• 11/14/2018
  • 7 minutos para leer
    • i
    • d
    • v
    • e
    • D
    • +8

Aplica a: Windows Server

Este tema explica cómo eliminar AD DS, utilizando el Administrador de servidores o Windows PowerShell.

Flujo de trabajo de eliminación de AD DS

Precaución

Al eliminar los roles de AD DS con Dism.exe o el módulo DISM de Windows PowerShell después de la promoción a un controlador de dominio no es compatible e impedirá que el servidor se inicie con normalidad.

A diferencia del Administrador de servidores o el módulo ADDSDeployment para Windows PowerShell, DISM es un sistema de servicio nativo que no tiene conocimiento inherente de AD DS o su configuración. No utilice Dism.exe o el módulo DISM de Windows PowerShell para desinstalar el rol de AD DS a menos que el servidor ya no sea un controlador de dominio.

Desinstalación y eliminación de roles con PowerShell

Uninstall-WindowsFeature/Remove-WindowsFeature

ADDSDeployment y ServerManager Cmdlets Argumentos (Los argumentos en negrita son obligatorios. Los argumentos en cursiva se pueden especificar mediante Windows PowerShell o el Asistente de configuración de AD DS.)
Desinstalar-ADDSDomainController SkipPreChecks

-LocalAdministratorPassword

-Confirm

-Credential

-DemoteOperationMasterRole

-DNSDelegationRemovalCredential

-Force

-ForceRemoval

-IgnoreLastDCInDomainMismatch

-IgnoreLastDNSServerForZone

-LastDomainControllerInDomain

-Norebootoncompletion

-RemoveApplicationPartitions

-RemoveDNSDelegation

-RetainDCMetadata

-Name

-IncludeManagementTools

-Restart

-Remove

-Force

-ComputerName

-Credential

-LogPath

-Vhd

Nota

El argumento -credential sólo es necesario si no se ha iniciado la sesión como miembro del grupo de administradores de empresa (para retirar el último DC de un dominio) o del grupo de administradores de dominio (para retirar un DC de réplica).El argumento -includemanagementtools sólo es necesario si desea eliminar todas las utilidades de administración de AD DS.

Demote

Quitar Roles y Características

El Administrador de Servidores ofrece dos interfaces para quitar el rol de Servicios de Dominio de Active Directory:

  • El menú Administrar en el tablero principal, utilizando Quitar Roles y Características

  • Haga clic en AD DS o Todos los Servidores en el panel de navegación. Desplácese hacia abajo hasta la sección Roles y características. Haga clic con el botón derecho en Servicios de dominio de Active Directory en la lista Roles y características y haga clic en Eliminar rol o característica. Esta interfaz omite la página de selección de servidores.

Los cmdlets de ServerManager Uninstall-WindowsFeature y Remove-WindowsFeature le impedirán eliminar el rol de AD DS hasta que baje de categoría el controlador de dominio.

Selección de servidor

El cuadro de diálogo Selección de servidor permite elegir entre uno de los servidores añadidos previamente al pool, siempre que sea accesible. El servidor local que ejecuta el Administrador de servidores siempre está disponible automáticamente.

Roles y características del servidor

Desmarque la casilla Servicios de dominio de Active Directory para degradar un controlador de dominio; si el servidor es actualmente un controlador de dominio, esto no elimina el rol de AD DS y en su lugar cambia a un diálogo de Resultados de validación con la oferta de degradación. De lo contrario, elimina los binarios como cualquier otra función de rol.

  • No elimine ninguna otra función o característica relacionada con AD DS -como DNS, GPMC o las herramientas RSAT- si tiene la intención de volver a promover el controlador de dominio inmediatamente. La eliminación de funciones y características adicionales aumenta el tiempo para volver a promocionar, ya que el Administrador de servidores vuelve a instalar estas características cuando se reinstala la función.

  • Elimine las funciones y características de AD DS innecesarias según su criterio si tiene la intención de degradar el controlador de dominio de forma permanente. Para ello, debe desactivar las casillas de verificación de esos roles y características.

    La lista completa de funciones y características relacionadas con AD DS incluye:

    • Función de módulo de directorio activo para Windows PowerShell
    • Función de herramientas de AD DS y AD LDS
    • Función de centro administrativo de directorio activo
    • Función de herramientas de línea de comandos y Snap-ins y herramientas de línea de comandos característica
    • Servidor DNS
    • Consola de gestión de políticas de grupo

Los cmdlets equivalentes de ADDSDeployment y ServerManager de Windows PowerShell son:

Uninstall-addsdomaincontrollerUninstall-windowsfeature

Credenciales

Configura las opciones de degradación en la página Credenciales. Proporcione las credenciales necesarias para realizar la degradación de la siguiente lista:

  • La eliminación de un controlador de dominio adicional requiere credenciales de administrador de dominio. Al seleccionar Forzar la eliminación de este controlador de dominio se degrada el controlador de dominio sin eliminar los metadatos del objeto del controlador de dominio de Active Directory.

    Atención

    No seleccione esta opción a menos que el controlador de dominio no pueda ponerse en contacto con otros controladores de dominio y no haya una forma razonable de resolver ese problema de red. La degradación forzada deja metadatos huérfanos en Active Directory en los controladores de dominio restantes en el bosque. Además, todos los cambios no replicados en ese controlador de dominio, como contraseñas o nuevas cuentas de usuario, se pierden para siempre. Los metadatos huérfanos son la causa principal de un porcentaje significativo de casos de asistencia al cliente de Microsoft para AD DS, Exchange, SQL y otro software.

    Si baja a la fuerza un controlador de dominio, debe realizar manualmente la limpieza de los metadatos de inmediato. Para conocer los pasos, revise Limpiar los metadatos del servidor.

  • Demitir el último controlador de dominio de un dominio requiere ser miembro del grupo de administradores de empresa, ya que esto elimina el propio dominio (si es el último dominio del bosque, esto elimina el bosque). El Administrador de servidores le informa si el controlador de dominio actual es el último controlador de dominio en el dominio. Seleccione la casilla de verificación Último controlador de dominio en el dominio para confirmar que el controlador de dominio es el último controlador de dominio en el dominio.

Los argumentos equivalentes de ADDSDeployment Windows PowerShell son:

-credential <pscredential>-forceremoval <{ $true | false }>-lastdomaincontrollerindomain <{ $true | false }>

Advertencias

La página Advertencias le avisa de las posibles consecuencias de eliminar este controlador de dominio. Para continuar, debe seleccionar Proceder con la eliminación.

Advertencia

Si previamente seleccionó Forzar la eliminación de este controlador de dominio en la página Credenciales, la página Advertencias muestra todos los roles de Operaciones maestras únicas flexibles alojados en este controlador de dominio. Debe incautar los roles de otro controlador de dominio inmediatamente después de degradar este servidor. Para obtener más información sobre la incautación de roles de FSMO, consulte Incautar el rol maestro de operaciones.

Esta página no tiene un argumento ADDSDeployment equivalente de Windows PowerShell.

Opciones de eliminación

La página Opciones de eliminación aparece en función de la selección previa de Último controlador de dominio en el dominio en la página Credenciales. Esta página permite configurar opciones de eliminación adicionales. Seleccione Ignorar el último servidor DNS para la zona, Eliminar las particiones de la aplicación y Eliminar la delegación DNS para activar el botón Siguiente.

Las opciones sólo aparecen si son aplicables a este controlador de dominio. Por ejemplo, si no hay delegación de DNS para este servidor, esa casilla no se mostrará.

Haga clic en Cambiar para especificar credenciales administrativas de DNS alternativas. Haga clic en Ver particiones para ver las particiones adicionales que el asistente elimina durante la degradación. De forma predeterminada, las únicas particiones adicionales son DNS de dominio y Zonas DNS de bosque. Todas las demás particiones son particiones que no son de Windows.

Los argumentos equivalentes del cmdlet ADDSDeployment son:

Nueva contraseña de administrador

La página Nueva contraseña de administrador requiere que proporcione una contraseña para la cuenta de administrador del equipo local incorporado, una vez que se complete la degradación y el equipo se convierta en un servidor miembro del dominio o en un equipo del grupo de trabajo.

El cmdlet Uninstall-ADDSDomainController y los argumentos siguen los mismos valores predeterminados que el Server Manager si no se especifican.

El argumento LocalAdministratorPassword es especial:

  • Si no se especifica como argumento, el cmdlet le pide que introduzca y confirme una contraseña enmascarada. Este es el uso preferido cuando se ejecuta el cmdlet de forma interactiva.
  • Si se especifica con un valor, entonces el valor debe ser una cadena segura. Este no es el uso preferido cuando se ejecuta el cmdlet de forma interactiva.

Por ejemplo, puede solicitar manualmente una contraseña utilizando el cmdlet Read-Host para solicitar al usuario una cadena segura.

-localadministratorpassword (read-host -prompt "Password:" -assecurestring)

Advertencia

Como las dos opciones anteriores no confirman la contraseña, tenga mucho cuidado: la contraseña no es visible.

También puede proporcionar una cadena segura como una variable de texto claro convertida, aunque esto se desaconseja. Por ejemplo:

-localadministratorpassword (convertto-securestring "Password1" -asplaintext -force)

Advertencia

No se recomienda proporcionar o almacenar una contraseña en texto claro. Cualquiera que ejecute este comando en un script o que mire por encima de su hombro conoce la contraseña del administrador local de ese ordenador. Con ese conocimiento, tienen acceso a todos sus datos y pueden hacerse pasar por el propio servidor.

Confirmación

La página de Confirmación muestra la degradación planeada; la página no lista las opciones de configuración de la degradación. Esta es la última página que muestra el asistente antes de que comience la degradación. El botón Ver script crea un script de degradación de Windows PowerShell.

Haga clic en Demote para ejecutar el siguiente cmdlet de implementación de AD DS:

Uninstall-ADDSDomainController

Utilice el argumento opcional Whatif con el cmdlet Uninstall-ADDSDomainController y para revisar la información de configuración. Esto le permite ver los valores explícitos e implícitos de los argumentos de un cmdlet.

Por ejemplo:

El aviso de reinicio es su última oportunidad para cancelar esta operación cuando se utiliza ADDSDeployment Windows PowerShell. Para anular ese aviso, utilice los argumentos -force o confirm:$false.

Demotion

Cuando se muestra la página Demotion, comienza la configuración del controlador de dominio y no puede detenerse ni cancelarse. Las operaciones detalladas se muestran en esta página y se escriben en los registros:

  • %systemroot%\debug\dcpromo.log
  • %systemroot%\debug\dcpromoui.log

Como Uninstall-ADDSDomainController y Uninstall-WindowsFeature sólo tienen una acción cada uno, se muestran aquí en la fase de Confirmación con los argumentos mínimos requeridos. Al pulsar ENTER se inicia el proceso de desinstalación irrevocable y se reinicia el equipo.

Para aceptar el aviso de reinicio automático, utilice los argumentos -force o -confirm:$false con cualquier cmdlet de ADDSDeployment Windows PowerShell. Para evitar que el servidor se reinicie automáticamente al final de la promoción, utilice el argumento -norebootoncompletion:$false.

Advertencia

Se desaconseja anular el reinicio. El servidor miembro debe reiniciar para funcionar correctamente.

Aquí hay un ejemplo de degradación forzosa con sus argumentos mínimos requeridos de -forceremoval y -demoteoperationmasterrole. El argumento -credential no es necesario porque el usuario inició la sesión como miembro del grupo Enterprise Admins:

Aquí hay un ejemplo de eliminación del último controlador de dominio en el dominio con sus argumentos mínimos requeridos de -lastdomaincontrollerindomain y -removeapplicationpartitions:

Si se intenta eliminar el rol AD DS antes de desinstalar el servidor, Windows PowerShell lo bloquea con un error:

Importante

Debe reiniciar el equipo después de desinstalar el servidor antes de poder eliminar los binarios del rol AD-Domain-Services.

Resultados

La página de resultados muestra el éxito o el fracaso de la promoción y cualquier información administrativa importante. El controlador de dominio se reiniciará automáticamente después de 10 segundos.

Deja una respuesta

Tu dirección de correo electrónico no será publicada.