- 14/11/2018
- 7 minutter at læse
-
- i
- d
- v
- e
- D
-
+8
Gælder for:
D +8Gælder for: Windows Server
Dette emne forklarer, hvordan man fjerner AD DS ved hjælp af Server Manager eller Windows PowerShell.
Arbejdsgang for fjernelse af AD DS
Varsel
Fjernelse af AD DS-roller med Dism.exe eller Windows PowerShell DISM-modulet efter forfremmelse til en domænecontroller understøttes ikke og forhindrer serveren i at starte normalt op.
I modsætning til Server Manager eller ADDSDeployment-modulet til Windows PowerShell er DISM et oprindeligt serviceringssystem, som ikke har nogen iboende viden om AD DS eller dets konfiguration. Du må ikke bruge Dism.exe eller Windows PowerShell DISM-modulet til at afinstallere AD DS-rollen, medmindre serveren ikke længere er en domænecontroller.
Demotion og fjernelse af roller med PowerShell
ADDSDeployment og ServerManager Cmdlets Argumenter (Argumenter med fed skrift er påkrævet. Kursiverede argumenter kan angives ved hjælp af Windows PowerShell eller AD DS-konfigurationsguiden.) Uninstall-ADDSDomainController -SkipPreChecks -LocalAdministratorPassword
-Confirm
-Credential
-DemoteOperationMasterRole
-DNSDelegationRemovalCredential
-Force
-ForceRemoval
-IgnoreLastDCInDomainMismatch
-IgnoreLastDNSServerForZone
-LastDomainControllerInDomain
-Norebootoncompletion
-RemoveApplicationPartitions
-RemoveDNSDelegation
-RetainDCMetadata
Uninstall-WindowsFeature/Remove-WindowsFeature -Name -IncludeManagementTools
-Genstart
-Remove
-Force
-ComputerName
-Credential
-LogPath
-Vhd
Note
Argumentet -credential er kun påkrævet, hvis du ikke allerede er logget på som medlem af gruppen Enterprise Admins (degradering af sidste DC i et domæne) eller gruppen Domain Admins (degradering af en replika-DC).Argumentet -includemanagementtools er kun påkrævet, hvis du ønsker at fjerne alle AD DS-håndteringsværktøjerne.
Demote
Fjern roller og funktioner
Server Manager tilbyder to grænseflader til fjernelse af Active Directory Domain Services-rollen:
Menuen Administrer på hovedinstrumentbrættet, ved hjælp af Fjern roller og funktioner
Klik på AD DS eller Alle servere i navigationsruden. Rul ned til afsnittet Roller og funktioner. Højreklik på Active Directory Domain Services på listen Rollerne og funktionerne, og klik på Fjern rolle eller funktion. Denne grænseflade springer siden Servervalg over.
ServerManager-cmdletsne Uninstall-WindowsFeature og Remove-WindowsFeature forhindrer dig i at fjerne AD DS-rollen, indtil du degraderer domænecontrolleren.
Servervalg
Di dialogboksen Servervalg giver dig mulighed for at vælge mellem en af de servere, der tidligere er tilføjet til puljen, så længe den er tilgængelig. Den lokale server, der kører Server Manager, er altid automatisk tilgængelig.
Serverroller og funktioner
Fjern markeringen i afkrydsningsfeltet Active Directory Domain Services for at degradere en domænecontroller; hvis serveren i øjeblikket er en domænecontroller, fjerner dette ikke AD DS-rollen, men skifter i stedet til en dialogboks Valideringsresultater med tilbuddet om at degradere. Ellers fjernes binærerne som enhver anden rollefunktion.
Fjern ikke andre AD DS-relaterede roller eller funktioner – f.eks. DNS, GPMC eller RSAT-værktøjerne – hvis du har til hensigt at forfremme domænecontrolleren igen med det samme. Hvis du fjerner yderligere roller og funktioner, tager det længere tid at foretage en ny opgradering, da Server Manager geninstallerer disse funktioner, når du geninstallerer rollen.
Fjern unødvendige AD DS-roller og -funktioner efter eget skøn, hvis du har til hensigt at nedgradere domænecontrolleren permanent. Dette kræver, at du fjerner markeringerne i afkrydsningsfelterne for disse roller og funktioner.
Den komplette liste over AD DS-relaterede roller og funktioner omfatter:
- Active Directory Module for Windows PowerShell-funktionen
- AD DS og AD LDS Tools-funktionen
- Active Directory Administrative Center-funktionen
- AD DS Snap-ins og kommandolinjeværktøjer funktion
- DNS Server
- Group Policy Management Console
De tilsvarende ADDSDeployment og ServerManager Windows PowerShell cmdlets er:
Uninstall-addsdomaincontrollerUninstall-windowsfeature
Credentials
Du konfigurerer indstillinger for degradering på siden Credentials (legitimationsoplysninger). Angiv de legitimationsoplysninger, der er nødvendige for at udføre degraderingen, fra følgende liste:
Demoteringen af en ekstra domænecontroller kræver domæneadministrator-legitimationsoplysninger. Hvis du vælger Tvinge fjernelse af denne domænecontroller til at degradere domænecontrolleren uden at fjerne domænecontrollerobjektets metadata fra Active Directory.
Varsling
Vælg ikke denne indstilling, medmindre domænecontrolleren ikke kan kontakte andre domænecontrollere, og der ikke er nogen rimelig måde at løse dette netværksproblem på. Tvungen degradering efterlader forældreløse metadata i Active Directory på de resterende domænecontrollere i skoven. Desuden går alle ikke-replikerede ændringer på den pågældende domænecontroller, f.eks. adgangskoder eller nye brugerkonti, tabt for altid. Forældreløse metadata er den grundlæggende årsag i en betydelig procentdel af Microsoft kundesupportsager vedrørende AD DS, Exchange, SQL og anden software.
Hvis du tvangsnedgraderer en domænecontroller, skal du manuelt udføre oprydning af metadata med det samme. Du kan se trinene i Ryd op i servermetadata.
Demoteringen af den sidste domænecontroller i et domæne kræver gruppemedlemskab af Enterprise Admins, da dette fjerner selve domænet (hvis det er det sidste domæne i skoven, fjerner dette skoven). Server Manager oplyser dig, om den aktuelle domænecontroller er den sidste domænecontroller i domænet. Marker afkrydsningsfeltet Sidste domænecontroller i domænet for at bekræfte, at domænecontrolleren er den sidste domænecontroller i domænet.
De tilsvarende ADDSDeployment Windows PowerShell-argumenter er:
-credential <pscredential>-forceremoval <{ $true | false }>-lastdomaincontrollerindomain <{ $true | false }>
Warnings
Siden Advarsler advarer dig om de mulige konsekvenser af at fjerne denne domænecontroller. Hvis du vil fortsætte, skal du vælge Fortsæt med fjernelse.
Varsling
Hvis du tidligere har valgt Tvinge fjernelse af denne domænecontroller på siden Legitimationsoplysninger, viser siden Advarsler alle de Flexible Single Master Operations-roller, der hostes af denne domænecontroller. Du skal overtage rollerne fra en anden domænecontroller, umiddelbart efter at du har degraderet denne server. Du kan finde flere oplysninger om beslaglæggelse af FSMO-roller i Seize the Operations Master Role.
Denne side har ikke et tilsvarende ADDSDeployment Windows PowerShell-argument.
Fjernelsesindstillinger
Siden Fjernelsesindstillinger vises afhængigt af, om du tidligere har valgt Sidste domænecontroller i domænet på siden Legitimationsoplysninger. Denne side giver dig mulighed for at konfigurere yderligere fjernelsesindstillinger. Vælg Ignorér sidste DNS-server for zone, Fjern programpartitioner og Fjern DNS-delegering for at aktivere knappen Næste.
Optionerne vises kun, hvis de gælder for denne domænecontroller. Hvis der f.eks. ikke er nogen DNS-delegering for denne server, vises afkrydsningsfeltet ikke.
Klik på Skift for at angive alternative DNS administrative legitimationsoplysninger. Klik på Vis partitioner for at få vist yderligere partitioner, som guiden fjerner under degraderingen. Som standard er de eneste yderligere partitioner Domain DNS og Forest DNS Zones. Alle andre partitioner er ikke-Windows-partitioner.
De tilsvarende ADDSDeployment cmdlet-argumenter er:
Ny administratoradgangskode
Siden Ny administratoradgangskode kræver, at du angiver en adgangskode til den indbyggede lokale computers administratorkonto, når dementeringen er gennemført, og computeren bliver en domænemedlemsserver eller arbejdsgruppecomputer.
Cmdletten Uninstall-ADDSDomainController og argumenterne følger de samme standardindstillinger som Server Manager, hvis de ikke er angivet.
Argumentet LocalAdministratorPassword er specielt:
- Hvis det ikke er angivet som et argument, beder cmdletten dig om at indtaste og bekræfte en maskeret adgangskode. Dette er den foretrukne brug, når cmdletten køres interaktivt.
- Hvis den angives med en værdi, skal værdien være en sikker streng. Dette er ikke den foretrukne anvendelse, når cmdletten køres interaktivt.
Du kan f.eks. manuelt bede om en adgangskode ved at bruge cmdletten Read-Host til at bede brugeren om en sikker streng.
-localadministratorpassword (read-host -prompt "Password:" -assecurestring)
Varsel
Da de to foregående muligheder ikke bekræfter adgangskoden, skal du være yderst forsigtig: Adgangskoden er ikke synlig.
Du kan også angive en sikker streng som en konverteret klartekstvariabel, selv om dette frarådes kraftigt. For eksempel:
-localadministratorpassword (convertto-securestring "Password1" -asplaintext -force)
Varsling
Det anbefales ikke at angive eller lagre en adgangskode i klartekst. Enhver, der kører denne kommando i et script eller kigger dig over skulderen, kender den lokale administratoradgangskode for den pågældende computer. Med den viden har de adgang til alle dens data og kan udgive sig for at være selve serveren.
Bekræftelse
Siden Bekræftelse viser den planlagte degradering; siden indeholder ikke en liste over konfigurationsindstillinger for degradering. Dette er den sidste side, som guiden viser, før demotionen begynder. Knappen Vis script opretter et Windows PowerShell-demotionsscript.
Klik på Demote for at køre følgende AD DS Deployment cmdlet:
Uninstall-ADDSDomainController
Brug det valgfrie Whatif-argument med Uninstall-ADDSDomainController og cmdlet for at gennemgå konfigurationsoplysninger. Dette giver dig mulighed for at se de eksplicitte og implicitte værdier af en cmdlets argumenter.
For eksempel:
Prompten til genstart er din sidste mulighed for at annullere denne operation, når du bruger ADDSDeployment Windows PowerShell. Hvis du vil tilsidesætte denne prompt, skal du bruge argumenterne -force eller confirm:$false.
Demotion
Når siden Demotion vises, begynder konfigurationen af domænecontrolleren, og den kan ikke stoppes eller annulleres. Detaljerede operationer vises på denne side og skriver til logfiler:
- %systemroot%\debug\dcpromo.log
- %systemroot%\debug\dcpromoui.log
Da Uninstall-ADDSDomainController og Uninstall-WindowsFeature kun har én handling hver, vises de her i konfirmationsfasen med de mindst nødvendige argumenter. Ved at trykke på ENTER starter den uigenkaldelige degraderingsproces og genstarter computeren.
For at acceptere genstartsprompten automatisk skal du bruge argumenterne -force eller -confirm:$false med en hvilken som helst ADDSDDeployment Windows PowerShell-cmdlet. Hvis du vil forhindre, at serveren genstartes automatisk ved afslutningen af kampagnen, skal du bruge argumentet -norebootoncompletion:$false.
Varsling
Det frarådes at tilsidesætte genstarten. Medlemsserveren skal genstarte for at fungere korrekt.
Her er et eksempel på tvangsmæssig degradering med de minimale nødvendige argumenter -forceremoval og -demoteoperationmasterrole. Argumentet -credential er ikke påkrævet, fordi brugeren loggede på som medlem af gruppen Enterprise Admins:
Her er et eksempel på fjernelse af den sidste domænecontroller i domænet med de minimale krævede argumenter -lastdomaincontrollerindomain og -removeapplicationpartitions:
Hvis du forsøger at fjerne AD DS-rollen, før serveren nedgraderes, blokerer Windows PowerShell dig med en fejl:
Vigtigt
Du skal genstarte computeren efter nedgradering af serveren, før du kan fjerne AD-Domain-Services-rollens binære filer.
Resultater
Siden Resultater viser, om forfremmelsen er lykkedes eller mislykkedes, og eventuelle vigtige administrative oplysninger. Domænecontrolleren genstarter automatisk efter 10 sekunder.