Hvordan fjerne (degradere) en domenekontroller

Nå som du har en ny domenekontroller som kjører i Active Directory, er det på tide å degradere den gamle domenekontrolleren. Det er to alternativer for å fjerne en domenekontroller. Det avhenger av om domenekontrolleren er tilgjengelig eller ikke. I denne artikkelen vil du lære hvordan du fjerner en domenekontroller trinn for trinn.

Alternativer for fjerning av domenekontroller

Den foretrukne metoden for å degradere en domenekontroller er å bruke Server Manager eller PowerShell. Hvilken du velger er opp til deg. De er til slutt like. Men det er tider når domenekontrolleren ikke kan starte opp lenger, og du kan ikke hente den opp igjen. Deretter må du velge metoden for å fjerne den manuelt.

For å gjøre det enklere har du alternativene nedenfor:

• Alternativ 1: Domenekontrolleren er tilgjengelig– Fjern domenekontrolleren med Server Manager eller PowerShell.
• Alternativ 2: Domenekontrolleren er IKKE tilgjengelig– Fjern domenekontrolleren manuelt.

La oss se på begge alternativene for å slette en domenekontroller i Active Directory og dens oppryddingsprosess.

Fjern domenekontroller med Server Manager

For å degradere en domenekontroller ved hjelp av Server Manager, gå gjennom trinnene nedenfor:

Trinn 1. Flytt FSMO-roller (valgfritt)

FSMO-rollene vil automatisk flytte til en annen domenekontroller når du fjerner domenekontrolleren gjennom fjerningsveiviseren. Hvis du ønsker å flytte FSMO-rollene og ikke la avinstalleringsprosessen gjøre det automatisk for deg, kan du gjøre det.

DeDC02-20222i kommandoen nedenfor er måldomenekontrollerens vertsnavn der vi også vil overføre FSMO-rollene.

Move-ADDirectoryServerOperationMasterRole "DC02-2022" -OperationMasterRole 0,1,2,3,4 -Force -Confirm:$false

Trinn 2. Test avinstallering av domenekontroller

En utmerket måte er å kjøreTest-ADDSDomainControllerUninstallationcmdlet før du begynner med fjerning av domenekontroller. Dette vil sjekke og varsle hvis alt er satt eller hvis det er noen problemer.

Test-ADDSDomainControllerUninstallation

Hvis kommandoen ovenfor ikke fungerer, kjør kommandoen nedenfor.

Test-ADDSDomainControllerUninstallation -LocalAdministratorPassword (Read-Host -Prompt "password" -AsSecureString)

Fyll inn det lokale administratorpassordet og bekreft det på nytt.

LocalAdministratorPassword: ************
Confirm LocalAdministratorPassword: ************

I vårt eksempel viser utdataene nedenfor statusenSuksess.Så alt ser bra ut, og vi kan gå videre.

Message                          Context                                  RebootRequired  Status
-------                          -------                                  --------------  ------
Operation completed successfully Test.VerifyDcPromoCore.DCPromo.General.1          False Success

Trinn 3. Degrader domenekontrolleren

I vårt eksempel vil vi fjerne domenekontrollerenDC01-2019.

1. ÅpneServer Manager

2. Klikk påAdministrerog velgFjern roller og funksjoner

3. VelgeNeste

4. Velgserverfra bassenget og klikkNeste

5. Fjern avmerkingsboksenActive Directory-domenetjenester

6. KlikkFjern funksjoner

7. Klikk påDegrader denne domenekontrolleren

8. Oppgi administratorlegitimasjonen om nødvendig, og klikkNeste

Note:GjøreIKKEvelg alternativet Tving fjerning av denne domenekontrolleren og la den være umerket.

9. SjekkeFortsett med fjerningog klikkNeste

10. Skriv inn et nytt administratorpassord for den lokale administratorkontoen etter at domenekontrolleren er degradert

11. Klikk påDegradere

12. Serveren vil gå gjennom degraderingsprosessen

12. Når degraderingen er fullført, starter Windows Server automatisk på nytt

Trinn 4. Fjern Active Directory Domain Services-rollen

Etter omstart må du fjerne ADDS-rollen med trinnene nedenfor:

1. Åpne Server Manager
2. Klikk påAdministrerog velgFjern roller og funksjoner
3. Velgserverfra bassenget og klikkNeste
4. Fjern avmerkingsboksenActive Directory-domenetjenester

2. KlikkFjern funksjoner

3. KlikkNeste

4. KlikkNeste

5. Merk av i avmerkingsboksenStart målserveren på nytt automatisk hvis nødvendig.

6. Fjerningen pågår

7. Windows Server vil starte på nytt og fortsette med fjerningen og fullføres. KlikkLukke.

8. Slå av serveren.

Når serveren er slått av, fjern AD-datamaskinobjektet ved å følge trinnene nedenfor:

1. Logg på med en annen domenekontroller
2. StartActive Directory-brukere og datamaskiner
3. Klikk i menyen påDatamaskinercontainer
4. Høyreklikk serveren og klikkSlett

5. Bekreft medJa

Du har slettet AD-datamaskinobjektet.

Trinn 6. Fjern serveren fra Active Directory-nettsteder og -tjenester

Fjern serveren fra Active Directory-nettsteder og -tjenester ved å følge trinnene nedenfor:

1. ÅpneActive Directory-nettsteder og -tjenester
2. UtvideNettsteder > Default-First-Site-Name > Servere
3. Høyreklikk påServerog velgSlett

4. Bekreft medJa

Du har slettet serveren fra Active Directory Domain Services (ADDS).

Trinn 7. Fjern DNS-rester

Det er rester i DNS etter at du har fjernet domenekontrolleren. Selv om du har Setup DNS Aldring og Scavenging i Active Directory. Det er fordi det vil fjerne de foreldede dynamiske DNS-postene og ikke de foreldede statiske DNS-postene.

Du kan gå gjennom hver sone iDNS Managerog fjern DNS-postene knyttet til den gamle domenekontrolleren. Men det tar tid.

Skriptet nedenfor vil rydde opp i alle foreldede poster i DNS. Den vil gå gjennom DNS og søke etter den gamle domenekontrolleren FQDN, vertsnavn og IP-adresse. Du må bare endre deglinje 1, 2 og 3.

Anta at du beholdt den samme IP-adressen for den nye domenekontrolleren, og bare vil se etter den gamleFQDNogVertsnavni DNS, ikke kommenterlinje 3i manuset.

Note:Skriptet har parameteren -WhatIf, så ingenting vil skje med miljøet når du kjører skriptet. Når du har identifisert de foreldede postene, fjerner du parameteren -WhatIf og kjører skriptet på nytt. Les mer om skriptet i artikkelen Hvordan rydde opp i gamle DNS-poster med PowerShell.

$ServerFQDN = "dc01-2019.exoip.local." #Keep the dot (.) at the end
$ServerHostname = "dc01-2019"
$IPAddress = "192.168.1.51"

$Zones = Get-DnsServerZone | Where-Object { $_.ZoneType -eq "Primary" } |
Select-Object -ExpandProperty ZoneName

foreach ($Zone in $Zones) {
    Get-DnsServerResourceRecord -ZoneName $Zone | Where-Object { 
        $_.RecordData.IPv4Address -eq $IPAddress -or
        $_.RecordData.NameServer -eq $ServerFQDN -or
        $_.RecordData.DomainName -eq $ServerFQDN -or
        $_.RecordData.HostnameAlias -eq $ServerFQDN -or
        $_.RecordData.MailExchange -eq $ServerFQDN -or
        $_.HostName -eq $ServerHostname
    } | Remove-DnsServerResourceRecord -ZoneName $Zone -Force -WhatIf
}

Du degraderte en domenekontroller fra Active Directory og fulgte de nødvendige oppryddingstrinnene etterpå.

Fjern domenekontrolleren manuelt

Når du ikke kan starte en domenekontroller lenger, må du fjerne den manuelt.

Trinnene ovenfor er den riktige måten å fjerne en domenekontroller fra Active Directory når du har tilgang til den. Det er situasjoner når Domain Controller-serveren krasjer, og du kan ikke hente den opp lenger. Dette krever manuell fjerning av domenekontrolleren fra Active Directory.

Note:Gjør trinnene nedenfor hvis du har Windows Server 2008 R2 og høyere.

Gå gjennom trinnene nedenfor for å tvinge fjerning av en domenekontroller:

Trinn 1. Flytt FSMO-roller (valgfritt)

FSMO-rollene vil automatisk flytte til en annen domenekontroller når du fjerner domenekontrolleren gjennom fjerningsveiviseren. Hvis du ønsker å flytte FSMO-rollene og ikke la avinstalleringsprosessen gjøre det automatisk, kan du gjøre det.

DeDC02-20222i kommandoen nedenfor er måldomenekontrollerens vertsnavn der vi også vil overføre FSMO-rollene.

Move-ADDirectoryServerOperationMasterRole "DC02-2022" -OperationMasterRole 0,1,2,3,4 -Force -Confirm:$false

Trinn 2. Tving sletting av Domain Controller-datamaskinobjekt

Fjern AD-datamaskinobjektet ved å følge trinnene nedenfor:

1. Logg på med en annen domenekontroller
2. ÅpneActive Directory-brukere og datamaskiner
3. Klikk i menyen påDomenekontrollereOrganisasjonsenhet
4. Høyreklikk påserverog klikkSlett

4. VelgeJafor å bekrefte slettingen av datamaskinobjektet

5. Merk av i avmerkingsboksenSlett denne domenekontrolleren uansett. Den er permanent frakoblet og kan ikke lenger fjernes ved hjelp av fjerningsveiviseren

6. Bekreft medJa

7. VelgeOKhvis du får en advarsel om FSMO-rollene som må flyttes til en ny server

Du har slettet domenekontrolleren.

Trinn 3. Fjern serveren fra Active Directory-nettsteder og -tjenester

Fjern serveren fra Active Directory-nettsteder og -tjenester ved å følge trinnene nedenfor:

1. ÅpneActive Directory-nettsteder og -tjenester
2. UtvideNettsteder > Default-First-Site-Name > Servere
3. Høyreklikk påServerog velgSlett

4. Bekreft medJa

Du har slettet serveren fra Active Directory Domain Services (ADDS).

Trinn 4. Fjern DNS-rester

Det er rester i DNS etter at du har fjernet domenekontrolleren. Selv om du har Setup DNS Aldring og Scavenging i Active Directory. Det er fordi det vil fjerne de foreldede dynamiske DNS-postene og ikke de foreldede statiske DNS-postene.

Du kan gå gjennom hver sone iDNS Managerog fjern DNS-postene knyttet til den gamle domenekontrolleren. Men det tar tid.

Foreslått å lese:Hvordan sette opp en domenekontroller i Windows Server

Skriptet nedenfor vil rydde opp i alle foreldede poster i DNS. Den vil gå gjennom DNS og søke etter den gamle domenekontrolleren FQDN, vertsnavn og IP-adresse. Du må bare endre deglinje 1, 2 og 3.

Anta at du beholdt den samme IP-adressen for den nye domenekontrolleren, og bare vil se etter den gamleFQDNogVertsnavni DNS, ikke kommenterlinje 3i manuset.

Note:Skriptet har parameteren -WhatIf, så ingenting vil skje med miljøet når du kjører skriptet. Når du har identifisert de foreldede postene, fjerner du parameteren -WhatIf og kjører skriptet på nytt. Les mer om skriptet i artikkelen Hvordan rydde opp i gamle DNS-poster med PowerShell.

$ServerFQDN = "dc01-2019.exoip.local." #Keep the dot (.) at the end
$ServerHostname = "dc01-2019"
$IPAddress = "192.168.1.51"

$Zones = Get-DnsServerZone | Where-Object { $_.ZoneType -eq "Primary" } |
Select-Object -ExpandProperty ZoneName

foreach ($Zone in $Zones) {
    Get-DnsServerResourceRecord -ZoneName $Zone | Where-Object { 
        $_.RecordData.IPv4Address -eq $IPAddress -or
        $_.RecordData.NameServer -eq $ServerFQDN -or
        $_.RecordData.DomainName -eq $ServerFQDN -or
        $_.RecordData.HostnameAlias -eq $ServerFQDN -or
        $_.RecordData.MailExchange -eq $ServerFQDN -or
        $_.HostName -eq $ServerHostname
    } | Remove-DnsServerResourceRecord -ZoneName $Zone -Force -WhatIf
}

Du tvangsfjerne en domenekontroller fra Active Directory manuelt og fulgte de nødvendige oppryddingstrinnene etterpå.

Bekreft domenekontrollerens helse

Nå som den gamle domenekontrolleren er fjernet, er det greit å sjekke den nye domenekontrollerens helse.

Gå gjennom artikkelen Active Directory-helsesjekk med PowerShell-skript og lag en rapport. HTML-rapporten vil vise statusen til alle domenekontrollerne i Active Directory.

Det er det!

Konklusjon

Du lærte hvordan du degraderer en domenekontroller fra Active Directory. Det er viktig at du fjerner domenekontrolleren fra domenet ved å bruke veiviseren Fjern roller og funksjoner i Server Manager. Hvis domenekontrolleren er utilgjengelig, slett den fra Active Directory-brukere og datamaskiner.

Likte du denne artikkelen? Du kan også like Endre TTL for DNS-post i Windows Server. Ikke glem å følge oss og dele denne artikkelen.