• 14.11.2018
  • 7 minut čtení
    • i
    • d
    • v
    • e
    • D
    • +8

Týká se:

Pracovní postup odstranění AD DS

Upozornění

Odstranění rolí AD DS pomocí Dism.exe nebo modulu DISM prostředí Windows PowerShell po povýšení na řadič domény není podporováno a zabrání normálnímu spuštění serveru.

Na rozdíl od Správce serveru nebo modulu ADDSDeployment pro prostředí Windows PowerShell je DISM nativní obslužný systém, který nemá žádné vlastní znalosti o službě AD DS nebo její konfiguraci. K odinstalování role AD DS nepoužívejte soubor Dism.exe ani modul DISM prostředí Windows PowerShell, pokud server již není řadičem domény.

Odstranění a odebrání role pomocí prostředí PowerShell

Kmdlety ADDSDeployment a ServerManager Argumenty (Vyžadovány jsou tučně vyznačené argumenty. Argumenty psané kurzívou lze zadat pomocí prostředí Windows PowerShell nebo Průvodce konfigurací služby AD DS.)
Uninstall-ADDSDomainController -SkipPreChecks

-LocalAdministratorPassword

-.Confirm

-Credential

-DemoteOperationMasterRole

-DNSDelegationRemovalCredential

-Force

-ForceRemoval

-IgnoreLastDCInDomainMismatch

-IgnoreLastDNSServerForZone

-LastDomainControllerInDomain

-Norebootoncompletion

-RemoveApplicationPartitions

-RemoveDNSDelegation

-RetainDCMetadata
Uninstall-WindowsFeature/Remove-WindowsFeature -Name

-IncludeManagementTools

-Restartovat

-Odebrat

-Vynutit

-Název počítače

-Credential

-LogPath

-Vhd

Poznámka

Argument -credential je vyžadován pouze v případě, že ještě nejste přihlášeni jako člen skupiny Enterprise Admins (demontáž posledního DC v doméně) nebo skupiny Domain Admins (demontáž repliky DC).Argument -includemanagementtools je vyžadován pouze v případě, že chcete odebrat všechny nástroje pro správu služby AD DS.

Odstranit

Odstranit role a funkce

Server Manager nabízí dvě rozhraní pro odebrání role služby Active Directory Domain Services:

  • Nabídka Spravovat na hlavním panelu pomocí Odebrat role a funkce

  • Klikněte na AD DS nebo Všechny servery na navigačním panelu. Přejděte dolů do části Role a funkce. Klikněte pravým tlačítkem myši na položku Active Directory Domain Services v seznamu Role a funkce a klikněte na příkaz Odebrat roli nebo funkci. Toto rozhraní přeskočí stránku Výběr serveru.

Komunita ServerManager Uninstall-WindowsFeature a Remove-WindowsFeature zabrání odebrání role AD DS, dokud řadič domény neodstavíte.

Výběr serveru

Dialogové okno Výběr serveru umožňuje vybrat jeden ze serverů dříve přidaných do fondu, pokud je přístupný. Místní server se spuštěným Správcem serveru je vždy automaticky dostupný.

Roly a funkce serveru

Zrušte zaškrtnutí políčka Active Directory Domain Services, chcete-li degradovat řadič domény; pokud je server v současné době řadičem domény, neodstraní se tím role AD DS a místo toho se přepne na dialogové okno Výsledky ověření s nabídkou demontáže. V opačném případě odstraní binární soubory jako jakoukoli jinou funkci role.

  • Pokud máte v úmyslu řadič domény ihned znovu povýšit, neodstraňujte žádné další role nebo funkce související s AD DS – například DNS, GPMC nebo nástroje RSAT. Odstranění dalších rolí a funkcí prodlužuje dobu opětovného povýšení, protože Správce serveru tyto funkce při opětovné instalaci role znovu nainstaluje.

  • Pokud máte v úmyslu řadič domény trvale povýšit, odstraňte nepotřebné role a funkce služby AD DS podle vlastního uvážení. To vyžaduje zrušení zaškrtnutí políček u těchto rolí a funkcí.

    Úplný seznam rolí a funkcí souvisejících se službou AD DS zahrnuje:

    • Funkce Modul služby Active Directory pro prostředí Windows PowerShell
    • Funkce Nástroje AD DS a AD LDS
    • Funkce Centrum správy služby Active Directory
    • Funkce AD DS Snap-ins and Command-line Tools feature
    • DNS Server
    • Group Policy Management Console

Evivalentní rutiny ADDSDeployment a ServerManager Windows PowerShell jsou:

Uninstall-addsdomaincontrollerUninstall-windowsfeature

Pověřovací údaje

Nakonfigurují se možnosti degradací na stránce Pověřovací údaje. Zadejte pověření potřebná k provedení demontáže z následujícího seznamu:

  • Demontáž dalšího řadiče domény vyžaduje pověření správce domény. Výběrem možnosti Vynutit odebrání tohoto řadiče domény dojde k demontáži řadiče domény bez odebrání metadat objektu řadiče domény ze služby Active Directory.

    Upozornění

    Tuto možnost nevybírejte, pokud řadič domény nemůže kontaktovat ostatní řadiče domény a neexistuje žádný rozumný způsob, jak tento síťový problém vyřešit. Vynucené povýšení zanechá osiřelá metadata ve službě Active Directory na zbývajících řadičích domény v doménové struktuře. Kromě toho jsou navždy ztraceny všechny nereplikované změny na daném řadiči domény, například hesla nebo nové uživatelské účty. Osiřelá metadata jsou hlavní příčinou ve významném procentu případů zákaznické podpory společnosti Microsoft pro služby AD DS, Exchange, SQL a další software.

    Pokud násilně povýšíte řadič domény, musíte okamžitě provést ruční vyčištění metadat. Postup naleznete v části Vyčištění metadat serveru.

  • Demontáž posledního řadiče domény v doméně vyžaduje členství ve skupině Enterprise Admins, protože se tím odstraní samotná doména (je-li poslední doménou v doménové struktuře, odstraní se doménová struktura). Správce serveru vás informuje, zda je aktuální řadič domény posledním řadičem domény v doméně. Zaškrtnutím políčka Poslední řadič domény v doméně potvrdíte, že řadič domény je posledním řadičem domény v doméně.

Evivalentní argumenty ADDSDeployment prostředí Windows PowerShell jsou:

-credential <pscredential>-forceremoval <{ $true | false }>-lastdomaincontrollerindomain <{ $true | false }>

Warnings

Stránka Warnings vás upozorní na možné důsledky odebrání tohoto řadiče domény. Chcete-li pokračovat, musíte vybrat možnost Pokračovat v odebrání.

Upozornění

Pokud jste předtím na stránce Pověření vybrali možnost Vynutit odebrání tohoto řadiče domény, pak se na stránce Upozornění zobrazí všechny role Flexible Single Master Operations hostované tímto řadičem domény. Ihned po demontáži tohoto serveru je nutné převzít role z jiného řadiče domény. Další informace o převzetí rolí FSMO naleznete v části Převzetí hlavní role operací.

Tato stránka nemá ekvivalentní argument ADDSDeployment prostředí Windows PowerShell.

Možnosti odebrání

Stránka Možnosti odebrání se zobrazí v závislosti na předchozí volbě Poslední řadič domény v doméně na stránce Pověření. Tato stránka umožňuje konfigurovat další možnosti odebrání. Vyberte možnost Ignorovat poslední server DNS pro zónu, Odebrat oddíly aplikací a Odebrat delegování DNS a aktivujte tlačítko Další.

Možnosti se zobrazí pouze v případě, že se vztahují na tento řadič domény. Pokud například pro tento server neexistuje delegace DNS, toto políčko se nezobrazí.

Klepnutím na tlačítko Změnit zadejte alternativní pověření pro správu DNS. Kliknutím na tlačítko Zobrazit diskové oddíly zobrazíte další diskové oddíly, které průvodce odstraní během demontáže. Ve výchozím nastavení jsou jedinými dodatečnými oddíly Doména DNS a Zóny DNS doménové struktury. Všechny ostatní oddíly jsou oddíly, které nejsou oddíly systému Windows.

Evivalentní argumenty rutiny ADDSDeployment jsou:

Nové heslo správce

Stránka Nové heslo správce vyžaduje zadání hesla pro integrovaný účet správce místního počítače, jakmile bude demontáž dokončena a počítač se stane členským serverem domény nebo počítačem pracovní skupiny.

Komunita Uninstall-ADDSDomainController a argumenty se řídí stejným výchozím nastavením jako Správce serveru, pokud nejsou zadány.

Argument LocalAdministratorPassword je speciální:

  • Pokud není zadán jako argument, pak vás rutina vyzve k zadání a potvrzení maskovaného hesla. Toto je preferované použití při interaktivním spuštění rutiny.
  • Je-li zadán s hodnotou, pak hodnota musí být bezpečný řetězec. Toto není upřednostňované použití při interaktivním spuštění rutiny.

Například můžete ručně zadat heslo pomocí rutiny Read-Host a vyzvat uživatele k zadání zabezpečeného řetězce.

-localadministratorpassword (read-host -prompt "Password:" -assecurestring)

Upozornění

Jelikož předchozí dvě možnosti heslo nepotvrzují, dbejte zvýšené opatrnosti: heslo není viditelné.

Zabezpečený řetězec můžete zadat také jako konvertovanou proměnnou v čistém textu, i když se to velmi nedoporučuje. Například:

-localadministratorpassword (convertto-securestring "Password1" -asplaintext -force)

Upozornění

Poskytování nebo ukládání hesla v čistém textu se nedoporučuje. Každý, kdo spustí tento příkaz ve skriptu nebo se vám dívá přes rameno, zná heslo místního správce daného počítače. S touto znalostí má přístup ke všem jeho datům a může se vydávat za samotný server.

Potvrzení

Stránka Potvrzení zobrazuje plánované zrušení; na stránce nejsou uvedeny možnosti konfigurace zrušení. Jedná se o poslední stránku, kterou průvodce zobrazí před zahájením demolice. Tlačítko Zobrazit skript vytvoří skript demontáže prostředí Windows PowerShell.

Klepnutím na tlačítko Demotovat spustíte následující rutinu nasazení služby AD DS:

Uninstall-ADDSDomainController

Pomocí volitelného argumentu Whatif s rutinou Uninstall-ADDSDomainController a rutinou můžete zkontrolovat informace o konfiguraci. To umožňuje zobrazit explicitní a implicitní hodnoty argumentů rutiny.

Například:

Výzva k restartování je poslední možností, jak zrušit tuto operaci při použití rutiny ADDSDeployment prostředí Windows PowerShell. Chcete-li tuto výzvu zrušit, použijte argumenty -force nebo confirm:$false.

Demotion

Po zobrazení stránky Demotion se zahájí konfigurace řadiče domény, kterou nelze zastavit ani zrušit. Na této stránce se zobrazí podrobné operace, které se zapisují do protokolů:

  • %systemroot%\debug\dcpromo.log
  • %systemroot%\debug\dcpromoui.log

Protože Uninstall-ADDSDomainController a Uninstall-WindowsFeature mají pouze po jedné akci, jsou zde zobrazeny ve fázi Potvrzení s minimem požadovaných argumentů. Stisknutím klávesy ENTER se spustí neodvolatelný proces demontáže a restartuje se počítač.

Chcete-li přijmout výzvu k automatickému restartu, použijte s libovolnou rutinou ADDSDeployment prostředí Windows PowerShell argumenty -force nebo -confirm:$false. Chcete-li zabránit automatickému restartování serveru na konci propagace, použijte argument -norebootoncompletion:$false.

Upozornění

Nedoporučuje se přepisovat restartování. Členský server se musí restartovat, aby správně fungoval.

Zde je uveden příklad násilného vyřazení s jeho minimálními požadovanými argumenty -forceremoval a -demoteoperationmasterrole. Argument -credential není vyžadován, protože uživatel se přihlásil jako člen skupiny Enterprise Admins:

Tady je příklad odebrání posledního řadiče domény v doméně s jeho minimálními požadovanými argumenty -lastdomaincontrollerindomain a -removeapplicationpartitions:

Pokusíte-li se odebrat roli AD DS před demolicí serveru, prostředí Windows PowerShell vás zablokuje chybou:

Důležité

Před odebráním binárních souborů role AD-Domain-Services musíte po demolici serveru restartovat počítač.

Výsledky

Stránka Výsledky zobrazuje úspěch či neúspěch povýšení a všechny důležité informace o správě. Řadič domény se po 10 sekundách automaticky restartuje.

By: adminPosted on

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna.