. Любой пользователь, выполняющий эту команду в сценарии или заглядывающий через ваше плечо, сможет узнать пароль локального администратора этого компьютера. Зная пароль, он получит доступ ко всем данным на нем и сможет персонифицировать сам сервер.

Подтверждение

Мастер настройки служб домен Active Directory — параметры проверки

На странице подтверждения показан плановый понижение. Страница не выводит список параметров настройки понижения. Это последняя страница мастера, отображаемая перед тем, как начнется понижение роли. При нажатии на кнопку "Просмотреть сценарий" создается сценарий понижения роли Windows PowerShell.

Выберите "Понижение" , чтобы запустить следующий командлет развертывания AD DS:

Uninstall-ADDSDomainController

Для просмотра информации о конфигурации используйте необязательный аргумент Whatif с командлетом Uninstall-ADDSDomainController. Это позволит просмотреть явные и неявные значения аргументов командлета.

Например:

Снимок экрана: окно терминала с явными и неявными значениями аргументов командлета.

Запрос на перезагрузку — это последняя возможность отменить эту операцию при использовании модуля Windows PowerShell ADDSDeployment. Чтобы подавить этот запрос, используйте аргумент -force или confirm:$false.

Понижение уровня

Мастер настройки служб домен Active Directory — понижение

При отображении страницы понижения конфигурация контроллера домена начинается и не может быть остановлена или отменена. Подробная информация об операциях выводится на этой странице и записывается в следующие журналы:

  • %systemroot%\debug\dcpromo.log
  • %systemroot%\debug\dcpromoui.log

Пример PowerShell Uninstall-ADDSDomainController

Пример удаления PowerShell с WindowsFeature

Чтобы автоматически закрывать напоминание о перезагрузке, используйте аргументы -force или -confirm:$false с любым командлетом Windows PowerShell ADDSDeployment. Чтобы предотвратить автоматическую перезагрузку сервера по завершении повышения роли, используйте аргумент -norebootoncompletion:$false.

Предупреждение

Отключать перезагрузку не рекомендуется. Для правильной работы рядовой сервер должен перезагрузиться.

Пример принудительного использования PowerShell Uninstall-ADDSDomainController

Вот пример принудительного понижения с минимальными необходимыми аргументами -forceremoval и -demoteoperationmasterrole. Аргумент -credential не требуется, так как пользователь вошел в систему в качестве члена группы администраторов предприятия:

Снимок экрана: окно терминала, в котором показан пример принудительного понижения с минимальными необходимыми аргументами -forceremoval и -demoteoperationmasterrole.

Ниже приведен пример удаления последнего контроллера домена в домене с минимальными обязательными аргументами -lastdomaincontrollerindomainindomain и -removeapplicationpartitions:

Пример удаления PowerShell-ADDSDomainController -LastDomainControllerInDomain

Если вы пытаетесь удалить роль AD DS перед понижением сервера, Windows PowerShell блокирует ошибку:

Предварительный шаг удаления произошел сбоем во время удаления доменных служб AD, и удаление не может продолжиться. 1. Контроллер домена должен быть понижен до удаления роли служб Active DirectoryDomain.

Внимание

Чтобы получить возможность удалить двоичные файлы роли доменных служб Active Directory, необходимо перезапустить компьютер после понижения роли сервера.

Результаты

Вы будете подписаны предупреждение после удаления AD DS

На странице Результаты показано, успешно ли было выполнено повышение роли, а также приводится важная для администраторов информация. Контроллер домена автоматически перезагрузится через 10 секунд.