В этой статье мы покажем, как правильно удалить (понизить) контроллер домена Active Directory на Windows Server 2022/2019/2016/2012R2. При удалении контроллера домена обычно используется один из следующих сценариев.
Удаление контроллера домена Active Directory и роли ADDS (шаг за шагом)
Если вы собираетесь вывести из эксплуатации один из контроллеров домена AD (обычный DC или контроллер домена только для чтения — RODC), вам необходимо предпринять некоторые подготовительные шаги, прежде чем понизить контроллер домена до сервера-члена и удалить роль Active Directory Domain Services (ADDS).
- Проверьте состояние контроллера домена, Active Directory и репликации. Есть отдельная статья о том, как проверить состояние контроллера домена и репликации в AD с помощью
dcdiag,repadmin, и сценарии PowerShell. Устраните проблемы, если они были обнаружены. Чтобы отобразить список ошибок на конкретном контроллере домена, выполните следующую команду:dcdiag.exe /s:mun-dc03 /q - Убедитесь, что роли AD FSMO не запущены на контроллере домена:
netdom query fsmo
Если необходимо, переместите роли FSMO на другой DC. - Убедитесь, что роль DHCP-сервера не запущена на контроллере домена. Если она запущена, переместите ее на другой сервер;
- Измените настройки DNS для диапазонов DHCP, которые назначают IP-адреса клиентам. Измените конфигурацию диапазонов DHCP так, чтобы они назначали другой адрес DNS-сервера (дождитесь истечения времени аренды IP-адреса, чтобы все клиенты получили новые настройки DNS-сервера). Можно отобразить список DNS-серверов, установленных для всех зон (DNS Servers Option 006) на сервере с помощью следующей команды PowerShell:
Get-DhcpServerv4Scope -ComputerName mun-dhcp.woshub.com| Get-DhcpServerv4OptionValue | Where-Object {$_.OptionID -like 6} | FT Value - Некоторые клиенты могут быть вручную настроены на использование DNS-сервера на DC (сетевые устройства, серверы, принтеры, сканеры и т. д.). Необходимо найти такие устройства и перенастроить их на другой DNS-сервер. Найти такие устройства, обращающиеся к вашему DNS-серверу, проще всего по его журналам. Вот подробная статья: Как проводить аудит клиентских DNS-запросов в Windows Server;
- Если роль центра сертификации запущена на контроллере домена, перенесите ее на другой сервер;
- Если на контроллере домена работают другие службы (например, KMS-сервер, Radius/NPS, WSUS и т. д.), решите, нужно ли перемещать их на другие узлы;
- Используйте
Test-ADDSDomainControllerUninstallationКоманда позволяет убедиться в наличии каких-либо зависимостей или проблем, с которыми вы можете столкнуться при удалении DC. Если команда возвращает Успех, вы можете двигаться дальше.
Теперь вы готовы перевести контроллер домена в разряд серверов-членов. До выхода Windows Server 2012 dcpromo Для этого использовалась команда dcpromo. В современных редакциях Windows Server этот инструмент устарел и не рекомендуется к использованию.
Вы можете понизить контроллер домена с помощью команды Диспетчер сервера. Откройте Диспетчер сервера -> Удаленные роли и функции -> снимите флажок Доменные службы Active Directory в разделе «Роли сервера».
Нажмите . Перевести этот контроллер домена в другую категорию.
Откроется мастер настройки доменных служб Active Directory. Принудительное удаление этого контроллера домена опция используется для удаления последнего контроллера домена в домене. Не использовать его. Позже мы удалим все метаданные DC вручную.
На следующем экране установите флажок Приступить к удалению вариант.
Затем установите пароль администратора локального сервера.
Затем вам нужно просто нажать Разжаловать.
Дождитесь окончания понижения роли контроллера домена. Появится следующее сообщение: Успешное понижение контроллера домена Active Directory.
Перезапустите хост Windows Server. Снова откройте диспетчер сервера, чтобы удалить роль Active Directory Domain Services.
При удалении роли ADDS по умолчанию будут удалены следующие компоненты:
- Модуль Active Directory для Windows PowerShell
- Функции инструментов AD DS и AD LDS
- Центр администрирования Active Directory
- Оснастки и средства командной строки AD DS
- DNS-сервер
- Консоль управления групповой политикой (
gpmc.msc)
Запустите консоль Active Directory Users and Computers (dsa.msc) и убедитесь, что учетная запись компьютера контроллера домена была удалена из OU Domain Controllers.
Вы также можете удалить контроллер домена с помощью команды Uninstall-ADDSDomainController PowerShell команды. Команда предложит вам установить пароль локального администратора и подтвердить понижение DC.
После перезапуска вы просто удалите роль ADDS с помощью PowerShell:
Uninstall-WindowsFeature AD-Domain-Services -IncludeManagementTools
Затем откройте Active Directory Sites and Services (dssite.msc) консоль, найдите сайт контроллера домена и его учетную запись в разделе Серверы. Разверните DC, щелкните правой кнопкой мыши Параметры NTDS и выберите Удалить.
Подтвердите удаление DC, проверив Удалить этот контроллер домена в любом случае. Он постоянно находится в автономном режиме и больше не может быть удален с помощью мастера удаления.
Затем удалите учетную запись сервера.
Дождитесь окончания репликации AD и проверьте состояние домена, используя dcdiag и repadmin команды (описанные выше).
Как удалить вышедший из строя контроллер домена в Active Directory?
Если контроллер домена вышел из строя (физический сервер или виртуальные файлы DC на хранилище) и вы не собираетесь восстанавливать DC из резервной копии контроллера домена, созданной ранее, вы можете принудительно удалить его.
В Windows Server 2008 R2 и более ранних версиях в меню ntdsutil инструмент использовался для удаления сбойного контроллера домена и очистки его метаданных из AD. В текущей версии Windows Server 2022/2019/2016/2012 можно удалить вышедший из строя DC и очистить его метаданные корректно с помощью оснастки MMC для управления графической AD.
Откройте консоль ADUC (dsa.msc) и перейдите к разделу Контроллеры домена. Найдите свою учетную запись DC и удалите ее.
Появится окно для подтверждения удаления контроллера домена. Проверьте Удалить этот контроллер домена в любом случае. Нажмите Удалить.
Active Directory автоматически очистит метаданные удаленного DC из базы данных ntds.dit.
Затем удалите контроллер домена в консоли AD Sites and Services, как показано выше.
Последним шагом будет удаление записей контроллера домена из DNS. Откройте диспетчер DNS (dnsmgmt.msc).
Удалите сервер из списка Серверы имен в настройках зоны.
Удалите статические записи серверов имен (NS), относящиеся к удаленному DC, в зоне DNS и _msdcs, _sites, _tcp, _udp , а также PTR-записи в зоне обратного поиска.
Или используйте PowerShell для поиска и удаления записей в DNS.
Вот пошаговое руководство, показывающее, как удалить контроллер домена или удалить сбойный DC из Active Directory.