В этой статье мы рассмотрим процедуры корректного удаления контроллера домена Active Directory на Windows Server 2022/2019/2016/2012R2. Обычно при удалении контроллера домена рассматривается один из сценариев:
Содержание:
- Понижение контроллера домена с удалением роли Active Directory Domain Services
- Удаление неисправного контроллера домена Active Directory
Понижение контроллера домена с удалением роли Active Directory Domain Services
Если вы выполняете плановое удаление (декомиссию) одного из существующих контроллеров домена AD (обычного DC или RODC), то прежде чем понизить контроллер домена до рядового Windows Server и удалить роль ADDS, нужно выполнить ряд подготовительных шагов.
- Проверьте состояние вашего контроллера домена, Active Directory и репликации. На сайте есть отдельная статья с описанием команд диагностики здоровья контроллера домена и репликации в AD с помощью
dcdiag
,
repadmin
и скриптов PowerShell. Исправьте найденные проблемы. Для вывода списка ошибок на конкретном контроллере домена выполните команду:
dcdiag.exe /s:dc01 /q - Убедитесь, что на контроллере домена не запущены FSMO роли AD:
netdom query fsmo
Если нужно, перенесите роли FSMO на другой DC; - Убедитесь, что на DC не запушена роль DHCP сервера. Если запущена, мигрируйте ее на другой сервер;
- Измените настройки DNS для DHCP областей, которые выдаются клиентам IP адреса. Перенастройте DHCP клиентов на другой DNS сервер (дождитесь окончания времени аренды IP адресов, чтобы все клиенты получили новые настройки DNS). Вы можете вывести список DNS серверов, заданных для всех зон (DNS Servers Option 006) на определенном сервере с помощью следующей команды PowerShell (подробнее об управлении DHCP в Windows Server с помощью PowerShell):
Get-DhcpServerv4Scope -ComputerName msk-dhcp01.winitpro.ru| Get-DhcpServerv4OptionValue | Where-Object {$_.OptionID -like 6} | FT Value - Некоторые клиенты могут быть настроены на использование DNS сервера на DC вручную (сетевые устройства, сервера, принтеры, сканеры и т.д.). Вам нужно найти такие устройства и перенастроить их на другой DNS сервер. Проще всего обнаружить устройства, обращающиеся к DNS серверу по его логам. Вот подробная статья: Аудит DNS запросов клиентов в Windows Server по DNS логам;
- Если на контроллере домена запущен центр сертификации (роль Certificate Authority), нужно мигрировать его на другой сервер;
- Если на контроллере домена запущены другие службы (например, KMS сервер, Raduis/NPS, WSUS и т.д.), решите нужно ли переносить их на другие сервера;
- Воспользуйтесь командлетом
Test-ADDSDomainControllerUninstallation
, чтобы проверить оставшиеся зависимости и проблемы, с которыми вы можете столкнуться при удалении DC. Если командлет вернет статус
Sucсess
, можете продолжить.
Если нужно, перенесите роли FSMO на другой DC;
Теперь можно приступить к понижению роли контроллера домена до рядового сервера. До Windows Server 2012 для этого использовалась команда dcpromo. В современных версиях Windows Server этот инструмент считается устаревшим и не рекомендуется к использованию.
Вы можете понизить роль контроллера домена с помощью Server Manager. Запустите Server Manager -> Remote Roles and Features -> снимите чекбокс Active Directory Domain Services в секции Server Roles.
Нажмите на кнопку Demote this domain controller.
Должно открыться окно Active Directory Domain Services Configuration Wizard. Опцию Force the removal of this domain controller используется при удалении последнего контроллера домена. Включать ее не нужно. В дальнейшем мы удалим метаданные о DC вручную.
В следующем окне отметьте опцию Proceed with removal.
Затем задайте пароль учетной записи локального администратора сервера.
На последнем этапе останется нажать кнопку Demote.
Дождитесь окончания понижения контроллера домена. Должна появится надпись Successfully demoted the Active Directory Domain Controller.
Перезагрузите сервер, еще раз запустите Server Manager для удаления роли Active Directory Domain Services.
При удалении роли ADDS по-умолчанию будут удалены следующие компоненты:
- Модуль Active Directory Module for Windows PowerShell
- AD DS and AD LDS Tools feature
- Active Directory Administrative Center
- AD DS Snap-ins and Command-line Tools
- DNS Server
- Консоль Group Policy Management Console (
gpmc.msc
)
Запустите консоль Active Directory Users and Computers (dsa.msc) и убедитесь, что учетная запись контроллера домена была удалена из OU Domain Controllers.
Также вы можете удалить контроллер домена с помощью PowerShell командлета
Uninstall-ADDSDomainController
. Команда попросит вас задать пароль локального администратора и подтвердить понижение DC.
После перезагрузки останется с помощью PowerShell удалить роль ADDS:
Uninstall-WindowsFeature AD-Domain-Services -IncludeManagementTools
Теперь запустите консоль Active Directory Sites and Services (
dssite.msс
), найдите сайт контроллера домена и его учетную запись в разделе Servers. Разверните DC, щелкните ПКМ по NTDS Settings и выберите Delete.
Подтвердите удаление DC, отметив опцию Delete This Domain controller anyway. It is permanently offline and ac no longer be removed using the removal wizard.
Затем удалите учетную запись сервера.
Дождитесь окончания репликации в AD и проверьте состояние домена с помощью
dcdiag
и
repadmin
(как описано выше).
Удаление неисправного контроллера домена Active Directory
Если ваш контроллер домена вышел из строя (физический сервер или файлы виртуального DC на хранилище) и вы не планируете восстанавливать DC его из созданной ранее резервной копии контроллера домена, можно удалить его принудительно.
Важно. Удаленный таким образом контроллер домена ни в коем случае нельзя включать в сеть.
До Windows Server 2008 R2 для удаления неисправного контроллера домена и очистки его метаданных в AD использовалась консольная утилита ntdsutil. В современных версиях Windows Server 2022/2019/2016/2012 вы можете удалить вышедший из строя DC и корректно очистить метаданные с помощью графических
mmc
оснасток управления AD.
Откройте консоль ADUC (
dsa.msc
) и перейдите в контейнер Domain Controllers. Найдите учетную запись вашего DC и удалите ее.
Появится окно с подтверждением удаления DC. Включите опцию Delete this Domain Controller anyway. И нажмите кнопку Delete.
Active Directory автоматически очистит метаданные об удаленном DC из базы ntds.dit.
Теперь нужно удалить контроллер домена в консоли AD Sites and Services как описано выше.
И последний шаг – удаление записей о контроллере домена в DNS. Откройте консоль DNS Manager (
dnsmgmt.msc
).
Удалите сервер из списка Name Servers в настройках зоны.
Удалите статические записи Name Servers (NS), оставшиеся от удаленного DC в вашей DNS зоне и разделах
_msdcs
,
_sites
,
_tcp
,
_udp
, и PTR записи в обратной зоне.
Или воспользуйтесь PowerShell для поиска и удаления записей в DNS.
Итак, в этой статье мы описали пошаговую процедуру, которая поможет вам понизить контроллер домена или удалить неисправный DC из Active Directory.
Понижение контроллера домена и удаление роли AD DS
Обновлено:
Опубликовано:
Используемые термины: Active Directory, FSMO.
Мы рассмотрим пример корректного удаление роли Active Directory Domain Services для Windows Server 2012 / 2012 R2 / 2016 / 2019.
Процесс полного удаления разобьем на несколько этапов:
1. Подготовка среды AD
Перенос ролей контроллера домена
Проверка состояния AD
2. Понижение уровня контроллера домена до рядового сервера
Графический интерфейс
Powershell
3. Удаление роли AD DS
Графический интерфейс
Powershell
4. Вывод сервера из домена
Графический интерфейс
Powershell
Вопросы и ответы
Подготовка системы
Если в нашей среде AD не один контроллер домена и мы не хотим удалять сам домен, а только один из его серверов со службой каталогов, стоит выполнить предварительные операции, чтобы минимизировать возможные проблемы.
Перенос ролей контроллера домена
Active Directory насчитывает 5 FSMO ролей, которые отвечают за корректную работу службы каталогов. Смотрим, на каких серверах запущены данные роли с помощью команд в Powershell:
Get-ADForest dmosk.local | ft DomainNamingMaster, SchemaMaster
Get-ADDomain dmosk.local | ft InfrastructureMaster, PDCEmulator, RIDMaster
* где dmosk.local — домен, для которого нужно узнать назначенные роли FSMO.
Если какие-то роли назначены на сервере, который планируется понизить, то необходимо с помощью команды типа:
Move-ADDirectoryServerOperationMasterRole <имя сервера, куда переносим> <название роли>
… передать роль.
Подробнее о передаче и захвате в инструкции Управление FSMO ролями Active Directory с помощью Powershell.
Проверка состояния AD
На любом из контроллеров домена вводим команду:
dcdiag /a /q
Данная команда запустит проверку состояния среды AD и выдаст ошибки, если такие будут. Необходимо обратить внимание на сообщения и, по возможности, решить проблемы.
Понижение контроллера домена
Первым шагом понизим наш сервер до рядового сервера. Это можно сделать с помощью графического интерфейса, Powershell или командной строки.
Графика
Открываем Диспетчер серверов и переходим в Управление — Удалить роли и компоненты:
Если откроется окно с приветствием, то просто нажимаем Далее (при желании, можно поставить галочку Пропускать эту страницу по умолчанию):
В окне «Выбор целевого сервера» выбираем сервер, для которого мы будем понижать уровень AD:
… и нажимаем Далее.
Снимаем галочку Доменные службы Active Directory. откроется окно в котором отобразится список компонентов для удаления — нажимаем Удалить компоненты:
Система вернет ошибку с предупреждением, что сначала нужно понизить AD — кликаем по ссылке Понизить уровень этого контроллера домена:
В следующем окне мы увидим предупреждение о том, что компьютер будет перезагружен и возможность принудительно понизить уровень — просто нажимаем Далее:
Система отобразит роли AD, которые будут удалены. Ставим галочку Продолжить удаление и нажимаем Далее:
Вводим дважды пароль учетной записи локального администратора, который будет использоваться после понижения до рядового сервера:
Кликаем по Понизить уровень:
Процесс займет какое-то время. После мы увидим «Уровень контроллера домена Active Directory успешно понижен»:
Сервер автоматически будет перезагружен.
Powershell
Открываем консоль Powershell от администратора и вводим:
Uninstall-ADDSDomainController
Если в нашей сети это последний контроллер домена, то команда для удаления будет следующей:
Uninstall-ADDSDomainController -LastDomainControllerInDomain -RemoveApplicationPartitions
Система запросит пароль для локальной учетной записи администратора, которая будет использоваться после понижения — задаем новый пароль дважды:
LocalAdministratorPassword: **********
Подтвердить LocalAdministratorPassword: **********
Мы получим предупреждение о перезагрузки сервера. Соглашаемся:
После завершения этой операции сервер будет автоматически перезапущен. Когда вы удалите доменные службы Active
Directory на последнем контроллере домена, этот домен перестанет существовать.
Вы хотите продолжить эту операцию?
[Y] Да — Y [A] Да для всех — A [N] Нет — N [L] Нет для всех — L [S] Приостановить — S [?] Справка
(значением по умолчанию является «Y»): A
Для выполнения команды уйдет некоторое время, после чего сервер уйдет в перезагрузку.
Удаление роли AD DS
После понижения сервера роль, по-прежнему, будет установлена. Для ее удаления мы также можем воспользоваться графической оболочкой или командной строкой.
Графика
В диспетчере серверов кликаем снова по Управление — Удалить роли и компоненты:
Среди серверов выбираем тот, на котором будем удалять роль:
* сервер может быть только один. Тогда выбираем его.
Снимаем галочку Доменные службы Active Directory, в открывшемся окне кликаем по Удалить компоненты:
Галочка для доменных служб будет снята:
… кликаем по Далее несколько раз.
В последнем окне ставим галочку Автоматический перезапуск конечного сервера, если требуется и подтверждаем действие ответом Да:
Роль будет удалена, а сервер отправлен в перезагрузку.
Powershell
Запускаем Powershell от администратора и вводим:
Remove-WindowsFeature -Name AD-Domain-Services
Роль контроллера будет удалена. Мы должны увидеть сообщение:
ПРЕДУПРЕЖДЕНИЕ: Чтобы завершить удаление, вам необходимо перезапустить этот сервер.
Перезагружаем сервер:
shutdown -r -t 0
Вывод сервера из домена
В случае, если у нас есть другие контроллеры домена, наш сервер останется в домене. При необходимости его окончательного вывода из эксплуатации, стоит вывести его из среды AD.
Графика
Открываем свойства системы (команда control system или свойства Компьютера) и кликаем по Изменить параметры:
В открывшемся окне нажимаем на Изменить:
И переводим компьютер в рабочую группу:
* в данном примере в группу с названием WORKGROUP.
Система запросит логин и пароль от пользователя Active Directory, у которого есть права на вывод компьютеров из домена — вводим данные.
Если все сделано верно, мы должны увидеть окно:
После перезагружаем сервер или выключаем его.
Powershell
Запускаем Powershell от имени администратора и вводим:
Remove-Computer -UnjoinDomaincredential dmosk\master -PassThru -Verbose
* где dmosk\master — учетная запись в домене с правами вывода компьютеров из AD.
Соглашаемся продолжить, ознакомившись с предупреждением:
Подтверждение
Чтобы войти в систему на этом компьютере после его удаления из домена, вам потребуется пароль учетной записи локального
администратора. Вы хотите продолжить?
[Y] Да — Y [N] Нет — N [S] Приостановить — S [?] Справка (значением по умолчанию является «Y»): Y
Перезагружаем компьютер:
shutdown -r -t 0
… или выключаем:
shutdown -s -t 0
Вопросы и ответы
Дополнительные сведения относительно понижения и удаления AD.
1. Как удалить дочерний домен?
Мы должны быть уверены, что в данном домене не осталось важных ресурсов предприятия. После необходимо по очереди удалить все контроллеры домена по данной инструкции. При удалении последнего сервера AD для дочернего домена, будет удален сам дочерний домен из леса.
2. Как понизить режим работы домена?
Данный режим не понизить — это односторонняя операция. Максимум, что можно сделать, это восстановить службу AD из резервной копии, когда режим был нужного уровня.
3. Что делать, если умер основной контроллер домена?
Рассмотрим несколько вариантов:
- Если есть резервная копия, восстанавливаемся из нее.
- Если в среде несколько контроллеров домена, захватываем FSMO-роли (подробнее в инструкции Управление FSMO ролями Active Directory с помощью Powershell) и вручную удаляем уже несуществующий контроллер. После можно поднять новый контроллер, сделав его резервным.
- Хуже, когда нет ни копий, ни второго контроллера. В таком случае, поднимаем новый контроллер, создаем новый лес, домен и переводим все компьютеры в него.
4. Что делать, если контроллер домена возвращает ошибку при понижении?
Самый лучший способ, разобраться с ошибкой, решив проблему, которая ее вызывает. Если это не удалось сделать, принудительно понижаем сервер командой:
dcpromo /forceremoval
In this article, we’ll show how to correctly remove (demote) an Active Directory domain controller on Windows Server 2022/2019/2016/2012R2. When removing a domain controller, usually one of the following scenarios is used.
Contents:
- Removing an Active Directory Domain Controller and ADDS Role (Step-by-Step)
- How to Remove a Failed Domain Controller in Active Directory?
Removing an Active Directory Domain Controller and ADDS Role (Step-by-Step)
If you are going to decommission one of your AD domain controllers (common DC or read-only domain controller – RODC), you have to take some preparatory steps before demoting your domain controller to a member server and removing the Active Directory Domain Services (ADDS) role.
- Check the state of your domain controller, Active Directory, and replication. There is a separate article on how to check a domain controller’s health and replication in AD using
dcdiag,repadmin, and PowerShell scripts. Fix the issues if found. To display a list of errors on a specific domain controller, run the following command:dcdiag.exe /s:mun-dc03 /q - Make sure that the AD FSMO roles are not running on the domain controller:
netdom query fsmo If needed, move the FSMO roles to another DC. - Make sure that the DHCP server role is not running on the domain controller. If it is, migrate it to another server;
- Change DNS settings for the DHCP scopes that are assigning IP addresses to the clients. Change the configuration of the DHCP scopes so that they assign a different DNS server address (wait for the IP lease time to expire so that all clients get new DNS server settings). You can display a list of DNS servers set for all zones (DNS Servers Option 006) on a server using the following PowerShell command (learn more about how to manage DHCP in Windows Server using PowerShell):
Get-DhcpServerv4Scope -ComputerName mun-dhcp.woshub.com| Get-DhcpServerv4OptionValue | Where-Object {$_.OptionID -like 6} | FT Value - Some clients may be manually set to use a DNS server on the DC (network devices, servers, printers, scanners, etc.). You need to find such devices and reconfigure them to another DNS server. It is easier to find such devices accessing your DNS server by its logs. Here is a detailed article: How to Audit Client DNS Queries in Windows Server;
- If a Certificate Authority role is running on the domain controller, migrate it to another server;
- If other services (like a KMS server, Radius/NPS, WSUS, etc.) are running on the domain controller, decide whether you want to move them to other hosts;
- Use the
Test-ADDSDomainControllerUninstallationcmdlet to make sure if there are any dependencies or issues you may come across when removing a DC. If the cmdlet returns Success, you may move on.
If needed, move the FSMO roles to another DC.
You are now ready to demote the domain controller to a member server. Prior to Windows Server 201, the dcpromo command was used for this. In modern Windows Server editions, this tool is deprecated and is not recommended to be used.
You can demote your domain controller using the Server Manager. Open Server Manager -> Remote Roles and Features -> uncheck Active Directory Domain Services in the Server Roles section.
Click Demote this domain controller.
The Active Directory Domain Services Configuration Wizard appears. Force the removal of this domain controller option is used to remove the last domain controller in adomain. Do not use it. Later we will delete all DC metadata manually.
In the next screen, check the Proceed with removal option.
Then set the local server administrator password.
Then you just need to click Demote.
Wait till the domain controller demotion is over. The following message will appear: Successfully demoted the Active Directory Domain Controller.
Restart your Windows Server host. Open the Server Manager again to remove the Active Directory Domain Services role.
When removing the ADDS role, the following components will be removed by default:
- Active Directory Module for Windows PowerShell
- AD DS and AD LDS Tools feature
- Active Directory Administrative Center
- AD DS Snap-ins and Command-line Tools
- DNS Server
- Group Policy Management Console (
gpmc.msc)
Run the Active Directory Users and Computers console (dsa.msc) and make sure that the domain controller computer account has been removed from the Domain Controllers OU.
You can also uninstall a domain controller using the Uninstall-ADDSDomainController PowerShell cmdlet. The command will prompt you to set a local administrator password and confirm the DC demotion.
After the restart, you will just remove the ADDS role using PowerShell:
Uninstall-WindowsFeature AD-Domain-Services -IncludeManagementTools
Then open the Active Directory Sites and Services (dssite.msc) console, find the domain controller site, and its account in the Servers section. Expand the DC, right-click the NTDS Settings, and select Delete.
Confirm the DC removal by checking Delete This Domain controller anyway. It is permanently offline and can no longer be removed using the removal wizard.
Then delete the server account.
Wait till the AD replication is over and check the domain state using dcdiag and repadmin commands (described above).
How to Remove a Failed Domain Controller in Active Directory?
If your domain controller has failed (physical server or virtual DC files on storage) and you are not going to restore the DC from the domain controller backup created earlier, you can force delete it.
Important. A domain controller removed in this way should never be brought online.
In Windows Server 2008 R2 or earlier, the ntdsutil tool was used to remove a failed domain controller and clear its metadata from AD. In the current Windows Server 2022/2019/2016/2012, you can delete the failed DC and clear its metadata correctly using graphic AD management MMC snap-ins.
Open the ADUC console (dsa.msc) and navigate to the Domain Controllers. Find your DC account and delete it.
A window to confirm deleting the domain controller appears. Check Delete this Domain Controller anyway. Click Delete.
Active Directory will automatically clear the metadata of the removed DC from the ntds.dit database.
Then delete the domain controller in the AD Sites and Services console as shown above.
And the last step is to remove the domain controller records from the DNS. Open the DNS Manager (dnsmgmt.msc).
Remove the server from the Name Servers list in the zone settings.
Remove static Name Servers (NS) records related to the deleted DC in your DNS zone and _msdcs, _sites, _tcp, _udp sections, as well as PTR records in the reverse lookup zone.
Or use PowerShell to find and remove records in DNS.
Here is a step-by-step guide showing how to uninstall a domain controller or delete a failed DC from Active Directory.
Вам нужно понизить роль контроллера домена на Windows Server 2012,2016,2019,2022?
Ваш контроллер домена мертв, и вы хотите удалить его вручную?
Без проблем.
В этом руководстве я рассмотрю два варианта удаления контроллера домена. Если у вас все еще есть доступ к серверу, то вариант 1 является предпочтительным выбором.
- Вариант 1. Понизьте роль контроллера домена с помощью диспетчера серверов .
Используйте этот вариант, если у вас все еще есть доступ к серверу. - Вариант 2. Удаление контроллера домена вручную
Используйте эту опцию, если сервер мертв или у вас больше нет к нему доступа.
В обоих примерах я буду использовать сервер Windows Server 2022, но эти шаги будут работать для Server 2012,2016, и выше.
Совет №1 . Начиная с Server 2008, метаданные контроллера домена очищаются автоматически. Сервер Windows Server 2003 или более ранней версии потребует использования команды ntdsutil для очистки метаданных. При этом вам все равно нужно вручную удалить сервер с сайтов и служб.
Совет № 2 Перед выключением сервера убедитесь, что на сервере не запущены другие службы (например, DNS или DHCP). Если вы можете избежать этого, вы можете избавить себя от большой головной боли.
Совет № 3. Если на удаляемом контроллере домена настроены роли FSMO, они будут автоматически перенесены на другой контроллер домена . Вы можете проверить это с помощью команды в CMD netdom query FSMO.
Вариант 1. Понизьте роль контроллера домена с помощью диспетчера серверов.
Это рекомендуемый Microsoft метод удаления контроллера домена.
Шаг 1. Откройте диспетчер серверов
Шаг 2. Выберите «Удаленные роли и функции» .
Нажмите «Далее» на странице «Перед началом»
Шаг 3 . На странице выбора сервера выберите сервер, который хотите понизить, и нажмите кнопку «Далее».
В этом примере я понижаю уровень сервера «DC2.adlukashin.loc».
Шаг 4 . Снимите флажок «Доменные службы Active Directory» на странице «Роли сервера».
Когда вы снимите флажок, вы получите всплывающее окно для удаления функций, требующих доменных служб Active Directory.
В этом примере я планирую вывести сервер из эксплуатации, поэтому я удалю эти инструменты управления.
Шаг 5 . Выберите Понизить уровень этого контроллера домена. (Demote this domain controller)
На следующем экране убедитесь, что вы НЕ выбираете «Принудительное удаление этого контроллера домена». (Force the removal of this domain controller)Этот параметр следует выбрать, только если контроллер домена не может установить связь с другими контроллерами домена и нет другого способа разрешить эту сетевую проблему. Принудительное понижение уровня оставляет потерянные метаданные в Active Directory на оставшихся контроллерах домена леса. Помимо этого, все нереплицированные изменения на этом контроллере домена, например пароли и новые учетные записи пользователей, навсегда теряются.
Вы также можете изменить учетные данные на этом экране, если это необходимо.
Нажмите кнопку «Next
Шаг 6 . На экране предупреждений появится предупреждение, что на этом сервере размещены дополнительные роли. Если у вас есть клиентские компьютеры, использующие этот сервер для DNS, вам потребуется обновить их, чтобы они указывали на другой сервер, поскольку роль DNS будет удалена.
Установите флажок « Proceed with removal» и нажмите «Далее».
Шаг 7 . Если у вас есть делегирование DNS, вы можете выбрать «Удалить делегирование DNS и нажать «Далее». В большинстве случаев у вас не будет делегирования DNS, и вы можете снять этот флажок.
Шаг 8 . Теперь введите новый пароль администратора. Это будет для учетной записи локального администратора на этом сервере.
Шаг 9. Просмотрите параметры и нажмите «Понизить» .
При нажатии на понижение сервер будет понижен и перезагружен. После перезагрузки сервер станет рядовым сервером. Вы можете войти на сервер с учетными данными домена.
Также оснастка может выдать ошибку. Тут получается два варианта.
1)Либо мы устраняем проблему и идем по шагам и корректно удаляем.
2)Либо в шаге 5 мы выбираем Force the removal of this domain controller
Если посмотреть на соседнем контроллере домена , то видно что контроллера DC2 уже нет в списке.
Дополнительные шаги очистки
По какой-то причине Microsoft решила не включать сайты и сервисы в процесс очистки. Возможно, он остался там на случай, если вы захотите снова повысить роль сервера до контроллера домена. Если вы не собираетесь повышать уровень сервера до контроллера домена, выполните следующие действия.
- Откройте сайты и службы Active Directory и удалите сервер.
Вы можете видеть выше, что сервер, который я только что понизил, все еще указан в списках сайтов и служб. Я просто щелкну по нему правой кнопкой мыши и удалю.
Вот и все для варианта 1. Вы можете зайти в папку «Контроллеры домена» и убедиться, что сервер удален. Также рекомендуется запустить dcdiag после удаления контроллера домена, чтобы убедиться, что в вашей среде нет серьезных ошибок.
Вам также может потребоваться просмотреть и протестировать репликацию. Вы можете использовать команду repadmin для проверки наличия проблем с репликацией.
Вариант 2.Удаление контроллера домена вручную
Используйте эту опцию, если сервер мертв, отключен или вы просто не можете получить к нему доступ. На самом деле всего 1 шаг.
Шаг 1 . На другом контроллере домена или компьютере с инструментами RSAT откройте «Active Directory — пользователи и компьютеры».
Перейдите в папку «Контроллеры домена». Щелкните правой кнопкой мыши контроллер домена, который вы хотите удалить, и нажмите «Удалить».
На следующем экране установите флажок «Все равно удалить этот контроллер домена» и нажмите «Удалить».
Если контроллер домена является сервером глобального каталога, вы получите дополнительное сообщение для подтверждения удаления. Я нажму Да.
Вот и все.
Последним шагом будет удаление сервера из Сайтов и служб, как я показал вам в варианте 1.
Как я упоминал в начале этой статьи, начиная с сервера 2008, очистка метаданных выполняется автоматически в обоих вариантах. Большинство практических руководств скажут вам открыть командную строку и запустить ntdsutil для очистки метаданных. В этом нет необходимости, если ваша серверная операционная система 2008 или выше.
Кажется, проще вручную удалить контроллер домена, чем использовать мастер диспетчера серверов. Технически я не уверен, в чем разница, но Microsoft рекомендует использовать мастер удаления, если вы можете. Используйте ручной метод в качестве последнего варианта.
Резюме
В этом руководстве я показал вам два метода удаления контроллера домена. Microsoft сделала этот процесс очень простым, автоматически очищая метаданные, начиная с сервера 2008. Поскольку сети и системы постоянно меняются, может наступить время, когда вам нужно удалить контроллер домена.
Как правильно удалить контроллер домена из AD?
В ситуации, когда необходимо вывести контроллер домена из AD, а к таким относятся — физический выход из строя сервера или его изъятие, необходимо выполнить правильное удаление неактивного DC из Active Direcroty. В данной заметке представлена инструкция по корректному удалению вышедшего из строя контроллера домена из Active Directory при помощи утилиты NTDSutil.
Итак, приступим:
1. необходимо выполнить вход на работающий контролер домена (по RDP или локально — как вам будет удобнее) под учетной записью администратора домена.
2. запустить PowerShell(PS) от имени администратора (она удобнее чем CMD) и запустить утилиту ntdsutil.exe
PS C:\> ntdsutil.exe C:\Windows\system32\ntdsutil.exe:
3. в утилите ntdsutil необходимо ввести metadata cleanup и нажмите enter (появится приглашение на очистку метаданных)
C:\Windows\system32\ntdsutil.exe: metadata cleanup metadata cleanup:
4. далее вводим команду connections, в результате отработки этой команды будет выведено приглашение на подключение к серверу:»server connections:«
metadata cleanup: connections server connections:
5. далее необходимо подключиться к исправному контролеру домена командой: connect to server ServerName, где ServerName — имя исправного DC с которого будет производиться процедура удаления
server connections: connect to server ServerName Binding to ServerName... Connected to ServerName using credentials of locally logged on user.
6. После успешного подключения к работоспособному DC выходим из server connections командой quit и нажимаем ввод — появляется приглашение metadata cleanup
server connections: quit metadata cleanup:
7. Вводим команду: select operation target
metadata cleanup: select operation target select operation target:
8. Смотрим список доменов командой: list domains, где «0» — порядковый номер домена, в котором находится неисправный DC; «DomainName» — имя вашего домена. В моем примере в лесу имеется единственны домен под номером «0»
select operation target: list domain Found 1 domain(s) 0 - DC=DomainName,DC=ru
9. Выбираем интересующий нас домен командой: select domain 0
select operation target: select domain 0 No current site Domain - DC=DomainName,DC=ru No current server No current Naming Context
10. Смотрим список сайтов выбранного домена командой: list site
select operation target: list sites Found 2 site(s) 0 - CN=Site1,CN=Sites,CN=Configuration,DC=DomainName,DC=ru 1 - CN=Site2,CN=Sites,CN=Configuration,DC=DomainName,DC=ru
11. Действуем по аналогии с п.9 выбирая сайт, в котором состоит неисправный DC командой: select site 0 (в моем случае это Site1, если у вас неисправный DС находится в другом сайте – выберите его номер)
select operation target: select site 0 Site - CN=Site1,CN=Sites,CN=Configuration,DC=DomainName,DC=ru Domain - DC=DomainName,DC=ru No current server
12. Команда list servers in site – выводит список DC в выбранном нами сайте. Необходимо запомнить каким числом представлен неисправный DC и ввести эту цифру в следующей операции
select operation target: list servers in site Found 2 server(s) 0 - CN=DC01,CN=Servers,CN=Site1,CN=Sites,CN=Configuration,DC=DomainName,DC=ru 1 - CN=DC02,CN=Servers,CN=Site1,CN=Sites,CN=Configuration,DC=DomainName,DC=ru
13. Выбираем неисправный DC командой: select server 1 (где «1» номер неисправного DC, который необходимо удалить).
select operation target: select server 1 Site - CN=Site1,CN=Sites,CN=Configuration,DC=DomainName,DC=ru Domain - DC=DomainName,DC=ru Server - CN=DC02,CN=Servers,CN=Site1,CN=Sites,CN=Configuration,DC=DomainName,DC=ru DSA object - CN=NTDS Settings,CN=DC-02,CN=Servers,CN=Site1,CN=Sites,CN=Configuration,DC=DomainName,DC=ru DNS host name – DC02.DomainName.ru Computer object - CN=DC02,OU=Domain Controllers,DC=DomainName,DC=ru No current Naming Context
14. Командой quit — выходим из приглашения select operation target и попадаем в metadata cleanup
select operation target: quit metadata cleanup:
15. Командой remove selected server мы вызовем диалоговое сообщение, которое предупредит вас об выбранной операции удаления неисправного DC. Прочтите его и если уверены в решении удалить выбранный DC – нажмите «YES»
metadata cleanup: Remove selected server
16. Командой quit выйдите из утилиты ntdsutil
metadata cleanup: quit C:\Windows\system32\ntdsutil.exe: quit PS C:\>
17. Откройте оснастку Active Directory Users and Computers и убедитесь в отсутствии объекта неисправного контроллера домена (того, что мы только что удалили) в OU Domain Controllers
18. Откройте оснастку Active Directory Sites and Services выберите сайт, из которого мы удаляли неисправный DC, раскройте контейнер Servers и ПКМ удалите объект неисправного DC.
19. Откройте оснастку DNS и удалите всю оставшуюся информацию об уделенном нами неисправном DC во всех зонах и вложенных в них контейнерах, где найдете.
На этом процедура ручного удаления неисправного DC средствами утилиты NTDSUTIL завершена. Всем удачи и будьте аккуратнее 🙂
P.S.: Советую посмотреть прекрасный пример демонстрирующий подобную ситуацию.