Як видалити (понизити) контролер домену

Тепер, коли у вас є новий контролер домену, який працює в Active Directory, настав час знизити рівень старого контролера домену. Існує два варіанти видалення контролера домену. Це залежить від того, доступний чи ні контролер домену. У цій статті ви дізнаєтеся, як покроково видалити контролер домену.

Параметри видалення контролера домену

Найкращим способом зниження рівня контролера домену є використання диспетчера серверів або PowerShell. Який вибрати – вирішувати вам. Вони, зрештою, однакові. Але бувають випадки, коли контролер домену більше не може завантажитися, і ви більше не можете його відновити. Потім потрібно вибрати спосіб видалення вручну.

Щоб зробити це простіше, у вас є наведені нижче варіанти.

• Варіант 1: контролер домену доступний– Видаліть контролер домену за допомогою Server Manager або PowerShell.
• Варіант 2: контролер домену НЕ доступний– Видаліть контролер домену вручну.

Давайте розглянемо обидва варіанти видалення контролера домену в Active Directory і процес його очищення.

Видаліть контролер домену за допомогою диспетчера сервера

Щоб знизити контролер домену за допомогою диспетчера сервера, виконайте наведені нижче дії.

Крок 1. Перемістіть ролі FSMO (необов’язково)

Ролі FSMO автоматично перемістяться на інший контролер домену, коли ви видалите контролер домену за допомогою майстра видалення. Якщо ви хочете перемістити ролі FSMO і не дозволити процесу видалення зробити це автоматично за вас, ви можете це зробити.

TheDC02-20222у наведеній нижче команді вказано ім’я хоста цільового контролера домену, куди ми також передамо ролі FSMO.

Move-ADDirectoryServerOperationMasterRole "DC02-2022" -OperationMasterRole 0,1,2,3,4 -Force -Confirm:$false

Крок 2. Перевірте видалення контролера домену

Відмінний спосіб - запуститиTest-ADDSDomainControllerUninstallationcmdlet, перш ніж почати видалення контролера домену. Це перевірить і сповістить, чи все налаштовано чи є якісь проблеми.

Test-ADDSDomainControllerUninstallation

Якщо наведена вище команда не працює, виконайте наведену нижче команду.

Test-ADDSDomainControllerUninstallation -LocalAdministratorPassword (Read-Host -Prompt "password" -AsSecureString)

Введіть пароль локального адміністратора та підтвердьте його ще раз.

LocalAdministratorPassword: ************
Confirm LocalAdministratorPassword: ************

У нашому прикладі вихідні дані нижче показують статусУспіх.Отже, все виглядає добре, і ми можемо йти далі.

Message                          Context                                  RebootRequired  Status
-------                          -------                                  --------------  ------
Operation completed successfully Test.VerifyDcPromoCore.DCPromo.General.1          False Success

Крок 3. Понизьте контролер домену

У нашому прикладі ми видалимо контролер доменуDC01-2019.

1. ВІДЧИНЕНОМенеджер сервера

2. Натисніть наКеруватиі виберітьВидалити ролі та функції

3. ВиберітьДалі

4. Виберітьсерверз басейну та натиснітьДалі

5. Зніміть прапорецьДоменні служби Active Directory

6. НатиснітьВидалити функції

7. Натисніть наПонизити цей контролер домену

8. За потреби введіть облікові дані адміністратора та натиснітьДалі

Примітка:робитиНІвиберіть параметр Примусове видалення цього контролера домену та залиште його не позначеним.

9. ПеревіртеПродовжити видаленняі натиснітьДалі

10. Введіть новий пароль адміністратора для облікового запису локального адміністратора після пониження рівня контролера домену

11. Натисніть наПонизити

12. Сервер пройде процес пониження

12. Після завершення пониження Windows Server автоматично перезапуститься

Крок 4. Видаліть роль доменних служб Active Directory

Після перезапуску вам потрібно видалити роль ADDS, виконавши наведені нижче дії.

1. Відкрийте диспетчер серверів
2. Натисніть наКеруватиі виберітьВидалити ролі та функції
3. Виберітьсерверз басейну та натиснітьДалі
4. Зніміть прапорецьДоменні служби Active Directory

2. НатиснітьВидалити функції

3. НатиснітьДалі

4. НатиснітьДалі

5. Поставте прапорецьЗа потреби автоматично перезапустіть цільовий сервер.

6. Видалення триває

7. Windows Server перезапуститься та продовжить видалення та завершить роботу. НатиснітьЗакрити.

8. Вимкніть сервер.

Після завершення роботи сервера видаліть об’єкт комп’ютера AD, виконавши наведені нижче дії.

1. Увійдіть на іншому контролері домену
2. стартКористувачі та комп’ютери Active Directory
3. Натисніть у меню накомп'ютериконтейнер
4. Клацніть сервер правою кнопкою миші та натиснітьВидалити

5. Підтвердити за допомогоютак

Ви успішно видалили комп’ютерний об’єкт AD.

Крок 6. Видаліть сервер із сайтів і служб Active Directory

Видаліть сервер із сайтів і служб Active Directory, виконавши наведені нижче дії.

1. ВІДЧИНЕНОСайти та служби Active Directory
2. РозгорнутиСайти > Default-First-Site-Name > Servers
3. Клацніть правою кнопкою мишіСервері виберітьВидалити

4. Підтвердити за допомогоютак

Ви успішно видалили сервер із доменних служб Active Directory (ADDS).

Крок 7. Видаліть залишки DNS

Після видалення контролера домену в DNS залишаються залишки. Навіть якщо ви налаштували DNS Aging and Scavening в Active Directory. Це тому, що він видалить застарілі динамічні записи DNS, а не застарілі статичні записи DNS.

Ви можете пройти кожну зону вМенеджер DNSі видаліть записи DNS, пов’язані зі старим контролером домену. Але це потребує часу.

Наведений нижче сценарій очистить усі застарілі записи в DNS. Він пройде через DNS і здійснить пошук старого FQDN контролера домену, імені хоста та IP-адреси. Треба лише змінитисярядки 1, 2 і 3.

Припустімо, ви зберегли ту саму IP-адресу для нового контролера домену та хочете лише перевірити наявність старогоFQDNіІм'я хостав DNS, розкоментуйтерядок 3в сценарії.

Примітка:Сценарій має параметр -WhatIf, тому нічого не станеться із середовищем під час запуску сценарію. Визначивши застарілі записи, видаліть параметр -WhatIf і повторно запустіть сценарій. Докладніше про скрипт читайте в статті Як очистити застарілі записи DNS за допомогою PowerShell.

$ServerFQDN = "dc01-2019.exoip.local." #Keep the dot (.) at the end
$ServerHostname = "dc01-2019"
$IPAddress = "192.168.1.51"

$Zones = Get-DnsServerZone | Where-Object { $_.ZoneType -eq "Primary" } |
Select-Object -ExpandProperty ZoneName

foreach ($Zone in $Zones) {
    Get-DnsServerResourceRecord -ZoneName $Zone | Where-Object { 
        $_.RecordData.IPv4Address -eq $IPAddress -or
        $_.RecordData.NameServer -eq $ServerFQDN -or
        $_.RecordData.DomainName -eq $ServerFQDN -or
        $_.RecordData.HostnameAlias -eq $ServerFQDN -or
        $_.RecordData.MailExchange -eq $ServerFQDN -or
        $_.HostName -eq $ServerHostname
    } | Remove-DnsServerResourceRecord -ZoneName $Zone -Force -WhatIf
}

Ви успішно знизили рівень контролера домену з Active Directory і виконали необхідні кроки з очищення.

Видалити контролер домену вручну

Якщо ви більше не можете запустити контролер домену, його потрібно видалити вручну.

Наведені вище дії є правильним способом видалення контролера домену з Active Directory, коли ви можете отримати до нього доступ. Бувають ситуації, коли сервер контролера домену дає збій, і ви більше не можете його викликати. Для цього потрібно вручну видалити контролер домену з Active Directory.

Примітка:Виконайте наведені нижче дії, якщо у вас Windows Server 2008 R2 або новіша версія.

Щоб примусово видалити контролер домену, виконайте наведені нижче дії.

Крок 1. Перемістіть ролі FSMO (необов’язково)

Ролі FSMO автоматично перемістяться на інший контролер домену, коли ви видалите контролер домену за допомогою майстра видалення. Якщо ви хочете перемістити ролі FSMO і не дозволити процесу видалення виконувати це автоматично, ви можете це зробити.

TheDC02-20222у наведеній нижче команді вказано ім’я хоста цільового контролера домену, куди ми також передамо ролі FSMO.

Move-ADDirectoryServerOperationMasterRole "DC02-2022" -OperationMasterRole 0,1,2,3,4 -Force -Confirm:$false

Крок 2. Примусово видалити об’єкт комп’ютера «Контролер домену».

Видаліть комп’ютерний об’єкт AD, виконавши наведені нижче дії.

1. Увійдіть на іншому контролері домену
2. ВІДЧИНЕНОКористувачі та комп’ютери Active Directory
3. Натисніть у меню наКонтролери доменуОрганізаційний підрозділ
4. Клацніть правою кнопкою мишісервері натиснітьВидалити

4. Виберітьтакщоб підтвердити видалення об’єкта комп’ютера

5. Поставте прапорецьУсе одно видаліть цей контролер домену. Він назавжди офлайн, і його більше не можна видалити за допомогою майстра видалення

6. Підтвердити за допомогоютак

7. Виберітьдобреякщо ви отримуєте попередження про ролі FSMO, які потрібно перемістити на новий сервер

Ви успішно видалили контролер домену.

Крок 3. Видаліть сервер із сайтів і служб Active Directory

Видаліть сервер із сайтів і служб Active Directory, виконавши наведені нижче дії.

1. ВІДЧИНЕНОСайти та служби Active Directory
2. РозгорнутиСайти > Default-First-Site-Name > Servers
3. Клацніть правою кнопкою мишіСервері виберітьВидалити

4. Підтвердити за допомогоютак

Ви успішно видалили сервер із доменних служб Active Directory (ADDS).

Крок 4. Видаліть залишки DNS

Після видалення контролера домену в DNS залишаються залишки. Навіть якщо ви налаштували DNS Aging and Scavening в Active Directory. Це тому, що він видалить застарілі динамічні записи DNS, а не застарілі статичні записи DNS.

Ви можете пройти кожну зону вМенеджер DNSі видаліть записи DNS, пов’язані зі старим контролером домену. Але це потребує часу.

Рекомендовано прочитати:Як налаштувати контролер домену в Windows Server

Наведений нижче сценарій очистить усі застарілі записи в DNS. Він пройде через DNS і здійснить пошук старого FQDN контролера домену, імені хоста та IP-адреси. Треба лише змінитисярядки 1, 2 і 3.

Припустімо, ви зберегли ту саму IP-адресу для нового контролера домену та хочете лише перевірити наявність старогоFQDNіІм'я хостав DNS, розкоментуйтерядок 3в сценарії.

Примітка:Сценарій має параметр -WhatIf, тому нічого не станеться із середовищем під час запуску сценарію. Визначивши застарілі записи, видаліть параметр -WhatIf і повторно запустіть сценарій. Докладніше про скрипт читайте в статті Як очистити застарілі записи DNS за допомогою PowerShell.

$ServerFQDN = "dc01-2019.exoip.local." #Keep the dot (.) at the end
$ServerHostname = "dc01-2019"
$IPAddress = "192.168.1.51"

$Zones = Get-DnsServerZone | Where-Object { $_.ZoneType -eq "Primary" } |
Select-Object -ExpandProperty ZoneName

foreach ($Zone in $Zones) {
    Get-DnsServerResourceRecord -ZoneName $Zone | Where-Object { 
        $_.RecordData.IPv4Address -eq $IPAddress -or
        $_.RecordData.NameServer -eq $ServerFQDN -or
        $_.RecordData.DomainName -eq $ServerFQDN -or
        $_.RecordData.HostnameAlias -eq $ServerFQDN -or
        $_.RecordData.MailExchange -eq $ServerFQDN -or
        $_.HostName -eq $ServerHostname
    } | Remove-DnsServerResourceRecord -ZoneName $Zone -Force -WhatIf
}

Ви успішно примусово видалили контролер домену з Active Directory вручну та виконали необхідні кроки з очищення.

Перевірте справність контролера домену

Тепер, коли старий контролер домену видалено, добре перевірити стан нового контролера домену.

Перегляньте статтю Перевірка справності Active Directory за допомогою сценарію PowerShell і створіть звіт. У звіті HTML відображатиметься стан усіх контролерів домену в Active Directory.

Це все!

Висновок

Ви дізналися, як знизити контролер домену з Active Directory. Важливо видалити контролер домену з домену за допомогою майстра видалення ролей і функцій у диспетчері сервера. Якщо контролер домену недоступний, видаліть його зі списку користувачів і комп’ютерів Active Directory.

Вам сподобалася ця стаття? Вам також може сподобатися Змінити TTL для запису DNS у Windows Server. Не забудьте підписатися на нас і поділитися цією статтею.