• 14.11.2018
  • 7 Minuten zu lesen
    • i
    • d
    • v
    • e
    • D
    • +8

Gilt für: Windows Server

In diesem Thema wird erklärt, wie AD DS mithilfe von Server Manager oder Windows PowerShell entfernt wird.

AD DS-Entfernungsworkflow

Achtung

Das Entfernen der AD DS-Rollen mit Dism.exe oder dem Windows PowerShell DISM-Modul nach der Heraufstufung zu einem Domänencontroller wird nicht unterstützt und verhindert das normale Booten des Servers.

Im Gegensatz zu Server Manager oder dem ADDSDeployment-Modul für Windows PowerShell ist DISM ein natives Wartungssystem, das keine inhärenten Kenntnisse über AD DS oder dessen Konfiguration hat. Verwenden Sie Dism.exe oder das Windows PowerShell-DISM-Modul nicht zur Deinstallation der AD DS-Rolle, es sei denn, der Server ist kein Domänencontroller mehr.

Demotion und Rollenentfernung mit PowerShell

ADDSDeployment und ServerManager Cmdlets Argumente (Fettgedruckte Argumente sind erforderlich. Kursiv gedruckte Argumente können mit der Windows PowerShell oder dem AD DS-Konfigurationsassistenten angegeben werden.)
Uninstall-ADDSDomainController -SkipPreChecks

-LocalAdministratorPassword

-Confirm

-Credential

-DemoteOperationMasterRole

-DNSDelegationRemovalCredential

-Force

-ForceRemoval

-IgnoreLastDCInDomainMismatch

-IgnoreLastDNSServerForZone

-LastDomainControllerInDomain

-Norebootoncompletion

-RemoveApplicationPartitions

-RemoveDNSDelegation

-DCMetadaten beibehalten
Uninstall-WindowsFeature/Remove-WindowsFeature -Name

-IncludeManagementTools

-Neustart

-Entfernen

-Forcieren

-Computername

-Credential

-LogPath

-Vhd

Hinweis

Das Argument -credential ist nur erforderlich, wenn Sie nicht bereits als Mitglied der Gruppe Enterprise Admins (Demotivierung des letzten DC in einer Domäne) oder der Gruppe Domain Admins (Demotivierung eines Replikat-DC) angemeldet sind.Das Argument -includemanagementtools ist nur erforderlich, wenn Sie alle AD DS-Verwaltungsdienstprogramme entfernen möchten.

Demote

Rollen und Funktionen entfernen

Server Manager bietet zwei Schnittstellen zum Entfernen der Active Directory-Domänendienste-Rolle:

  • Das Menü Verwalten auf dem Haupt-Dashboard, mit Rollen und Funktionen entfernen

  • Klicken Sie auf AD DS oder Alle Server im Navigationsbereich. Blättern Sie nach unten zum Abschnitt Rollen und Funktionen. Klicken Sie mit der rechten Maustaste auf Active Directory Domain Services in der Liste Rollen und Funktionen und klicken Sie auf Rolle oder Funktion entfernen. Diese Schnittstelle überspringt die Seite Serverauswahl.

Die ServerManager-Cmdlets Uninstall-WindowsFeature und Remove-WindowsFeature verhindern, dass Sie die AD DS-Rolle entfernen, bis Sie den Domänencontroller degradieren.

Serverauswahl

Mit dem Dialogfeld „Serverauswahl“ können Sie aus einem der zuvor zum Pool hinzugefügten Server auswählen, sofern dieser erreichbar ist. Der lokale Server, auf dem der Server Manager läuft, ist immer automatisch verfügbar.

Serverrollen und -funktionen

Deaktivieren Sie das Kontrollkästchen Active Directory-Domänendienste, um einen Domänencontroller zu degradieren; wenn der Server derzeit ein Domänencontroller ist, wird die AD DS-Rolle nicht entfernt und stattdessen zu einem Dialogfeld mit Validierungsergebnissen mit dem Angebot zur Degradierung gewechselt. Andernfalls werden die Binärdateien wie jede andere Rollenfunktion entfernt.

  • Entfernen Sie keine anderen AD DS-bezogenen Rollen oder Funktionen – wie DNS, GPMC oder die RSAT-Tools – wenn Sie beabsichtigen, den Domänencontroller sofort wieder zu befördern. Das Entfernen zusätzlicher Rollen und Features erhöht die Zeit für eine erneute Heraufstufung, da der Server Manager diese Features neu installiert, wenn Sie die Rolle neu installieren.

  • Entfernen Sie nicht benötigte AD DS-Rollen und Features nach eigenem Ermessen, wenn Sie beabsichtigen, den Domänencontroller dauerhaft herabzustufen. Dazu müssen Sie die Kontrollkästchen für diese Rollen und Funktionen deaktivieren.

    Die vollständige Liste der AD DS-bezogenen Rollen und Features umfasst:

    • Active Directory Module for Windows PowerShell feature
    • AD DS and AD LDS Tools feature
    • Active Directory Administrative Center feature
    • AD DS Snap-ins and Command-line Tools feature
    • DNS Server
    • Group Policy Management Console

Die entsprechenden ADDSDeployment und ServerManager Windows PowerShell cmdlets sind:

Uninstall-addsdomaincontrollerUninstall-windowsfeature

Credentials

Sie konfigurieren die Herabstufungsoptionen auf der Seite Credentials. Geben Sie die für die Herabstufung erforderlichen Anmeldeinformationen aus der folgenden Liste an:

  • Die Herabstufung eines zusätzlichen Domänencontrollers erfordert Domänenadministrator-Anmeldeinformationen. Wenn Sie die Entfernung dieses Domänencontrollers erzwingen, wird der Domänencontroller degradiert, ohne dass die Metadaten des Domänencontrollerobjekts aus Active Directory entfernt werden.

    Warnung

    Wählen Sie diese Option nur dann aus, wenn der Domänencontroller keinen Kontakt zu anderen Domänencontrollern herstellen kann und es keine vernünftige Möglichkeit gibt, dieses Netzwerkproblem zu beheben. Die erzwungene Herabstufung hinterlässt verwaiste Metadaten in Active Directory auf den verbleibenden Domänencontrollern in der Gesamtstruktur. Darüber hinaus gehen alle nicht replizierten Änderungen auf diesem Domänencontroller, wie z. B. Kennwörter oder neue Benutzerkonten, für immer verloren. Verwaiste Metadaten sind die Hauptursache für einen erheblichen Prozentsatz der Microsoft-Kundensupportfälle für AD DS, Exchange, SQL und andere Software.

    Wenn Sie einen Domänencontroller zwangsweise degradieren, müssen Sie die Metadatenbereinigung sofort manuell durchführen. Weitere Schritte finden Sie unter Server-Metadaten bereinigen.

  • Das Degradieren des letzten Domänencontrollers in einer Domäne erfordert die Mitgliedschaft in der Gruppe „Enterprise Admins“, da dadurch die Domäne selbst entfernt wird (wenn es sich um die letzte Domäne in der Gesamtstruktur handelt, wird die Gesamtstruktur entfernt). Der Server Manager informiert Sie darüber, ob der aktuelle Domänencontroller der letzte Domänencontroller in der Domäne ist. Aktivieren Sie das Kontrollkästchen Letzter Domänencontroller in der Domäne, um zu bestätigen, dass der Domänencontroller der letzte Domänencontroller in der Domäne ist.

Die entsprechenden ADDSDeployment-Windows-PowerShell-Argumente lauten:

-credential <pscredential>-forceremoval <{ $true | false }>-lastdomaincontrollerindomain <{ $true | false }>

Warnungen

Die Seite „Warnungen“ macht Sie auf die möglichen Folgen des Entfernens dieses Domänencontrollers aufmerksam. Um fortzufahren, müssen Sie mit der Entfernung fortfahren.

Warnung

Wenn Sie zuvor auf der Seite Anmeldeinformationen die Option Entfernung dieses Domänencontrollers erzwingen ausgewählt haben, werden auf der Seite Warnungen alle von diesem Domänencontroller gehosteten Flexible Single Master Operations-Rollen angezeigt. Sie müssen die Rollen sofort nach der Deaktivierung dieses Servers von einem anderen Domänencontroller beschlagnahmen. Weitere Informationen zum Abrufen von FSMO-Rollen finden Sie unter Abrufen der Operations-Masterrolle.

Diese Seite verfügt nicht über ein entsprechendes ADDSDeployment-Windows PowerShell-Argument.

Entfernungsoptionen

Die Seite „Entfernungsoptionen“ wird angezeigt, wenn Sie zuvor auf der Seite „Anmeldeinformationen“ den letzten Domänencontroller in der Domäne ausgewählt haben. Auf dieser Seite können Sie zusätzliche Entfernungsoptionen konfigurieren. Wählen Sie „Letzten DNS-Server für Zone ignorieren“, „Anwendungspartitionen entfernen“ und „DNS-Delegation entfernen“, um die Schaltfläche „Weiter“ zu aktivieren.

Die Optionen werden nur angezeigt, wenn sie auf diesen Domänencontroller zutreffen. Wenn es beispielsweise keine DNS-Delegation für diesen Server gibt, wird dieses Kontrollkästchen nicht angezeigt.

Klicken Sie auf Ändern, um alternative DNS-Administrationsanmeldeinformationen anzugeben. Klicken Sie auf Partitionen anzeigen, um zusätzliche Partitionen anzuzeigen, die der Assistent während der Herabstufung entfernt. Standardmäßig sind die einzigen zusätzlichen Partitionen Domain DNS und Forest DNS Zones. Alle anderen Partitionen sind Nicht-Windows-Partitionen.

Die entsprechenden Argumente des Cmdlets ADDSDeployment lauten:

Neues Administratorkennwort

Auf der Seite „Neues Administratorkennwort“ müssen Sie ein Kennwort für das Administratorkonto des integrierten lokalen Computers angeben, sobald die Herabstufung abgeschlossen ist und der Computer ein Domänenmitgliedsserver oder Arbeitsgruppencomputer wird.

Das Cmdlet „Uninstall-ADDSDomainController“ und die Argumente folgen denselben Standardwerten wie Server Manager, wenn sie nicht angegeben werden.

Das Argument „LocalAdministratorPassword“ ist speziell:

  • Wenn es nicht als Argument angegeben wird, fordert das Cmdlet Sie auf, ein maskiertes Kennwort einzugeben und zu bestätigen. Dies ist die bevorzugte Verwendung, wenn das Cmdlet interaktiv ausgeführt wird.
  • Wenn ein Wert angegeben wird, muss der Wert eine sichere Zeichenfolge sein. Dies ist nicht die bevorzugte Verwendung, wenn das Cmdlet interaktiv ausgeführt wird.

Sie können beispielsweise manuell nach einem Kennwort fragen, indem Sie das Cmdlet „Read-Host“ verwenden, um den Benutzer nach einer sicheren Zeichenfolge zu fragen.

-localadministratorpassword (read-host -prompt "Password:" -assecurestring)

Warnung

Da die beiden vorherigen Optionen das Kennwort nicht bestätigen, ist äußerste Vorsicht geboten: Das Kennwort ist nicht sichtbar.

Sie können eine sichere Zeichenfolge auch als konvertierte Klartextvariable bereitstellen, wovon jedoch dringend abgeraten wird. Zum Beispiel:

-localadministratorpassword (convertto-securestring "Password1" -asplaintext -force)

Warnung

Es wird nicht empfohlen, ein Klartext-Passwort bereitzustellen oder zu speichern. Jeder, der diesen Befehl in einem Skript ausführt oder Ihnen über die Schulter schaut, kennt das lokale Administratorkennwort des betreffenden Computers. Mit diesem Wissen hat er Zugriff auf alle Daten und kann sich als der Server selbst ausgeben.

Bestätigung

Die Bestätigungsseite zeigt die geplante Herabstufung an; die Seite enthält keine Konfigurationsoptionen für die Herabstufung. Dies ist die letzte Seite, die der Assistent anzeigt, bevor die Herabstufung beginnt. Die Schaltfläche Skript anzeigen erstellt ein Windows PowerShell-Demotion-Skript.

Klicken Sie auf Demote, um das folgende AD DS Deployment-Cmdlet auszuführen:

Uninstall-ADDSDomainController

Verwenden Sie das optionale Whatif-Argument mit dem Cmdlet Uninstall-ADDSDomainController and, um die Konfigurationsinformationen zu überprüfen. Auf diese Weise können Sie die expliziten und impliziten Werte der Argumente eines Cmdlets anzeigen.

Zum Beispiel:

Die Aufforderung zum Neustart ist Ihre letzte Möglichkeit, diesen Vorgang abzubrechen, wenn Sie ADDSDeployment Windows PowerShell verwenden. Um diese Aufforderung außer Kraft zu setzen, verwenden Sie die Argumente -force oder confirm:$false.

Demotion

Wenn die Seite Demotion angezeigt wird, beginnt die Konfiguration des Domänencontrollers und kann nicht angehalten oder abgebrochen werden. Detaillierte Vorgänge werden auf dieser Seite angezeigt und in Protokolle geschrieben:

  • %systemroot%\debug\dcpromo.log
  • %systemroot%\debug\dcpromoui.log

Da Uninstall-ADDSDomainController und Uninstall-WindowsFeature jeweils nur eine Aktion haben, werden sie hier in der Bestätigungsphase mit den minimal erforderlichen Argumenten angezeigt. Durch Drücken der EINGABETASTE wird der unwiderrufliche Herabstufungsprozess gestartet und der Computer neu gestartet.

Um die Aufforderung zum Neustart automatisch zu akzeptieren, verwenden Sie die Argumente -force oder -confirm:$false mit jedem ADDSDeployment Windows PowerShell-Cmdlet. Um zu verhindern, dass der Server am Ende der Bereitstellung automatisch neu gestartet wird, verwenden Sie das Argument -norebootoncompletion:$false.

Warnung

Es wird davon abgeraten, den Neustart zu übergehen. Der Mitgliedsserver muss neu gestartet werden, um korrekt zu funktionieren.

Hier ist ein Beispiel für eine erzwungene Degradierung mit den minimal erforderlichen Argumenten -forceremoval und -demoteoperationmasterrole. Das Argument -credential ist nicht erforderlich, da sich der Benutzer als Mitglied der Gruppe Enterprise Admins angemeldet hat:

Hier ist ein Beispiel für das Entfernen des letzten Domänencontrollers in der Domäne mit den minimal erforderlichen Argumenten -lastdomaincontrollerindomain und -removeapplicationpartitions:

Wenn Sie versuchen, die AD DS-Rolle zu entfernen, bevor Sie den Server degradieren, blockiert Windows PowerShell Sie mit einem Fehler:

Wichtig

Sie müssen den Computer nach dem Degradieren des Servers neu starten, bevor Sie die AD-Domain-Services-Rollenbinärdateien entfernen können.

Ergebnisse

Die Ergebnisseite zeigt den Erfolg oder Misserfolg der Heraufstufung und alle wichtigen Verwaltungsinformationen an. Der Domänencontroller wird nach 10 Sekunden automatisch neu gestartet.

By: adminPosted on

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.