Правильне видалення контролера домену в Active Directory

У цій статті ми розглянемо процедуру правильного видалення контролера домену Active Directory на Windows Server 2022/2016/2016/2012R2. Зазвичай при видаленні контролера домену розглядається один із сценаріїв:

Зміст:

• Зниження контролера домену з видаленням ролі послуг домену Active Directory
• Видалення несправного контролера домену Active Directory

Зниження контролера домену з видаленням ролі послуг домену Active Directory

Якщо ви проводите заплановане видалення (зняття з експлуатації) одного з існуючих контролерів Admain Add (звичайний постійний струм або RODC), то перед тим, як опустити контролер домену на звичайний сервер Window підготовчих кроків.

1. Перевірте умову контролера домену, Active Directory та реплікації. На сайті є окрема стаття, що описує команди контролера охорони здоров'я контролера домену та реплікації в AD за допомогою Dcdiag , Відрегулювати Та сценарії PowerShell. Виправте знайдені проблеми. Щоб відобразити список помилок на певному контролері домену, дотримуйтесь команди: Dcdiag.EXE /S: DC01 /Q
2. Переконайтесь, що на контролі домену FSMO ролі AD: Netdom Query FSMO

Тепер ви можете почати знижувати роль контролера домену на звичайний сервер. До Windows Server 2012 для цього була використана команда Dcpromo. У сучасних версіях Windows Server цей інструмент вважається застарілим і не рекомендується для використання.

Ви можете знизити роль контролера домену за допомогою Менеджер сервера. Запустити менеджер сервера -> Віддалені ролі та функції -> Видаліть Chekbox Служби домену Active Directory У розділі Ролі серверів.

Натисніть на кнопку Демонтуйте цей контролер домену.

Майстер конфігурації доменів Active Directory повинен відкрити. Опція Зробити використовується видалення цього контролера домену При вилученні останнього контролера домену. Увімкніть його не потрібно. В майбутньому ми видалимо метадані щодо постійного струму вручну.

У наступному вікні позначте параметр Продовжуйте зняти.

Потім встановіть пароль облікового запису адміністратора локального сервера.

На останньому етапі залишається натиснути кнопку Понижувати.

Зачекайте кінця зменшення контролера домену. Написи з’являться Успішно понизив контролер домену Active Directory.

Перезавантажте сервер, знову запустіть менеджер сервера, щоб видалити роль служб домену Active Directory.

Вилучивши роль ADD, наступні компоненти будуть видалені, захищаючи:

• Модуль Active Directory для Windows PowerShell
• Особливості інструментів AD DS та AD LDS
• Адміністраційний центр Active Directory
• AD DS Snap -ings та інструменти командного рядка
• DNS -сервер
• Консоль управління груповою політикою ( GPMC.MSC )

Запустіть консоль користувачів Active Directory та комп’ютери (DSA.MSC) і переконайтесь, що обліковий запис контролера домену було видалено з контролерів домену OU.

Ви також можете видалити контролер домену за допомогою команди PowerShell Видалення-DddomainController . Команда попросить вас встановити пароль місцевого адміністратора та підтвердити зменшення постійного струму.

Після перезавантаження він залишиться з використанням PowerShell для видалення ролі додавань:

Видалення windowsfeature ad-домена-послуги -inkludemanagementtools

Тепер запустіть консоль Active Directory та послуги ( DSSite.MSS ), знайдіть веб -сайт контролера домену та його обліковий запис у розділі Сервери. Розгорніть постійний струм, натисніть PKM за налаштуваннями NTDS та виберіть Видаляти.

Підтвердьте видалення DC, зазначивши опцію У будь -якому випадку видаліть цей контролер домену. Він постійно в режимі офлайн, і змінного струму більше не видалити майстра з видалення.

Потім видаліть обліковий запис сервера.

Зачекайте завершення реплікації в AD та перевірте умову домену за допомогою Dcdiag і Відрегулювати (як описано вище).

Видалення несправного контролера домену Active Directory

Якщо ваш контролер домену зазнав невдачі (фізичний сервер або віртуальні файли постійного струму для зберігання), і ви не плануєте відновити постійний струм із раніше створеного резервного копіювання контролера домену, ви можете його насильно видалити.

До Windows Server 2008 R2, щоб видалити несправний контролер домену та очистити його метадані, утиліти консолі NTDDSUTIL використовували в AD. У сучасних версіях Windows Server 2022/2019/2016/2012 Ви можете видалити невдалий постійний струм та правильно чистити метадані за допомогою графіки MMC АНДАЦІАЛЬНЕ ОБЛАДНАННЯ AD AD AD.

Відкрийте консоль Aduc ( DSA.MSC ) і перейдіть до контейнера Контролери домену. Знайдіть свій обліковий запис постійного струму та видаліть його.

З'явиться вікно з підтвердженням видалення DC. Увімкніть опцію У будь -якому випадку видаліть цей контролер домену. І натисніть кнопку Видаляти.

Active Directory автоматично очистить метадані щодо віддаленого постійного струму з бази даних NTDS.Дат.

Тепер вам потрібно видалити контролер домену в консолі AD та послуг, як описано вище.

І останній крок - видалити записи контролера домену в DNS. Відкрийте консоль DNS -менеджера ( Dnsmgmt.MSC ).

Видаліть сервер із списку серверів імен у налаштуваннях зони.

Видалити статичні сервери імен (NS) записи, що залишилися з віддаленого постійного струму у вашій зоні DNS та секціях _Msdcs , _Sites , _Tcp , _Udp , та записи PTR в задній зоні.

Або використовувати PowerShell для пошуку та видалення записів у DNS.

Отже, у цій статті ми описали процедуру кроку -кроку, яка допоможе вам знизити контролер домену або видалити несправний постійний струм з Active Directory.