Jak usunąć (obniżyć) kontroler domeny

Teraz, gdy masz nowy kontroler domeny działający w usłudze Active Directory, czas obniżyć poziom starego kontrolera domeny. Istnieją dwie możliwości usunięcia kontrolera domeny. Zależy to od tego, czy kontroler domeny jest dostępny, czy nie. W tym artykule dowiesz się, jak krok po kroku usunąć Kontroler domeny.

Opcje usuwania kontrolera domeny

Preferowaną metodą obniżenia poziomu kontrolera domeny jest użycie Menedżera serwera lub programu PowerShell. To, który wybierzesz, zależy od Ciebie. W końcu są tacy sami. Są jednak chwile, gdy kontroler domeny nie może się już uruchomić i nie można go już przywrócić. Następnie musisz wybrać metodę ręcznego usunięcia.

Aby to ułatwić, masz poniższe opcje:

• Opcja 1: Kontroler domeny jest dostępny– Usuń kontroler domeny za pomocą Menedżera serwera lub programu PowerShell.
• Opcja 2: Kontroler domeny NIE jest dostępny– Usuń ręcznie kontroler domeny.

Przyjrzyjmy się obu opcjom usunięcia kontrolera domeny w Active Directory i procesowi jego czyszczenia.

Usuń kontroler domeny za pomocą Menedżera serwera

Aby obniżyć poziom kontrolera domeny za pomocą Menedżera serwera, wykonaj poniższe kroki:

Krok 1. Przenieś role FSMO (opcjonalnie)

Role FSMO zostaną automatycznie przeniesione do innego kontrolera domeny po usunięciu kontrolera domeny za pomocą kreatora usuwania. Jeśli chcesz przenieść role FSMO i nie pozwolić, aby proces dezinstalacji zrobił to automatycznie za Ciebie, możesz to zrobić.

TheDC02-20222w poleceniu poniżej znajduje się docelowa nazwa hosta kontrolera domeny, na którą również przeniesiemy role FSMO.

Move-ADDirectoryServerOperationMasterRole "DC02-2022" -OperationMasterRole 0,1,2,3,4 -Force -Confirm:$false

Krok 2. Przetestuj dezinstalację Kontrolera domeny

Doskonałym sposobem jest uruchomienieTest-ADDSDomainControllerUninstallationcmdlet przed rozpoczęciem usuwania kontrolera domeny. Spowoduje to sprawdzenie i powiadomienie, czy wszystko jest ustawione lub czy występują jakieś problemy.

Test-ADDSDomainControllerUninstallation

Jeśli powyższe polecenie nie działa, uruchom poniższe polecenie.

Test-ADDSDomainControllerUninstallation -LocalAdministratorPassword (Read-Host -Prompt "password" -AsSecureString)

Wpisz hasło administratora lokalnego i potwierdź je ponownie.

LocalAdministratorPassword: ************
Confirm LocalAdministratorPassword: ************

W naszym przykładzie poniższe dane wyjściowe pokazują statusSukces.Wszystko wygląda więc dobrze i możemy działać dalej.

Message                          Context                                  RebootRequired  Status
-------                          -------                                  --------------  ------
Operation completed successfully Test.VerifyDcPromoCore.DCPromo.General.1          False Success

Krok 3. Obniż kontroler domeny

W naszym przykładzie usuniemy Kontroler domenyDC01-2019.

1. OtwarteMenedżer serwera

2. KliknijZarządzaći wybierzUsuń role i funkcje

3. WybieraćNastępny

4. Wybierzserwerz basenu i kliknijNastępny

5. Wyczyść pole wyboruUsługi domenowe Active Directory

6. TrzaskUsuń funkcje

7. KliknijObniż poziom tego kontrolera domeny

8. W razie potrzeby podaj dane administratora i kliknijNastępny

Notatka:DoNIEzaznacz opcję Wymuś usunięcie tego kontrolera domeny i pozostaw ją niezaznaczoną.

9. SprawdzaćKontynuuj usuwaniei kliknijNastępny

10. Wprowadź nowe hasło administratora dla konta administratora lokalnego po obniżeniu poziomu kontrolera domeny

11. KliknijZdegradować

12. Serwer przejdzie proces degradacji

12. Po zakończeniu obniżania poziomu system Windows Server zostanie automatycznie ponownie uruchomiony

Krok 4. Usuń rolę Usług domenowych Active Directory

Po ponownym uruchomieniu musisz usunąć rolę ADDS, wykonując poniższe czynności:

1. Otwórz Menedżera serwerów
2. KliknijZarządzaći wybierzUsuń role i funkcje
3. Wybierzserwerz basenu i kliknijNastępny
4. Wyczyść pole wyboruUsługi domenowe Active Directory

2. TrzaskUsuń funkcje

3. TrzaskNastępny

4. TrzaskNastępny

5. Zaznacz pole wyboruW razie potrzeby automatycznie zrestartuj serwer docelowy.

6. Trwa usuwanie

7. Serwer Windows uruchomi się ponownie i będzie kontynuować usuwanie i zakończenie. TrzaskZamknąć.

8. Wyłącz serwer.

Po wyłączeniu serwera usuń obiekt komputera AD, wykonując poniższe czynności:

1. Zaloguj się na innym kontrolerze domeny
2. StartUżytkownicy i komputery usługi Active Directory
3. Kliknij w menu naKomputerypojemnik
4. Kliknij serwer prawym przyciskiem myszy i kliknijUsuwać

5. Potwierdź za pomocąTak

Pomyślnie usunąłeś obiekt komputera AD.

Więcej czytania:Jak zmienić adres IP kontrolera domeny

Krok 6. Usuń serwer z witryn i usług Active Directory

Usuń serwer z witryn i usług Active Directory, wykonując poniższe czynności:

1. OtwarteWitryny i usługi Active Directory
2. ZwiększaćWitryny > Domyślna nazwa-pierwszej witryny > Serwery
3. Kliknij prawym przyciskiem myszySerweri wybierzUsuwać

4. Potwierdź za pomocąTak

Pomyślnie usunąłeś serwer z usług domenowych Active Directory (ADDS).

Krok 7. Usuń resztki DNS

Po usunięciu kontrolera domeny w DNS pozostają pozostałości. Nawet jeśli masz skonfigurowane przedawnianie i oczyszczanie DNS w Active Directory. Dzieje się tak, ponieważ usunie nieaktualne rekordy dynamicznego DNS, a nie nieaktualne statyczne rekordy DNS.

Możesz przejść przez każdą strefę wMenedżer DNSi usuń rekordy DNS powiązane ze starym kontrolerem domeny. Ale to wymaga czasu.

Poniższy skrypt wyczyści wszystkie nieaktualne rekordy w DNS. Przejdzie przez DNS i wyszuka starą nazwę FQDN kontrolera domeny, nazwę hosta i adres IP. Musisz się tylko zmienićlinie 1, 2 i 3.

Załóżmy, że zachowałeś ten sam adres IP dla nowego kontrolera domeny i chcesz sprawdzić tylko starynazwa FQDNINazwa hostaw DNS, odkomentujlinia 3w skrypcie.

Notatka:Skrypt posiada parametr -WhatIf, zatem po uruchomieniu skryptu nic się nie stanie ze środowiskiem. Po zidentyfikowaniu nieaktualnych rekordów usuń parametr -WhatIf i ponownie uruchom skrypt. Więcej o skrypcie przeczytasz w artykule Jak wyczyścić nieaktualne rekordy DNS za pomocą programu PowerShell.

$ServerFQDN = "dc01-2019.exoip.local." #Keep the dot (.) at the end
$ServerHostname = "dc01-2019"
$IPAddress = "192.168.1.51"

$Zones = Get-DnsServerZone | Where-Object { $_.ZoneType -eq "Primary" } |
Select-Object -ExpandProperty ZoneName

foreach ($Zone in $Zones) {
    Get-DnsServerResourceRecord -ZoneName $Zone | Where-Object { 
        $_.RecordData.IPv4Address -eq $IPAddress -or
        $_.RecordData.NameServer -eq $ServerFQDN -or
        $_.RecordData.DomainName -eq $ServerFQDN -or
        $_.RecordData.HostnameAlias -eq $ServerFQDN -or
        $_.RecordData.MailExchange -eq $ServerFQDN -or
        $_.HostName -eq $ServerHostname
    } | Remove-DnsServerResourceRecord -ZoneName $Zone -Force -WhatIf
}

Pomyślnie obniżyłeś kontroler domeny z Active Directory, a następnie wykonałeś niezbędne kroki czyszczenia.

Usuń ręcznie kontroler domeny

Jeśli nie możesz już uruchomić kontrolera domeny, musisz go ręcznie usunąć.

Powyższe kroki są właściwym sposobem usunięcia kontrolera domeny z Active Directory, gdy można uzyskać do niego dostęp. Zdarzają się sytuacje, gdy serwer Kontrolera domeny ulega awarii i nie można już go przywrócić. Wymaga to ręcznego usunięcia kontrolera domeny z Active Directory.

Notatka:Wykonaj poniższe kroki, jeśli masz system Windows Server 2008 R2 i nowszy.

Wykonaj poniższe kroki, aby wymusić usunięcie kontrolera domeny:

Krok 1. Przenieś role FSMO (opcjonalnie)

Role FSMO zostaną automatycznie przeniesione do innego kontrolera domeny po usunięciu kontrolera domeny za pomocą kreatora usuwania. Jeśli chcesz przenieść role FSMO i nie pozwolić, aby proces dezinstalacji zrobił to automatycznie, możesz to zrobić.

TheDC02-20222w poleceniu poniżej znajduje się docelowa nazwa hosta kontrolera domeny, na którą również przeniesiemy role FSMO.

Move-ADDirectoryServerOperationMasterRole "DC02-2022" -OperationMasterRole 0,1,2,3,4 -Force -Confirm:$false

Krok 2. Wymuś usunięcie obiektu komputera kontrolera domeny

Usuń obiekt komputera usługi AD, wykonując poniższe czynności:

1. Zaloguj się na innym kontrolerze domeny
2. OtwarteUżytkownicy i komputery usługi Active Directory
3. Kliknij w menu naKontrolery domenyJednostka organizacyjna
4. Kliknij prawym przyciskiem myszyserweri kliknijUsuwać

4. WybieraćTakaby potwierdzić usunięcie obiektu komputera

5. Zaznacz pole wyboruMimo to usuń ten kontroler domeny. Jest trwale offline i nie można go już usunąć za pomocą kreatora usuwania

6. Potwierdź za pomocąTak

7. WybieraćOKjeśli pojawi się komunikat ostrzegawczy dotyczący ról FSMO, które należy przenieść na nowy serwer

Pomyślnie usunąłeś kontroler domeny.

Krok 3. Usuń serwer z witryn i usług Active Directory

Usuń serwer z witryn i usług Active Directory, wykonując poniższe czynności:

1. OtwarteWitryny i usługi Active Directory
2. ZwiększaćWitryny > Domyślna nazwa-pierwszej witryny > Serwery
3. Kliknij prawym przyciskiem myszySerweri wybierzUsuwać

4. Potwierdź za pomocąTak

Pomyślnie usunąłeś serwer z usług domenowych Active Directory (ADDS).

Krok 4. Usuń resztki DNS

Po usunięciu kontrolera domeny w DNS pozostają pozostałości. Nawet jeśli masz skonfigurowane przedawnianie i oczyszczanie DNS w Active Directory. Dzieje się tak, ponieważ usunie nieaktualne rekordy dynamicznego DNS, a nie nieaktualne statyczne rekordy DNS.

Możesz przejść przez każdą strefę wMenedżer DNSi usuń rekordy DNS powiązane ze starym kontrolerem domeny. Ale to wymaga czasu.

Poniższy skrypt wyczyści wszystkie nieaktualne rekordy w DNS. Przejdzie przez DNS i wyszuka starą nazwę FQDN kontrolera domeny, nazwę hosta i adres IP. Musisz się tylko zmienićlinie 1, 2 i 3.

Załóżmy, że zachowałeś ten sam adres IP dla nowego kontrolera domeny i chcesz sprawdzić tylko starynazwa FQDNINazwa hostaw DNS, odkomentujlinia 3w skrypcie.

Notatka:Skrypt posiada parametr -WhatIf, zatem po uruchomieniu skryptu nic się nie stanie ze środowiskiem. Po zidentyfikowaniu nieaktualnych rekordów usuń parametr -WhatIf i ponownie uruchom skrypt. Więcej o skrypcie przeczytasz w artykule Jak wyczyścić nieaktualne rekordy DNS za pomocą programu PowerShell.

$ServerFQDN = "dc01-2019.exoip.local." #Keep the dot (.) at the end
$ServerHostname = "dc01-2019"
$IPAddress = "192.168.1.51"

$Zones = Get-DnsServerZone | Where-Object { $_.ZoneType -eq "Primary" } |
Select-Object -ExpandProperty ZoneName

foreach ($Zone in $Zones) {
    Get-DnsServerResourceRecord -ZoneName $Zone | Where-Object { 
        $_.RecordData.IPv4Address -eq $IPAddress -or
        $_.RecordData.NameServer -eq $ServerFQDN -or
        $_.RecordData.DomainName -eq $ServerFQDN -or
        $_.RecordData.HostnameAlias -eq $ServerFQDN -or
        $_.RecordData.MailExchange -eq $ServerFQDN -or
        $_.HostName -eq $ServerHostname
    } | Remove-DnsServerResourceRecord -ZoneName $Zone -Force -WhatIf
}

Pomyślnie wymusiłeś ręczne usunięcie kontrolera domeny z Active Directory, a następnie wykonałeś niezbędne kroki czyszczenia.

Sprawdź stan kontrolera domeny

Teraz, gdy stary kontroler domeny został usunięty, warto sprawdzić stan nowego kontrolera domeny.

Przejrzyj artykuł Sprawdzanie stanu usługi Active Directory za pomocą skryptu PowerShell i utwórz raport. Raport HTML pokaże stan wszystkich kontrolerów domeny w Active Directory.

To wszystko!

Wniosek

Dowiedziałeś się, jak obniżyć poziom kontrolera domeny z Active Directory. Ważne jest, aby usunąć kontroler domeny z domeny za pomocą Kreatora usuwania ról i funkcji w Menedżerze serwera. Jeśli kontroler domeny jest niedostępny, usuń go z Użytkownicy i komputery usługi Active Directory.

Czy podobał Ci się ten artykuł? Możesz także chcieć Zmień TTL dla rekordu DNS w Windows Server. Nie zapomnij nas obserwować i udostępnić ten artykuł.