Как удалить домен windows server 2012

В этой статье мы рассмотрим процедуры корректного удаления контроллера домена Active Directory на Windows Server 2022/2019/2016/2012R2. Обычно при удалении контроллера домена рассматривается один из сценариев:

Понижение контроллера домена с удалением роли Active Directory Domain Services

Если вы выполняете плановое удаление (декомиссию) одного из существующих контроллеров домена AD (обычного DC или RODC), то прежде чем понизить контроллер домена до рядового Windows Server и удалить роль ADDS, нужно выполнить ряд подготовительных шагов.

1. Проверьте состояние вашего контроллера домена, Active Directory и репликации. На сайте есть отдельная статья с описанием команд диагностики здоровья контроллера домена и репликации в AD с помощью
   dcdiag
   ,
   repadmin
   и скриптов PowerShell. Исправьте найденные проблемы. Для вывода списка ошибок на конкретном контроллере домена выполните команду:
   dcdiag.exe /s:dc01 /q
2. Убедитесь, что на контроллере домена не запущены FSMO роли AD:
   netdom query fsmo
   Если нужно, перенесите роли FSMO на другой DC;
3. Убедитесь, что на DC не запушена роль DHCP сервера. Если запущена, мигрируйте ее на другой сервер;
4. Измените настройки DNS для DHCP областей, которые выдаются клиентам IP адреса. Перенастройте DHCP клиентов на другой DNS сервер (дождитесь окончания времени аренды IP адресов, чтобы все клиенты получили новые настройки DNS). Вы можете вывести список DNS серверов, заданных для всех зон (DNS Servers Option 006) на определенном сервере с помощью следующей команды PowerShell (подробнее об управлении DHCP в Windows Server с помощью PowerShell):
   Get-DhcpServerv4Scope -ComputerName msk-dhcp01.winitpro.ru| Get-DhcpServerv4OptionValue | Where-Object {$_.OptionID -like 6} | FT Value
5. Некоторые клиенты могут быть настроены на использование DNS сервера на DC вручную (сетевые устройства, сервера, принтеры, сканеры и т.д.). Вам нужно найти такие устройства и перенастроить их на другой DNS сервер. Проще всего обнаружить устройства, обращающиеся к DNS серверу по его логам. Вот подробная статья: Аудит DNS запросов клиентов в Windows Server по DNS логам;
6. Если на контроллере домена запущен центр сертификации (роль Certificate Authority), нужно мигрировать его на другой сервер;
7. Если на контроллере домена запущены другие службы (например, KMS сервер, Raduis/NPS, WSUS и т.д.), решите нужно ли переносить их на другие сервера;
8. Воспользуйтесь командлетом
   Test-ADDSDomainControllerUninstallation
   , чтобы проверить оставшиеся зависимости и проблемы, с которыми вы можете столкнуться при удалении DC. Если командлет вернет статус
   Sucсess
   , можете продолжить.

Теперь можно приступить к понижению роли контроллера домена до рядового сервера. До Windows Server 2012 для этого использовалась команда dcpromo. В современных версиях Windows Server этот инструмент считается устаревшим и не рекомендуется к использованию.

Вы можете понизить роль контроллера домена с помощью Server Manager. Запустите Server Manager -> Remote Roles and Features -> снимите чекбокс Active Directory Domain Services в секции Server Roles.

Нажмите на кнопку Demote this domain controller.

Должно открыться окно Active Directory Domain Services Configuration Wizard. Опцию Force the removal of this domain controller используется при удалении последнего контроллера домена. Включать ее не нужно. В дальнейшем мы удалим метаданные о DC вручную.

В следующем окне отметьте опцию Proceed with removal.

Затем задайте пароль учетной записи локального администратора сервера.

На последнем этапе останется нажать кнопку Demote.

Дождитесь окончания понижения контроллера домена. Должна появится надпись Successfully demoted the Active Directory Domain Controller.

Перезагрузите сервер, еще раз запустите Server Manager для удаления роли Active Directory Domain Services.

При удалении роли ADDS по-умолчанию будут удалены следующие компоненты:

• Модуль Active Directory Module for Windows PowerShell
• AD DS and AD LDS Tools feature
• Active Directory Administrative Center
• AD DS Snap-ins and Command-line Tools
• DNS Server
• Консоль Group Policy Management Console (
  gpmc.msc
  )

Запустите консоль Active Directory Users and Computers (dsa.msc) и убедитесь, что учетная запись контроллера домена была удалена из OU Domain Controllers.

Также вы можете удалить контроллер домена с помощью PowerShell командлета
Uninstall-ADDSDomainController
. Команда попросит вас задать пароль локального администратора и подтвердить понижение DC.

После перезагрузки останется с помощью PowerShell удалить роль ADDS:

Uninstall-WindowsFeature AD-Domain-Services -IncludeManagementTools

Теперь запустите консоль Active Directory Sites and Services (
dssite.msс
), найдите сайт контроллера домена и его учетную запись в разделе Servers. Разверните DC, щелкните ПКМ по NTDS Settings и выберите Delete.

Подтвердите удаление DC, отметив опцию Delete This Domain controller anyway. It is permanently offline and ac no longer be removed using the removal wizard.

Затем удалите учетную запись сервера.

Дождитесь окончания репликации в AD и проверьте состояние домена с помощью
dcdiag
и
repadmin
(как описано выше).

Удаление неисправного контроллера домена Active Directory

Если ваш контроллер домена вышел из строя (физический сервер или файлы виртуального DC на хранилище) и вы не планируете восстанавливать DC его из созданной ранее резервной копии контроллера домена, можно удалить его принудительно.

Важно. Удаленный таким образом контроллер домена ни в коем случае нельзя включать в сеть.

До Windows Server 2008 R2 для удаления неисправного контроллера домена и очистки его метаданных в AD использовалась консольная утилита ntdsutil. В современных версиях Windows Server 2022/2019/2016/2012 вы можете удалить вышедший из строя DC и корректно очистить метаданные с помощью графических
mmc
оснасток управления AD.

Откройте консоль ADUC (
dsa.msc
) и перейдите в контейнер Domain Controllers. Найдите учетную запись вашего DC и удалите ее.

Появится окно с подтверждением удаления DC. Включите опцию Delete this Domain Controller anyway. И нажмите кнопку Delete.

Active Directory автоматически очистит метаданные об удаленном DC из базы ntds.dit.

Теперь нужно удалить контроллер домена в консоли AD Sites and Services как описано выше.

И последний шаг – удаление записей о контроллере домена в DNS. Откройте консоль DNS Manager (
dnsmgmt.msc
).

Удалите сервер из списка Name Servers в настройках зоны.

Удалите статические записи Name Servers (NS), оставшиеся от удаленного DC в вашей DNS зоне и разделах
_msdcs
,
_sites
,
_tcp
,
_udp
, и PTR записи в обратной зоне.

Или воспользуйтесь PowerShell для поиска и удаления записей в DNS.

Итак, в этой статье мы описали пошаговую процедуру, которая поможет вам понизить контроллер домена или удалить неисправный DC из Active Directory.

Понижение контроллера домена и удаление роли AD DS

Обновлено: 15.08.2023
Опубликовано: 27.06.2020

Используемые термины: Active Directory, FSMO.

Мы рассмотрим пример корректного удаление роли Active Directory Domain Services для Windows Server 2012 / 2012 R2 / 2016 / 2019.

Процесс полного удаления разобьем на несколько этапов:

Подготовка системы

Если в нашей среде AD не один контроллер домена и мы не хотим удалять сам домен, а только один из его серверов со службой каталогов, стоит выполнить предварительные операции, чтобы минимизировать возможные проблемы.

Перенос ролей контроллера домена

Active Directory насчитывает 5 FSMO ролей, которые отвечают за корректную работу службы каталогов. Смотрим, на каких серверах запущены данные роли с помощью команд в Powershell:

Get-ADForest dmosk.local | ft DomainNamingMaster, SchemaMaster

Get-ADDomain dmosk.local | ft InfrastructureMaster, PDCEmulator, RIDMaster

* где dmosk.local — домен, для которого нужно узнать назначенные роли FSMO.

Если какие-то роли назначены на сервере, который планируется понизить, то необходимо с помощью команды типа:

Move-ADDirectoryServerOperationMasterRole <имя сервера, куда переносим> <название роли>

… передать роль.

Подробнее о передаче и захвате в инструкции Управление FSMO ролями Active Directory с помощью Powershell.

Проверка состояния AD

На любом из контроллеров домена вводим команду:

dcdiag /a /q

Данная команда запустит проверку состояния среды AD и выдаст ошибки, если такие будут. Необходимо обратить внимание на сообщения и, по возможности, решить проблемы.

Понижение контроллера домена

Первым шагом понизим наш сервер до рядового сервера. Это можно сделать с помощью графического интерфейса, Powershell или командной строки.

Графика

Открываем Диспетчер серверов и переходим в Управление — Удалить роли и компоненты:

Если откроется окно с приветствием, то просто нажимаем Далее (при желании, можно поставить галочку Пропускать эту страницу по умолчанию):

В окне «Выбор целевого сервера» выбираем сервер, для которого мы будем понижать уровень AD:

… и нажимаем Далее.

Снимаем галочку Доменные службы Active Directory. откроется окно в котором отобразится список компонентов для удаления — нажимаем Удалить компоненты:

Система вернет ошибку с предупреждением, что сначала нужно понизить AD — кликаем по ссылке Понизить уровень этого контроллера домена:

В следующем окне мы увидим предупреждение о том, что компьютер будет перезагружен и возможность принудительно понизить уровень — просто нажимаем Далее:

Система отобразит роли AD, которые будут удалены. Ставим галочку Продолжить удаление и нажимаем Далее:

Вводим дважды пароль учетной записи локального администратора, который будет использоваться после понижения до рядового сервера:

Кликаем по Понизить уровень:

Процесс займет какое-то время. После мы увидим «Уровень контроллера домена Active Directory успешно понижен»:

Сервер автоматически будет перезагружен.

Powershell

Открываем консоль Powershell от администратора и вводим:

Uninstall-ADDSDomainController

Если в нашей сети это последний контроллер домена, то команда для удаления будет  следующей:

Uninstall-ADDSDomainController -LastDomainControllerInDomain -RemoveApplicationPartitions

Система запросит пароль для локальной учетной записи администратора, которая будет использоваться после понижения — задаем новый пароль дважды:

LocalAdministratorPassword: **********
Подтвердить LocalAdministratorPassword: **********

Мы получим предупреждение о перезагрузки сервера. Соглашаемся:

После завершения этой операции сервер будет автоматически перезапущен. Когда вы удалите доменные службы Active
Directory на последнем контроллере домена, этот домен перестанет существовать.
Вы хотите продолжить эту операцию?
[Y] Да — Y  [A] Да для всех — A  [N] Нет — N  [L] Нет для всех — L  [S] Приостановить — S  [?] Справка
(значением по умолчанию является «Y»): A

Для выполнения команды уйдет некоторое время, после чего сервер уйдет в перезагрузку.

Удаление роли AD DS

После понижения сервера роль, по-прежнему, будет установлена. Для ее удаления мы также можем воспользоваться графической оболочкой или командной строкой.

Графика

В диспетчере серверов кликаем снова по Управление — Удалить роли и компоненты:

Среди серверов выбираем тот, на котором будем удалять роль:

* сервер может быть только один. Тогда выбираем его.

Снимаем галочку Доменные службы Active Directory, в открывшемся окне кликаем по Удалить компоненты:

Галочка для доменных служб будет снята:

… кликаем по Далее несколько раз.

В последнем окне ставим галочку Автоматический перезапуск конечного сервера, если требуется и подтверждаем действие ответом Да:

Роль будет удалена, а сервер отправлен в перезагрузку.

Powershell

Запускаем Powershell от администратора и вводим:

Remove-WindowsFeature -Name AD-Domain-Services

Роль контроллера будет удалена. Мы должны увидеть сообщение:

ПРЕДУПРЕЖДЕНИЕ: Чтобы завершить удаление, вам необходимо перезапустить этот сервер.

Перезагружаем сервер:

shutdown -r -t 0

Вывод сервера из домена

В случае, если у нас есть другие контроллеры домена, наш сервер останется в домене. При необходимости его окончательного вывода из эксплуатации, стоит вывести его из среды AD.

Графика

Открываем свойства системы (команда control system или свойства Компьютера) и кликаем по Изменить параметры:

В открывшемся окне нажимаем на Изменить:

И переводим компьютер в рабочую группу:

* в данном примере в группу с названием WORKGROUP.

Система запросит логин и пароль от пользователя Active Directory, у которого есть права на вывод компьютеров из домена — вводим данные.

Если все сделано верно, мы должны увидеть окно:

После перезагружаем сервер или выключаем его.

Powershell

Запускаем Powershell от имени администратора и вводим:

Remove-Computer -UnjoinDomaincredential dmosk\master -PassThru -Verbose

* где dmosk\master — учетная запись в домене с правами вывода компьютеров из AD.

Соглашаемся продолжить, ознакомившись с предупреждением:

Подтверждение
Чтобы войти в систему на этом компьютере после его удаления из домена, вам потребуется пароль учетной записи локального
 администратора. Вы хотите продолжить?
[Y] Да — Y  [N] Нет — N  [S] Приостановить — S  [?] Справка (значением по умолчанию является «Y»): Y

Перезагружаем компьютер:

shutdown -r -t 0

… или выключаем:

shutdown -s -t 0

Вопросы и ответы

Дополнительные сведения относительно понижения и удаления AD.

1. Как удалить дочерний домен?

Мы должны быть уверены, что в данном домене не осталось важных ресурсов предприятия. После необходимо по очереди удалить все контроллеры домена по данной инструкции. При удалении последнего сервера AD для дочернего домена, будет удален сам дочерний домен из леса.

2. Как понизить режим работы домена?

Данный режим не понизить — это односторонняя операция. Максимум, что можно сделать, это восстановить службу AD из резервной копии, когда режим был нужного уровня.

3. Что делать, если умер основной контроллер домена?

Рассмотрим несколько вариантов:

• Если есть резервная копия, восстанавливаемся из нее.
• Если в среде несколько контроллеров домена, захватываем FSMO-роли (подробнее в инструкции Управление FSMO ролями Active Directory с помощью Powershell) и вручную удаляем уже несуществующий контроллер. После можно поднять новый контроллер, сделав его резервным.
• Хуже, когда нет ни копий, ни второго контроллера. В таком случае, поднимаем новый контроллер, создаем новый лес, домен и переводим все компьютеры в него.

4. Что делать, если контроллер домена возвращает ошибку при понижении?

Самый лучший способ, разобраться с ошибкой, решив проблему, которая ее вызывает. Если это не удалось сделать, принудительно понижаем сервер командой:

dcpromo /forceremoval

Удаление домена в операционной системе Windows Server 2012 может быть необходимым в различных ситуациях, таких как перенос сервера, избавление от ненужных доменов или проблем с текущим доменом. Однако, перед тем как приступить к удалению домена, важно следовать основным рекомендациям и процессу, чтобы избежать потери данных и проблем с доступом к серверу.

Перед началом процесса удаления домена на Windows Server 2012 стоит выполнить резервное копирование всех важных данных. Это обеспечит возможность восстановления информации в случае непредвиденных ситуаций или проблем при удалении. Также рекомендуется внимательно изучить документацию и прочитать руководства по удалению домена в Windows Server 2012.

Важно отметить, что удаление домена может привести к временной недоступности сервера или потере доступа к определенным функциям. Поэтому перед началом процесса важно убедиться, что это не создаст проблем для работоспособности других серверов или клиентов, которые зависят от текущего домена.

После выполнения необходимых рекомендаций, можно приступить к удалению домена на Windows Server 2012. Процесс удаления домена включает в себя несколько шагов, включая отключение всех клиентов от домена, удаление службы каталогов Active Directory и выполнение чистой установки сервера при необходимости. Важно следовать инструкциям и настройкам, чтобы избежать проблем и потери данных при удалении домена.

Удаление домена Windows Server 2012

Удаление домена Windows Server 2012 может понадобиться в случае необходимости переноса сервера на новое оборудование или желания ликвидировать доменную среду. Данный процесс требует ответственного и осторожного подхода, поскольку неправильное удаление домена может привести к потере данных и нарушению работы системы. Ниже представлена пошаговая инструкция и основные рекомендации для безопасного удаления домена.

1. Создание резервной копии данных

Перед началом процесса удаления домена необходимо создать резервную копию данных сервера. Это позволит восстановить систему в случае неудачного удаления или ошибки. Резервное копирование можно выполнить с помощью специального программного обеспечения или утилиты Windows Server Backup, доступной в ОС.

2. Перенесите все роли FSMO на другой контроллер домена

Перед удалением домена необходимо перенести все роли FSMO (Flexible Single Master Operations) на другой контроллер домена. Для этого нужно выполнить несколько команд PowerShell или воспользоваться графическим интерфейсом утилиты Active Directory Users and Computers.

3. Перенесите глобальные каталоги вновь созданному контроллеру домена

После переноса ролей FSMO на другой контроллер, необходимо также перенести глобальные каталоги (Global Catalog) на этот контроллер. Глобальные каталоги содержат информацию о всех объектах в домене и позволяют выполнять быстрый поиск и аутентификацию пользователей.

4. Отключите сервер от домена

После выполнения всех необходимых перемещений ролей и глобальных каталогов, можно приступать к отключению сервера от домена. Для этого нужно открыть «Панель управления», выбрать «System» и затем в разделе «Компьютерное имя, домен и группа работы» нажать на кнопку «Сменить настройки». В открывшемся окне выбрать опцию «Рабочая группа» и ввести имя новой рабочей группы.

5. Перезагрузите сервер

После смены настроек и отключения сервера от домена необходимо выполнить перезагрузку системы. После перезагрузки сервер будет работать в рамках новой рабочей группы и перестанет быть частью домена.

6. Удаление служб Active Directory

Последний шаг – удаление служб Active Directory с сервера. Для этого нужно открыть «Серверный менеджер» и выбрать «Службы» в левой панели. В списке служб найти «Active Directory Domain Services» и удалить ее. После удаления службы Active Directory можно переустановить сервер при необходимости или оставить его в состоянии самостоятельного сервера без домена.

Удаление домена Windows Server 2012 – это ответственный процесс, который требует внимательного подхода и соблюдения всех рекомендаций. Корректное выполнение всех шагов позволит вам безопасно удалить домен и сохранить важные данные и конфигурации системы.

Пошаговая инструкция для успешного удаления

Шаг 1: Подготовка перед удалением

Перед удалением домена Windows Server 2012 необходимо выполнить несколько предварительных действий:

• Убедитесь, что вы вошли в систему с учетной записью администратора;
• Создайте резервные копии всех важных данных, хранящихся на сервере;
• Отключите все службы и приложения, связанные с доменом;
• Проверьте наличие репликации домена и его актуальность;
• Убедитесь, что все клиентские компьютеры вышли из домена и работают независимо.

Шаг 2: Подготовка к удалению домена

Перед удалением самого домена на сервере необходимо выполнить следующие действия:

• Запустите «Установка ролей и компонентов» через панель управления;
• Выберите пункт «Отменить изменения, внесенные в эту роль или компонент»;
• Выберите «Службы домена Active Directory» и щелкните «Далее»;
• Подтвердите выбор «Удалить службы домена Active Directory»;
• Дождитесь завершения процесса удаления служб домена Active Directory.

Шаг 3: Удаление самого домена

После удаления служб домена Active Directory необходимо удалить сам домен. Для этого выполните следующие действия:

• Запустите «Установка ролей и компонентов» через панель управления;
• Выберите пункт «Отменить изменения, внесенные в эту роль или компонент»;
• Выберите «Область IP и Active Directory-контроллер домена»;
• Подтвердите выбор «Удалить область IP и Active Directory-контроллер домена»;
• Дождитесь завершения процесса удаления домена.

Шаг 4: Проверка успешного удаления

Чтобы убедиться в успешном удалении домена Windows Server 2012, выполните следующие проверки:

• Убедитесь, что в папках системы не осталось следов домена;
• Удалите запись о удаленном домене из DNS-зоны;
• Проверьте работу сервера и его функциональность после удаления.

Следуя этим шагам, вы успешно удалите домен Windows Server 2012. Однако перед удалением помните о том, что процесс отмены удаления очень сложен и требует опыта в администрировании системы. В случае возникновения сложностей рекомендуется обратиться к специалистам.

Основные рекомендации при удалении домена

При удалении домена Windows Server 2012 следует учесть несколько важных рекомендаций:

1. Перед удалением домена рекомендуется создать резервные копии всех важных данных. Это позволит восстановить систему в случае непредвиденных проблем.

2. Проверьте, что все зависимости от домена были правильно настроены и отключены перед его удалением. Например, убедитесь, что все клиенты отключены от домена и работают в автономном режиме.

3. Проверьте наличие всех необходимых административных прав перед удалением домена. Учетная запись пользователя должна быть членом группы «Администраторы домена» или иметь аналогичные привилегии.

4. Перед удалением домена рекомендуется создать резервную копию конфигурационных файлов, таких как файлы политик группы и записей DNS. Это поможет сохранить настройки и восстановить их при необходимости.

5. При удалении домена рекомендуется использовать инструмент «Удаление ролей и функций сервера» в панели управления Windows Server 2012. Этот инструмент позволяет удалить домен и все связанные с ним роли и функции.

6. Внимательно следуйте инструкциям, предоставляемым инструментом «Удаление ролей и функций сервера», и вводите все требуемые данные аккуратно. Внимательное выполнение инструкций поможет избежать ошибок и сохранить данные.

7. После удаления домена рекомендуется провести тщательное тестирование системы и проверить, что все функции работают корректно. Если возникнут проблемы, можно воспользоваться резервной копией для восстановления системы.

Всегда следуйте рекомендациям производителя и официальной документации при удалении домена Windows Server 2012. Несоблюдение рекомендаций может привести к потере данных и возникновению других проблем.

In this article, we’ll show how to correctly remove (demote) an Active Directory domain controller on Windows Server 2022/2019/2016/2012R2. When removing a domain controller, usually one of the following scenarios is used.

Removing an Active Directory Domain Controller and ADDS Role (Step-by-Step)

If you are going to decommission one of your AD domain controllers (common DC or read-only domain controller – RODC), you have to take some preparatory steps before demoting your domain controller to a member server and removing the Active Directory Domain Services (ADDS) role.

1. Check the state of your domain controller, Active Directory, and replication. There is a separate article on how to check a domain controller’s health and replication in AD using dcdiag, repadmin, and PowerShell scripts. Fix the issues if found. To display a list of errors on a specific domain controller, run the following command: dcdiag.exe /s:mun-dc03 /q
2. Make sure that the AD FSMO roles are not running on the domain controller: netdom query fsmo If needed, move the FSMO roles to another DC.
3. Make sure that the DHCP server role is not running on the domain controller. If it is, migrate it to another server;
4. Change DNS settings for the DHCP scopes that are assigning IP addresses to the clients. Change the configuration of the DHCP scopes so that they assign a different DNS server address (wait for the IP lease time to expire so that all clients get new DNS server settings). You can display a list of DNS servers set for all zones (DNS Servers Option 006) on a server using the following PowerShell command (learn more about how to manage DHCP in Windows Server using PowerShell): Get-DhcpServerv4Scope -ComputerName mun-dhcp.woshub.com| Get-DhcpServerv4OptionValue | Where-Object {$_.OptionID -like 6} | FT Value
5. Some clients may be manually set to use a DNS server on the DC (network devices, servers, printers, scanners, etc.). You need to find such devices and reconfigure them to another DNS server. It is easier to find such devices accessing your DNS server by its logs. Here is a detailed article: How to Audit Client DNS Queries in Windows Server;
6. If a Certificate Authority role is running on the domain controller, migrate it to another server;
7. If other services (like a KMS server, Radius/NPS, WSUS, etc.) are running on the domain controller, decide whether you want to move them to other hosts;
8. Use the Test-ADDSDomainControllerUninstallation cmdlet to make sure if there are any dependencies or issues you may come across when removing a DC. If the cmdlet returns Success, you may move on.

You are now ready to demote the domain controller to a member server. Prior to Windows Server 201, the dcpromo command was used for this. In modern Windows Server editions, this tool is deprecated and is not recommended to be used.

You can demote your domain controller using the Server Manager. Open Server Manager -> Remote Roles and Features -> uncheck Active Directory Domain Services in the Server Roles section.

Click Demote this domain controller.

The Active Directory Domain Services Configuration Wizard appears. Force the removal of this domain controller option is used to remove the last domain controller in adomain. Do not use it. Later we will delete all DC metadata manually.

In the next screen, check the Proceed with removal option.

Then set the local server administrator password.

Then you just need to click Demote.

Wait till the domain controller demotion is over. The following message will appear: Successfully demoted the Active Directory Domain Controller.

Restart your Windows Server host. Open the Server Manager again to remove the Active Directory Domain Services role.

When removing the ADDS role, the following components will be removed by default:

• Active Directory Module for Windows PowerShell
• AD DS and AD LDS Tools feature
• Active Directory Administrative Center
• AD DS Snap-ins and Command-line Tools
• DNS Server
• Group Policy Management Console (gpmc.msc)

Run the Active Directory Users and Computers console (dsa.msc) and make sure that the domain controller computer account has been removed from the Domain Controllers OU.

You can also uninstall a domain controller using the Uninstall-ADDSDomainController PowerShell cmdlet. The command will prompt you to set a local administrator password and confirm the DC demotion.

After the restart, you will just remove the ADDS role using PowerShell:

Uninstall-WindowsFeature AD-Domain-Services -IncludeManagementTools

Then open the Active Directory Sites and Services (dssite.msc) console, find the domain controller site, and its account in the Servers section. Expand the DC, right-click the NTDS Settings, and select Delete.

Confirm the DC removal by checking Delete This Domain controller anyway. It is permanently offline and can no longer be removed using the removal wizard.

Then delete the server account.

Wait till the AD replication is over and check the domain state using dcdiag and repadmin commands (described above).

How to Remove a Failed Domain Controller in Active Directory?

If your domain controller has failed (physical server or virtual DC files on storage) and you are not going to restore the DC from the domain controller backup created earlier, you can force delete it.

Important. A domain controller removed in this way should never be brought online.

In Windows Server 2008 R2 or earlier, the ntdsutil tool was used to remove a failed domain controller and clear its metadata from AD. In the current Windows Server 2022/2019/2016/2012, you can delete the failed DC and clear its metadata correctly using graphic AD management MMC snap-ins.

Open the ADUC console (dsa.msc) and navigate to the Domain Controllers. Find your DC account and delete it.

A window to confirm deleting the domain controller appears. Check Delete this Domain Controller anyway. Click Delete.

Active Directory will automatically clear the metadata of the removed DC from the ntds.dit database.

Then delete the domain controller in the AD Sites and Services console as shown above.

And the last step is to remove the domain controller records from the DNS. Open the DNS Manager (dnsmgmt.msc).

Remove the server from the Name Servers list in the zone settings.

Remove static Name Servers (NS) records related to the deleted DC in your DNS zone and _msdcs, _sites, _tcp, _udp sections, as well as PTR records in the reverse lookup zone.

Or use PowerShell to find and remove records in DNS.

Here is a step-by-step guide showing how to uninstall a domain controller or delete a failed DC from Active Directory.