Today we will look at how to Decommission (Uninstall) a Windows 2008 R2 Domain Controller.
Before Removing a domain controller we need to check the some important thing:
- Have another Global Catalog server
- FSMO Roles moved to another Domain Controller
- Domain Controller is Bridgehead server or not(If you have multiple sites)?
- Checks your DC to make sure it is healthy
- You must be a member of the Domain Admins group in the domain.
If you check all that we can perform this procedure:
- Click Start, click Run, type dcpromo, and then press ENTER.
2. On the Welcome to the Active Directory Domain Services Installation Wizard page, click Next:
3. If the domain controller is a global catalog server, a message appears to warn you about the effect of removing a global catalog server from the environment. Click OK to continue.
4. On the Delete the Domain page, make no selection, and then click Next:
5. On the Administrator Password page, type and confirm a secure password for the local Administrator account, and then click Next:
6. On the Summary page, if you want to save the settings that you selected to an answer file that you can use to automate subsequent operations in Active Directory Domain Services (AD DS), click Export settings. Type a name for your answer file, and then click Save.
if not Review your selections, and then click Next to remove AD DS.
7. On the Completing the Active Directory Domain Services Installation Wizard page, click Finish.
8. Restart the server to complete the AD DS removal when you are prompted:
9. After reboot , Open Server Manager. Click Start, point to Administrative Tools, and then click Server Manager and In Roles, click Remove Roles:
10. If necessary, review the information on the Before You Begin page, and then click Next:
11. On the Remove Server Roles page, clear the Active Directory Domain Services and DNS Server check box, and then click Next:
12. On the Confirm Removal Selections page, click Remove:
13. On the Removal Results page, click Close:
and then click Yes to restart the server
14. When you log in to server you can see this screen below, click Close:
15. After Removing DC remove the server from Active Directory Sites and Services:
That’s all to do Removing a Domain Controller from a Domain on Windows server 2008 r2.
Опубликовано 19 Янв 2019 — . В рубрике: Настройка ПО. Теги: PROGRAM.
Резервный контроллер домена нужно вывести из домена и демонтировать виртуальную машину, потому что она постоянно зависает. Точнее зависает не она, о тот Linux на котором она установлена. Сервер в работе, к нему есть доступ. При корректной деинсталяции из домена удалятся все записи об этом контроллере и он ни где не будет фигурировать. Приступим.
В диспетчере удаляемого сервера, он называется WIN-SRV-ST, выбираем опцию – Удалить роли.
Откроется мастер удаления ролей. Читаем – нажимаем >>Далее.
В следующем окне можно увидеть список ролей сервера. С тех ролей, которые нужно удалить, снимаем галочки.
При убирании галочки с пункта Доменные службы Active Directory получаем сообщение: Удаление доменных служб Active Directory невозможно, пока сервер является контроллером домена.
Чтобы удалить AD DC необходимо удалить контроллер домена с помощью мастера установки доменных служб dcpromo.exe. Воспользуемся этой подсказкой.
Для запуска dcpromo пишем его в поисковой строке и запускаем из результатов поиска.
Запустится мастер установки доменных служб Active Directory. Нажимаем >> Далее.
Появившееся сообщение предупреждает о том, что сервер является хранителем глобального каталога.
Чтоб проверить, где еще хранится глобальный каталог переходим в диспетчере сервера по директориям >> Роли >> Доменные службы Active Directory >> Active Directory – сайты и службы >> Sites >> Default-First-Site-Name >>Servers.
По очереди выбираем доступные контроллеры домена, правой кнопкой мыши на NTDS Settings >> Свойства и смотрим, отмечена ли галочка напротив надписи – Глобальный каталог. В данном случае глобальный каталог хранится на всех DC, поэтому с деинсталируемого WIN-SRV-ST его можно удалять.
Возвращаемся к Мастеру dcpromo, нажимаем ОК >> Далее.
В следующем окне галочку не ставим. Наш контроллер домена не последний. >> Далее.
Начнутся проверки необходимости удаления компонентов.
Далее необходимо ввести пароль для новой учетной записи администратора на данном сервере.
Смотрим сводку, подтверждаем удаление нажав >> Далее.
В следующем окне можно отметить галочкой – Перезагрузка по завершении. Мастер выполнит работу и сервер перезагрузится.
После перезагрузки выполняем авторизацию с учетной записью Администратора и новым созданным паролем.
Снова запускаем мастер удаления ролей. Снимаем галочки с ролей: Доменные службы Active Directory и DNS-сервер. На сей раз ни каких предупреждений не появилось. Нажимаем >>Далее.
Подтверждаем удаление компонентов нажав >>Удалить.
Ожидаем, пока выполняется удаление.
Видим результаты удаления. Перезагружаем сервер.
После перезагрузки видим, что удаление прошло успешно.
В итоге роли и службы удалены, сервер больше не является контроллером домена. Виртуальную машину можно демонтировать.
В этой статье мы рассмотрим процедуры корректного удаления контроллера домена Active Directory на Windows Server 2022/2019/2016/2012R2. Обычно при удалении контроллера домена рассматривается один из сценариев:
Содержание:
- Понижение контроллера домена с удалением роли Active Directory Domain Services
- Удаление неисправного контроллера домена Active Directory
Понижение контроллера домена с удалением роли Active Directory Domain Services
Если вы выполняете плановое удаление (декомиссию) одного из существующих контроллеров домена AD (обычного DC или RODC), то прежде чем понизить контроллер домена до рядового Windows Server и удалить роль ADDS, нужно выполнить ряд подготовительных шагов.
- Проверьте состояние вашего контроллера домена, Active Directory и репликации. На сайте есть отдельная статья с описанием команд диагностики здоровья контроллера домена и репликации в AD с помощью
dcdiag
,
repadmin
и скриптов PowerShell. Исправьте найденные проблемы. Для вывода списка ошибок на конкретном контроллере домена выполните команду:
dcdiag.exe /s:dc01 /q
- Убедитесь, что на контроллере домена не запущены FSMO роли AD:
netdom query fsmo
Если нужно, перенесите роли FSMO на другой DC; - Убедитесь, что на DC не запушена роль DHCP сервера. Если запущена, мигрируйте ее на другой сервер;
- Измените настройки DNS для DHCP областей, которые выдаются клиентам IP адреса. Перенастройте DHCP клиентов на другой DNS сервер (дождитесь окончания времени аренды IP адресов, чтобы все клиенты получили новые настройки DNS). Вы можете вывести список DNS серверов, заданных для всех зон (DNS Servers Option 006) на определенном сервере с помощью следующей команды PowerShell (подробнее об управлении DHCP в Windows Server с помощью PowerShell):
Get-DhcpServerv4Scope -ComputerName msk-dhcp01.winitpro.ru| Get-DhcpServerv4OptionValue | Where-Object {$_.OptionID -like 6} | FT Value
- Некоторые клиенты могут быть настроены на использование DNS сервера на DC вручную (сетевые устройства, сервера, принтеры, сканеры и т.д.). Вам нужно найти такие устройства и перенастроить их на другой DNS сервер. Проще всего обнаружить устройства, обращающиеся к DNS серверу по его логам. Вот подробная статья: Аудит DNS запросов клиентов в Windows Server по DNS логам;
- Если на контроллере домена запущен центр сертификации (роль Certificate Authority), нужно мигрировать его на другой сервер;
- Если на контроллере домена запущены другие службы (например, KMS сервер, Raduis/NPS, WSUS и т.д.), решите нужно ли переносить их на другие сервера;
- Воспользуйтесь командлетом
Test-ADDSDomainControllerUninstallation
, чтобы проверить оставшиеся зависимости и проблемы, с которыми вы можете столкнуться при удалении DC. Если командлет вернет статус
Sucсess
, можете продолжить.
Теперь можно приступить к понижению роли контроллера домена до рядового сервера. До Windows Server 2012 для этого использовалась команда dcpromo. В современных версиях Windows Server этот инструмент считается устаревшим и не рекомендуется к использованию.
Вы можете понизить роль контроллера домена с помощью Server Manager. Запустите Server Manager -> Remote Roles and Features -> снимите чекбокс Active Directory Domain Services в секции Server Roles.
Нажмите на кнопку Demote this domain controller.
Должно открыться окно Active Directory Domain Services Configuration Wizard. Опцию Force the removal of this domain controller используется при удалении последнего контроллера домена. Включать ее не нужно. В дальнейшем мы удалим метаданные о DC вручную.
В следующем окне отметьте опцию Proceed with removal.
Затем задайте пароль учетной записи локального администратора сервера.
На последнем этапе останется нажать кнопку Demote.
Дождитесь окончания понижения контроллера домена. Должна появится надпись Successfully demoted the Active Directory Domain Controller.
Перезагрузите сервер, еще раз запустите Server Manager для удаления роли Active Directory Domain Services.
При удалении роли ADDS по-умолчанию будут удалены следующие компоненты:
- Модуль Active Directory Module for Windows PowerShell
- AD DS and AD LDS Tools feature
- Active Directory Administrative Center
- AD DS Snap-ins and Command-line Tools
- DNS Server
- Консоль Group Policy Management Console (
gpmc.msc
)
Запустите консоль Active Directory Users and Computers (dsa.msc) и убедитесь, что учетная запись контроллера домена была удалена из OU Domain Controllers.
Также вы можете удалить контроллер домена с помощью PowerShell командлета
Uninstall-ADDSDomainController
. Команда попросит вас задать пароль локального администратора и подтвердить понижение DC.
После перезагрузки останется с помощью PowerShell удалить роль ADDS:
Uninstall-WindowsFeature AD-Domain-Services -IncludeManagementTools
Теперь запустите консоль Active Directory Sites and Services (
dssite.msс
), найдите сайт контроллера домена и его учетную запись в разделе Servers. Разверните DC, щелкните ПКМ по NTDS Settings и выберите Delete.
Подтвердите удаление DC, отметив опцию Delete This Domain controller anyway. It is permanently offline and ac no longer be removed using the removal wizard.
Затем удалите учетную запись сервера.
Дождитесь окончания репликации в AD и проверьте состояние домена с помощью
dcdiag
и
repadmin
(как описано выше).
Удаление неисправного контроллера домена Active Directory
Если ваш контроллер домена вышел из строя (физический сервер или файлы виртуального DC на хранилище) и вы не планируете восстанавливать DC его из созданной ранее резервной копии контроллера домена, можно удалить его принудительно.
Важно. Удаленный таким образом контроллер домена ни в коем случае нельзя включать в сеть.
До Windows Server 2008 R2 для удаления неисправного контроллера домена и очистки его метаданных в AD использовалась консольная утилита ntdsutil. В современных версиях Windows Server 2022/2019/2016/2012 вы можете удалить вышедший из строя DC и корректно очистить метаданные с помощью графических
mmc
оснасток управления AD.
Откройте консоль ADUC (
dsa.msc
) и перейдите в контейнер Domain Controllers. Найдите учетную запись вашего DC и удалите ее.
Появится окно с подтверждением удаления DC. Включите опцию Delete this Domain Controller anyway. И нажмите кнопку Delete.
Active Directory автоматически очистит метаданные об удаленном DC из базы ntds.dit.
Теперь нужно удалить контроллер домена в консоли AD Sites and Services как описано выше.
И последний шаг – удаление записей о контроллере домена в DNS. Откройте консоль DNS Manager (
dnsmgmt.msc
).
Удалите сервер из списка Name Servers в настройках зоны.
Удалите статические записи Name Servers (NS), оставшиеся от удаленного DC в вашей DNS зоне и разделах
_msdcs
,
_sites
,
_tcp
,
_udp
, и PTR записи в обратной зоне.
Или воспользуйтесь PowerShell для поиска и удаления записей в DNS.
Итак, в этой статье мы описали пошаговую процедуру, которая поможет вам понизить контроллер домена или удалить неисправный DC из Active Directory.
Случаются ситуации, когда владелец сайта хочет его удалить из сети или сделать редирект с одного домена на другой. Причины могут быть различные – ресурс неэффективен, малая посещаемость, проблемы с администрированием.
Удаление домена
Если хозяин хочет отказаться от сайта в зоне .ru и .рф, достаточно не продлевать регистрацию домена на следующий срок. После 30 дней с момента окончания периода оплаты домен прекращает действие. Имя ресурса будет свободным, его может купить другой пользователь.
В случаях, когда удалить домен необходимо до срока окончания регистрации, нужно уведомить компанию, зарегистрировавшую имя ресурса. Необходимо направить письменное заявление.
Пример заявления для физического лица или ИП
Форма заявления о прекращении действия доменного имени не утверждена законодательством РФ. Компания-регистратор разрабатывает бланк и утверждает правила заполнения самостоятельно.
Директору ООО «ХХХ»
От Иванова Виктора Степановича 11.08.1973 г.р
ИНН (для индивидуальных предпринимателей)
Паспорт серии 75 12 № 999999, выдан 02.01.2012 г. УФМС по Советскому р-ну г. Советска.
Зарегистрирован г. Советск, ул. Ленина 8, кв. 3
заявление.
Я, Иванов Виктор Степанович, прошу остановить предоставление услуг (доменное имя, хостинг, другие услуги) по договору № 123/456 от 29.02.2019 г. с 01.05.2020 г.
Подпись, расшифровка, дата.
Доменное имя удаляется только на основании оригинального письма, подписанного владельцем ресурса и заверенного нотариально. К заявлению должны прилагаться копии паспорта – стр. 2, 3, 5. Это правила для почтового отправления.
Если клиент предоставит заявление лично, нотариальное заверение не требуется. При вручении бланка владелец сайта должен предъявить представителю компании-регистратора паспорт.
Пример формы для юридического лица
Доменное имя может быть зарегистрировано на организацию. Форма сходна с заявлением физического лица или ИП, но должно быть на фирменном бланке.
Исх. № 123 от 12.03.2020 г.
Директору ООО «ХХХ»
Организация ООО «Нужда» в лице генерального директора Иванова Виктора Степановича, действующего на основании _____, просит остановить предоставление услуг (доменное имя, хостинг, другие услуги) по договору № 456/123 от 28.03.2019 г.
Должность, подпись, расшифровка, печать организации.
К заявлению прилагается копия свидетельства ЕГРЮЛ.
Прекращение действия домена в международной зоне
Удаление домена в международных зонах проводится компанией-регистратором согласно правилам ICANN. Владельцу ресурса направляется уведомление сначала за 30, затем за 5 дней до наступления срока окончания договора.
Если после срока окончания соглашения прошло 70 дней, и от владельца не поступило заявление на продление или не представлены причины отсрочки, согласно правилам ICANN, домен удаляется.
Для досрочного прекращения действия договора по инициативе администрации ресурса предусмотрено обращение в службу поддержки компании-регистратора. Заполняется специальная форма на сайте, к ней прикладываются:
- фотография владельца с открытым паспортом на 2 и 3 страницах и листом бумаги с написанной текущей датой и наименованием компании-регистратора;
- сканированные документы, подтверждающие адрес, указанный в договоре регистрации домена – паспорт, договор аренды жилья;
- если паспорт владельца менялся, необходима фотография сведений о ранее выданных паспортах – 19 страница.
Домен не аннулируется, если идет судебное разбирательство с упоминанием наименования ресурса.
Удаление вторичного контроллера
Контроллеры домена – серверы в операционной системе Microsoft, которые выступают администраторами сетевой зоны и запускают службу Active Directory (AD). Различают основной (DC1) и вторичный (DC2) блоки, работающие в ОС Windows server 2008 r2.
Контроллер – уязвимый узел DNS-сети. Чтобы работа была бесперебойной, создают резервный сервер, называемый вторичным. Блоки синхронизируются и в случае выхода из строя заменяют друг друга.
Если резервный сервер неисправен, его нужно удалить из AD. Удаление вторичного контроллера домена в ОС 2008 r2 происходит автоматически с помощью консоли ADUC, затем выполняется полная очистка данных в системе.
Ручное удаление резервного сервера
После удаления вторичного контроллера домена в ОС 2008 r2 необходимо вручную очистить метаданные и удалить сервер из оснасток AD.
Удаление метаданных
Очистка данных – необходимая процедура после автоматического удаления вторичного контроллера с помощью консоли ADUC. Удаление производится:
- сервисом сайта и службы AD;
- командной строкой, программой Ntdsutil.exe.
Перед очисткой метаданных необходимо убедиться, что на контроллере отключена защита от случайного удаления.
Удаление сервера из оснасток
После очистки метаданных и завершения репликации нужно вручную удалить вторичный сервер из контейнера службы AD. Этапы проведения работы:
- Активируют оснастку сайта и службы, находят сервер и правой клавишей мыши удаляют.
- Открывают службу «Пользователи и компьютеры», проверяют контейнер с контроллерами. В нем не должно быть вторичного сервера.
Если сервер присутствует, его повторно удаляют.
Домен с редиректом
Домен с редиректом – это сайт, осуществляющий перенаправление, выполненное автоматически с одного ресурса на другой или с одной страницы на другую. Процедура происходит без ведома посетителей.
Редирект с одного домена на другой применяется в случаях:
- При смене домена. Если создается или приобретается новый сайт, со старого происходит автоматическое перенаправление посетителей.
- Использование алиасов – доменных синонимов. Применяется в случае, когда есть домены в разных зонах (.ru, .org, .com) или написание наименований ресурсов различное – redirect.ru, re-direct.ru.
Настройка редиректа с одного домена на другой производится в корневом каталоге сайта с помощью файла .htaccess. В зависимости от вида переадресации в регистр вносят определенные команды. Компании-регистраторы доменов предлагают платные услуги перенаправления. Как правильно выбрать регистратора домена.
Вывод компьютера из домена
Для корректной работы Active Directory, необходимо правильно выводить сервер из домена. От этого зависит бесперебойная работа системы и устойчивая связь с доменом. Причины, по которым компьютер выводится:
- сервер неактивен более месяца;
- для бесперебойной работы ActiveDirectory, чтобы в системе не было неактивных CD-объектов;
- переустановка программного обеспечения на сервере.
На компьютере необходимо своевременное проведение технического обслуживания и тестирование работы систем управления доменами.
Вывод сервера без прав администратора
Если вход в Windows server 2008 r2 осуществлен доменным пользователем, ему можно присвоить права администратора. Для этого необходимо:
1. Выбрать «Управление», щелкнув правой клавишей мыши по пиктограмме «Этот компьютер».
- Ввести пароль администратора домена.
- В появившемся окне последовательно необходимо выбрать «Локальные пользователи», «Группы» и справа в меню – «Администраторы».
- Добавить пользователя с новыми правами.
Чтобы изменения вступили в силу, компьютер необходимо перезагрузить. После этого можно вывести сервер из домена уже с правами администратора.
Вывод через командную строку
Вывести из домена через командную строку можно через меню «Пуск», далее пункт «Выполнить». После этого необходимо:
- В командной строке прописать команду cpl, действие подтвердить.
- Открыть «Свойства системы», активировать пункт «Имя компьютера».
- Изменить параметры – удалить «Является членом домена», прописать – «…рабочей группы».
- Внести имя группы, затем действие подтвердить.
Появляется окно с подтверждающей изменения надписью, и компьютер перегружается.
Использование утилиты Netdom
Программа входит в состав ОС Windows server 2008 r2. Запуск производится через командную строку от имени администратора:
- В меню «Пуск» активировать пункт «Выполнить».
- Указать – cmd, подтвердить действие.
- Во всплывшее окно внести команду netdom.exe, затем пробел remove, снова пробел machinename/Domain: указать имя домена.
ПК будет выведен из домена.
Выведение с сохранением данных пользователей
Вывести компьютер из домена можно с помощью программы User Profile Wizard 3.16. Заранее необходимо:
- сохранить закладки, пароли, логины;
- создать профили пользователей, через них осуществить контрольный вход;
- проверить наличие сохраненных данных для сетевого доступа.
Запустить программу User Profile Wizard 3.16 от имени администратора и выбрать учетное имя для переноса – corp/comp8. Далее:
- Выбрать название компьютера, активировать запись Set as default logon.
- Ввести название учетной записи – comp8 в поле Enter The Account Name.
- Подтвердить действие.
Запускается процесс копирования данных учетной записи из домена в локальную версию. После завершения переноса необходимо проверить работоспособность. Нужно зайти по локальной записи.
Выведение из домена в Windows 7 и 10
В Windows 7 выход осуществляется с помощью меню «Дополнительные параметры системы». В свойствах системы находится вкладка «Имя компьютера». Этот параметр необходимо изменить. Компьютер будет выведен.
В Windows 10 выйти можно с использованием программы PowerShell. Утилиту запускают в командной строке от имени администратора. В открывшейся строке вводят команду Remove–Computer –UnjoinDomaincredential. Далее указывают имя домена, из которого нужно выйти. Через знак \ пишут учетную запись, затем – PassThru–Verbose–Restart.
Нажимают ввод и во всплывшем окне указывают пароль пользователя. Подтверждают действие, и компьютер перезагружается. Будет осуществлен корректный выход из домена.
На нашем сайте вы можете найти домены, с помощью которых продвижение ресурсов в поисковых системах будет намного эффективнее. Но для этого рекомендуем прочитать отзывы.
Понижение контроллера домена и удаление роли AD DS
Обновлено:
Опубликовано:
Используемые термины: Active Directory, FSMO.
Мы рассмотрим пример корректного удаление роли Active Directory Domain Services для Windows Server 2012 / 2012 R2 / 2016 / 2019.
Процесс полного удаления разобьем на несколько этапов:
1. Подготовка среды AD
Перенос ролей контроллера домена
Проверка состояния AD
2. Понижение уровня контроллера домена до рядового сервера
Графический интерфейс
Powershell
3. Удаление роли AD DS
Графический интерфейс
Powershell
4. Вывод сервера из домена
Графический интерфейс
Powershell
Вопросы и ответы
Подготовка системы
Если в нашей среде AD не один контроллер домена и мы не хотим удалять сам домен, а только один из его серверов со службой каталогов, стоит выполнить предварительные операции, чтобы минимизировать возможные проблемы.
Перенос ролей контроллера домена
Active Directory насчитывает 5 FSMO ролей, которые отвечают за корректную работу службы каталогов. Смотрим, на каких серверах запущены данные роли с помощью команд в Powershell:
Get-ADForest dmosk.local | ft DomainNamingMaster, SchemaMaster
Get-ADDomain dmosk.local | ft InfrastructureMaster, PDCEmulator, RIDMaster
* где dmosk.local — домен, для которого нужно узнать назначенные роли FSMO.
Если какие-то роли назначены на сервере, который планируется понизить, то необходимо с помощью команды типа:
Move-ADDirectoryServerOperationMasterRole <имя сервера, куда переносим> <название роли>
… передать роль.
Подробнее о передаче и захвате в инструкции Управление FSMO ролями Active Directory с помощью Powershell.
Проверка состояния AD
На любом из контроллеров домена вводим команду:
dcdiag /a /q
Данная команда запустит проверку состояния среды AD и выдаст ошибки, если такие будут. Необходимо обратить внимание на сообщения и, по возможности, решить проблемы.
Понижение контроллера домена
Первым шагом понизим наш сервер до рядового сервера. Это можно сделать с помощью графического интерфейса, Powershell или командной строки.
Графика
Открываем Диспетчер серверов и переходим в Управление — Удалить роли и компоненты:
Если откроется окно с приветствием, то просто нажимаем Далее (при желании, можно поставить галочку Пропускать эту страницу по умолчанию):
В окне «Выбор целевого сервера» выбираем сервер, для которого мы будем понижать уровень AD:
… и нажимаем Далее.
Снимаем галочку Доменные службы Active Directory. откроется окно в котором отобразится список компонентов для удаления — нажимаем Удалить компоненты:
Система вернет ошибку с предупреждением, что сначала нужно понизить AD — кликаем по ссылке Понизить уровень этого контроллера домена:
В следующем окне мы увидим предупреждение о том, что компьютер будет перезагружен и возможность принудительно понизить уровень — просто нажимаем Далее:
Система отобразит роли AD, которые будут удалены. Ставим галочку Продолжить удаление и нажимаем Далее:
Вводим дважды пароль учетной записи локального администратора, который будет использоваться после понижения до рядового сервера:
Кликаем по Понизить уровень:
Процесс займет какое-то время. После мы увидим «Уровень контроллера домена Active Directory успешно понижен»:
Сервер автоматически будет перезагружен.
Powershell
Открываем консоль Powershell от администратора и вводим:
Uninstall-ADDSDomainController
Если в нашей сети это последний контроллер домена, то команда для удаления будет следующей:
Uninstall-ADDSDomainController -LastDomainControllerInDomain -RemoveApplicationPartitions
Система запросит пароль для локальной учетной записи администратора, которая будет использоваться после понижения — задаем новый пароль дважды:
LocalAdministratorPassword: **********
Подтвердить LocalAdministratorPassword: **********
Мы получим предупреждение о перезагрузки сервера. Соглашаемся:
После завершения этой операции сервер будет автоматически перезапущен. Когда вы удалите доменные службы Active
Directory на последнем контроллере домена, этот домен перестанет существовать.
Вы хотите продолжить эту операцию?
[Y] Да — Y [A] Да для всех — A [N] Нет — N [L] Нет для всех — L [S] Приостановить — S [?] Справка
(значением по умолчанию является «Y»): A
Для выполнения команды уйдет некоторое время, после чего сервер уйдет в перезагрузку.
Удаление роли AD DS
После понижения сервера роль, по-прежнему, будет установлена. Для ее удаления мы также можем воспользоваться графической оболочкой или командной строкой.
Графика
В диспетчере серверов кликаем снова по Управление — Удалить роли и компоненты:
Среди серверов выбираем тот, на котором будем удалять роль:
* сервер может быть только один. Тогда выбираем его.
Снимаем галочку Доменные службы Active Directory, в открывшемся окне кликаем по Удалить компоненты:
Галочка для доменных служб будет снята:
… кликаем по Далее несколько раз.
В последнем окне ставим галочку Автоматический перезапуск конечного сервера, если требуется и подтверждаем действие ответом Да:
Роль будет удалена, а сервер отправлен в перезагрузку.
Powershell
Запускаем Powershell от администратора и вводим:
Remove-WindowsFeature -Name AD-Domain-Services
Роль контроллера будет удалена. Мы должны увидеть сообщение:
ПРЕДУПРЕЖДЕНИЕ: Чтобы завершить удаление, вам необходимо перезапустить этот сервер.
Перезагружаем сервер:
shutdown -r -t 0
Вывод сервера из домена
В случае, если у нас есть другие контроллеры домена, наш сервер останется в домене. При необходимости его окончательного вывода из эксплуатации, стоит вывести его из среды AD.
Графика
Открываем свойства системы (команда control system или свойства Компьютера) и кликаем по Изменить параметры:
В открывшемся окне нажимаем на Изменить:
И переводим компьютер в рабочую группу:
* в данном примере в группу с названием WORKGROUP.
Система запросит логин и пароль от пользователя Active Directory, у которого есть права на вывод компьютеров из домена — вводим данные.
Если все сделано верно, мы должны увидеть окно:
После перезагружаем сервер или выключаем его.
Powershell
Запускаем Powershell от имени администратора и вводим:
Remove-Computer -UnjoinDomaincredential dmosk\master -PassThru -Verbose
* где dmosk\master — учетная запись в домене с правами вывода компьютеров из AD.
Соглашаемся продолжить, ознакомившись с предупреждением:
Подтверждение
Чтобы войти в систему на этом компьютере после его удаления из домена, вам потребуется пароль учетной записи локального
администратора. Вы хотите продолжить?
[Y] Да — Y [N] Нет — N [S] Приостановить — S [?] Справка (значением по умолчанию является «Y»): Y
Перезагружаем компьютер:
shutdown -r -t 0
… или выключаем:
shutdown -s -t 0
Вопросы и ответы
Дополнительные сведения относительно понижения и удаления AD.
1. Как удалить дочерний домен?
Мы должны быть уверены, что в данном домене не осталось важных ресурсов предприятия. После необходимо по очереди удалить все контроллеры домена по данной инструкции. При удалении последнего сервера AD для дочернего домена, будет удален сам дочерний домен из леса.
2. Как понизить режим работы домена?
Данный режим не понизить — это односторонняя операция. Максимум, что можно сделать, это восстановить службу AD из резервной копии, когда режим был нужного уровня.
3. Что делать, если умер основной контроллер домена?
Рассмотрим несколько вариантов:
- Если есть резервная копия, восстанавливаемся из нее.
- Если в среде несколько контроллеров домена, захватываем FSMO-роли (подробнее в инструкции Управление FSMO ролями Active Directory с помощью Powershell) и вручную удаляем уже несуществующий контроллер. После можно поднять новый контроллер, сделав его резервным.
- Хуже, когда нет ни копий, ни второго контроллера. В таком случае, поднимаем новый контроллер, создаем новый лес, домен и переводим все компьютеры в него.
4. Что делать, если контроллер домена возвращает ошибку при понижении?
Самый лучший способ, разобраться с ошибкой, решив проблему, которая ее вызывает. Если это не удалось сделать, принудительно понижаем сервер командой:
dcpromo /forceremoval