Hur man tar bort (degraderar) en domänkontrollant

Nu när du har en ny domänkontrollant som körs i Active Directory är det dags att degradera den gamla domänkontrollanten. Det finns två alternativ för att ta bort en domänkontrollant. Det beror på om domänkontrollanten är tillgänglig eller inte. I den här artikeln kommer du att lära dig hur du tar bort en domänkontrollant steg för steg.

Alternativ för borttagning av domänkontrollant

Den föredragna metoden för att degradera en domänkontrollant är att använda Server Manager eller PowerShell. Vilken du väljer är upp till dig. De är i slutändan likadana. Men det finns tillfällen då domänkontrollanten inte kan starta upp längre, och du kan inte ta upp den igen. Sedan måste du välja metoden för att ta bort den manuellt.

För att göra det enklare har du följande alternativ:

• Alternativ 1: Domänkontrollanten är tillgänglig– Ta bort domänkontrollanten med Server Manager eller PowerShell.
• Alternativ 2: Domänkontrollanten är INTE tillgänglig– Ta bort domänkontrollanten manuellt.

Låt oss titta på båda alternativen för att ta bort en domänkontrollant i Active Directory och dess rensningsprocess.

Ta bort Domain Controller med Server Manager

För att degradera en domänkontrollant med Server Manager, gå igenom stegen nedan:

Steg 1. Flytta FSMO-roller (valfritt)

FSMO-rollerna flyttas automatiskt till en annan domänkontrollant när du tar bort domänkontrollanten via borttagningsguiden. Om du vill flytta FSMO-rollerna och inte låta avinstallationsprocessen göra det automatiskt åt dig kan du göra det.

DeDC02-20222i kommandot nedan är måldomänkontrollantens värdnamn dit vi också kommer att överföra FSMO-rollerna.

Move-ADDirectoryServerOperationMasterRole "DC02-2022" -OperationMasterRole 0,1,2,3,4 -Force -Confirm:$false

Steg 2. Testa avinstallation av domänkontroller

Ett utmärkt sätt är att köraTest-ADDSDomainControllerUninstallationcmdlet innan du börjar med att ta bort domänkontrollanten. Detta kommer att kontrollera och varna om allt är inställt eller om det finns några problem.

Test-ADDSDomainControllerUninstallation

Om kommandot ovan inte fungerar, kör kommandot nedan.

Test-ADDSDomainControllerUninstallation -LocalAdministratorPassword (Read-Host -Prompt "password" -AsSecureString)

Fyll i det lokala administratörslösenordet och bekräfta det igen.

LocalAdministratorPassword: ************
Confirm LocalAdministratorPassword: ************

I vårt exempel visar utgången nedan statusenFramgång.Så allt ser bra ut och vi kan gå vidare.

Message                          Context                                  RebootRequired  Status
-------                          -------                                  --------------  ------
Operation completed successfully Test.VerifyDcPromoCore.DCPromo.General.1          False Success

Steg 3. Degradera domänkontrollanten

I vårt exempel kommer vi att ta bort Domain ControllerDC01-2019.

1. ÖppnaServerhanterare

2. Klicka påHanteraoch väljTa bort roller och funktioner

3. VäljaNästa

4. Väljserverfrån poolen och klickaNästa

5. Avmarkera kryssrutanActive Directory Domain Services

6. KlickTa bort funktioner

7. Klicka påDegradera denna domänkontrollant

8. Ange administratörsuppgifterna om det behövs och klickaNästa

Notera:DoINTEvälj alternativet Tvinga bort den här domänkontrollanten och lämna det avmarkerat.

9. KontrolleraFortsätt med borttagningoch klickaNästa

10. Ange ett nytt administratörslösenord för det lokala administratörskontot efter att domänkontrollanten har degraderats

11. Klicka påDegradera

12. Servern kommer att gå igenom degraderingsprocessen

12. När nedgraderingen är klar kommer Windows Server att starta om automatiskt

Steg 4. Ta bort Active Directory Domain Services-rollen

Efter omstarten måste du ta bort ADDS-rollen med stegen nedan:

1. Öppna Serverhanteraren
2. Klicka påHanteraoch väljTa bort roller och funktioner
3. Väljserverfrån poolen och klickaNästa
4. Avmarkera kryssrutanActive Directory Domain Services

2. KlickTa bort funktioner

3. KlickNästa

4. KlickNästa

5. Markera kryssrutanStarta om destinationsservern automatiskt vid behov.

6. Borttagningen pågår

7. Windows Server kommer att starta om och fortsätta med borttagningen och avslutas. KlickNära.

8. Stäng av servern.

När servern har stängts av, ta bort AD-datorobjektet med stegen nedan:

1. Logga in på en annan domänkontrollant
2. StartActive Directory-användare och -datorer
3. Klicka i menyn påDatorerbehållare
4. Högerklicka på servern och klickaRadera

5. Bekräfta medJa

Du har lyckats radera AD-datorobjektet.

Steg 6. Ta bort servern från Active Directory-webbplatser och -tjänster

Ta bort servern från Active Directory-webbplatser och tjänster med stegen nedan:

1. ÖppnaActive Directory-webbplatser och tjänster
2. ExpanderaWebbplatser > Default-First-Site-Name > Servrar
3. Högerklicka påServeroch väljRadera

4. Bekräfta medJa

Du har raderat servern från Active Directory Domain Services (ADDS).

Steg 7. Ta bort DNS-rester

Det finns rester i DNS efter att du tagit bort domänkontrollanten. Även om du har ställt in DNS-åldring och rensning i Active Directory. Det beror på att det kommer att ta bort de inaktuella dynamiska DNS-posterna och inte de inaktuella statiska DNS-posterna.

Du kan gå igenom varje zon iDNS Manageroch ta bort DNS-posterna som är associerade med den gamla domänkontrollanten. Men det tar tid.

Skriptet nedan kommer att rensa upp alla inaktuella poster i DNS. Den kommer att gå igenom DNS och söka efter den gamla domänkontrollanten FQDN, värdnamn och IP-adress. Du behöver bara ändra digrad 1, 2 och 3.

Anta att du behöll samma IP-adress för den nya domänkontrollanten och bara vill kontrollera den gamlaFQDNochVärdnamni DNS, avkommenterarad 3i manuset.

Notera:Skriptet har parametern -WhatIf, så ingenting kommer att hända med miljön när du kör skriptet. När du har identifierat de inaktuella posterna tar du bort parametern -WhatIf och kör skriptet igen. Läs mer om skriptet i artikeln Hur man städar upp gamla DNS-poster med PowerShell.

$ServerFQDN = "dc01-2019.exoip.local." #Keep the dot (.) at the end
$ServerHostname = "dc01-2019"
$IPAddress = "192.168.1.51"

$Zones = Get-DnsServerZone | Where-Object { $_.ZoneType -eq "Primary" } |
Select-Object -ExpandProperty ZoneName

foreach ($Zone in $Zones) {
    Get-DnsServerResourceRecord -ZoneName $Zone | Where-Object { 
        $_.RecordData.IPv4Address -eq $IPAddress -or
        $_.RecordData.NameServer -eq $ServerFQDN -or
        $_.RecordData.DomainName -eq $ServerFQDN -or
        $_.RecordData.HostnameAlias -eq $ServerFQDN -or
        $_.RecordData.MailExchange -eq $ServerFQDN -or
        $_.HostName -eq $ServerHostname
    } | Remove-DnsServerResourceRecord -ZoneName $Zone -Force -WhatIf
}

Du lyckades degradera en domänkontrollant från Active Directory och följde de nödvändiga saneringsstegen efteråt.

Ta bort domänkontrollant manuellt

När du inte kan starta en domänkontrollant längre måste du ta bort den manuellt.

Ovanstående steg är det korrekta sättet att ta bort en domänkontrollant från Active Directory när du kan komma åt den. Det finns situationer när Domain Controller-servern kraschar, och du kan inte ta upp den längre. Detta kräver manuell borttagning av domänkontrollanten från Active Directory.

Notera:Gör stegen nedan om du har Windows Server 2008 R2 och högre.

Gå igenom stegen nedan för att tvinga bort en domänkontrollant:

Steg 1. Flytta FSMO-roller (valfritt)

FSMO-rollerna flyttas automatiskt till en annan domänkontrollant när du tar bort domänkontrollanten via borttagningsguiden. Om du vill flytta FSMO-rollerna och inte låta avinstallationsprocessen göra det automatiskt kan du göra det.

DeDC02-20222i kommandot nedan är måldomänkontrollantens värdnamn dit vi också kommer att överföra FSMO-rollerna.

Move-ADDirectoryServerOperationMasterRole "DC02-2022" -OperationMasterRole 0,1,2,3,4 -Force -Confirm:$false

Steg 2. Tvinga borttagning av Domain Controller-datorobjekt

Ta bort AD-datorobjektet med stegen nedan:

1. Logga in på en annan domänkontrollant
2. ÖppnaActive Directory-användare och -datorer
3. Klicka i menyn påDomänkontrollanterOrganisationsenhet
4. Högerklicka påserveroch klickaRadera

4. VäljaJaför att bekräfta raderingen av datorobjektet

5. Markera kryssrutanTa bort denna domänkontrollant ändå. Den är permanent offline och kan inte längre tas bort med borttagningsguiden

6. Bekräfta medJa

7. VäljaOKom du får ett varningsmeddelande om FSMO-rollerna som måste flyttas till en ny server

Du har raderat domänkontrollanten.

Steg 3. Ta bort servern från Active Directory-webbplatser och -tjänster

Ta bort servern från Active Directory-webbplatser och tjänster med stegen nedan:

1. ÖppnaActive Directory-webbplatser och tjänster
2. ExpanderaWebbplatser > Default-First-Site-Name > Servrar
3. Högerklicka påServeroch väljRadera

4. Bekräfta medJa

Du har raderat servern från Active Directory Domain Services (ADDS).

Steg 4. Ta bort DNS-rester

Det finns rester i DNS efter att du tagit bort domänkontrollanten. Även om du har ställt in DNS-åldring och rensning i Active Directory. Det beror på att det kommer att ta bort de inaktuella dynamiska DNS-posterna och inte de inaktuella statiska DNS-posterna.

Du kan gå igenom varje zon iDNS Manageroch ta bort DNS-posterna som är associerade med den gamla domänkontrollanten. Men det tar tid.

Rekommenderad läsning:Hur man ställer in en domänkontrollant i Windows Server

Skriptet nedan kommer att rensa upp alla inaktuella poster i DNS. Den kommer att gå igenom DNS och söka efter den gamla domänkontrollanten FQDN, värdnamn och IP-adress. Du behöver bara ändra digrad 1, 2 och 3.

Anta att du behöll samma IP-adress för den nya domänkontrollanten och bara vill kontrollera den gamlaFQDNochVärdnamni DNS, avkommenterarad 3i manuset.

Notera:Skriptet har parametern -WhatIf, så ingenting kommer att hända med miljön när du kör skriptet. När du har identifierat de inaktuella posterna tar du bort parametern -WhatIf och kör skriptet igen. Läs mer om skriptet i artikeln Hur man städar upp gamla DNS-poster med PowerShell.

$ServerFQDN = "dc01-2019.exoip.local." #Keep the dot (.) at the end
$ServerHostname = "dc01-2019"
$IPAddress = "192.168.1.51"

$Zones = Get-DnsServerZone | Where-Object { $_.ZoneType -eq "Primary" } |
Select-Object -ExpandProperty ZoneName

foreach ($Zone in $Zones) {
    Get-DnsServerResourceRecord -ZoneName $Zone | Where-Object { 
        $_.RecordData.IPv4Address -eq $IPAddress -or
        $_.RecordData.NameServer -eq $ServerFQDN -or
        $_.RecordData.DomainName -eq $ServerFQDN -or
        $_.RecordData.HostnameAlias -eq $ServerFQDN -or
        $_.RecordData.MailExchange -eq $ServerFQDN -or
        $_.HostName -eq $ServerHostname
    } | Remove-DnsServerResourceRecord -ZoneName $Zone -Force -WhatIf
}

Du lyckades tvinga bort en domänkontrollant från Active Directory manuellt och följde de nödvändiga rensningsstegen efteråt.

Verifiera domänkontrollantens hälsa

Nu när den gamla domänkontrollanten har tagits bort är det bra att kontrollera den nya domänkontrollantens hälsa.

Gå igenom artikeln Active Directory-hälsokontroll med PowerShell-skript och skapa en rapport. HTML-rapporten visar status för alla domänkontrollanter i Active Directory.

Det är det!

Slutsats

Du lärde dig hur du flyttar ned en domänkontrollant från Active Directory. Det är viktigt att du tar bort domänkontrollanten från domänen med hjälp av guiden Ta bort roller och funktioner i Serverhanteraren. Om domänkontrollanten är otillgänglig, radera den från Active Directory-användare och -datorer.

Gillade du den här artikeln? Du kanske också gillar Ändra TTL för DNS-post i Windows Server. Glöm inte att följa oss och dela den här artikeln.