Toimialueen ohjainten ja toimialueiden poistaminen

• 14.11.2018
• 7 minuuttia luettavaa
• • i
  • d
  • v
  • e
  • D
  • +8

Käytetään seuraavissa tapauksissa: Windows Server

Tässä aiheessa selitetään AD DS:n poistaminen Server Managerin tai Windows PowerShellin avulla.

AD DS:n poistamisen työnkulku

Poistaminen ja roolin poistaminen PowerShellin avulla

ADDSDeployment- ja ServerManager-käskyohjelmat	Argumentit (Lihavoidut argumentit vaaditaan. Kursivoidut argumentit voidaan määrittää Windows PowerShellin tai AD DS Configuration Wizardin avulla.)
Uninstall-ADDSDomainController	-SkipPreChecks -LocalAdministratorPassword -Confirm -Credential -DemoteOperationMasterRole -DNSDelegationRemovalCredential -Force -ForceRemoval -IgnoreLastDCInDomainMismatch -IgnoreLastDNSServerForZone -LastDomainControllerInDomain -Norebootoncompletion -RemoveApplicationPartitions -RemoveDNSDelegation -RetainDCMetadata
Uninstall-WindowsFeature/Remove-WindowsFeature	-Name -IncludeManagementTools -Restart -Remove -Force -ComputerName -Credential -LogPath -Vhd

Demote

Roolien ja ominaisuuksien poistaminen

Server Manager tarjoaa kaksi käyttöliittymää Active Directory Domain Services -roolin poistamiseen:

• Hallinta-valikko pääkojelaudalla Poista rooleja ja ominaisuuksia -valikon avulla

  

• Napsauta navigointipaneelissa AD DS:tä tai Kaikki palvelimet. Vieritä alaspäin Roles and Features (Roolit ja ominaisuudet) -osioon. Napsauta hiiren kakkospainikkeella Active Directory -toimialueen palveluita Roles and Features (Roolit ja ominaisuudet) -luettelossa ja valitse Remove Role or Feature (Poista rooli tai ominaisuus). Tämä käyttöliittymä ohittaa Server Selection -sivun.

  

ServerManagerin komentokomennot Uninstall-WindowsFeature (Poista Windows-ominaisuus) ja Remove-WindowsFeature (Poista Windows-ominaisuus) estävät AD DS -roolin poistamisen, ennen kuin toimialueen ohjain alennetaan.

Palvelimen valinta

Palvelimen valinta -valintaikkunan avulla voit valita jonkin aiemmin pooliin lisätyistä palvelimista, kunhan se on käytettävissä. Server Manageria käyttävä paikallinen palvelin on aina automaattisesti käytettävissä.

Palvelinroolit ja -ominaisuudet

Tyhjennä Active Directory -toimialueen palvelut -valintaruutu, jos haluat alentaa toimialueen valvojan asemaa; jos palvelin on tällä hetkellä toimialueen valvojana, tämä ei poista AD DS -roolia, vaan vaihtaa sen sijaan Validointitulokset-valintaikkunaan, jossa on tarjouksen alentaminen. Muussa tapauksessa se poistaa binäärit kuten muutkin rooliominaisuudet.

• Älä poista muita AD DS:ään liittyviä rooleja tai ominaisuuksia – kuten DNS:ää, GPMC:tä tai RSAT-työkaluja – jos aiot ylentää toimialueen ohjaimen välittömästi uudelleen. Lisäroolien ja -ominaisuuden poistaminen lisää uudelleen ylentämiseen kuluvaa aikaa, sillä Server Manager asentaa nämä ominaisuudet uudelleen, kun asennat roolin uudelleen.

• Poista tarpeettomat AD DS -roolit ja -ominaisuudet oman harkintasi mukaan, jos aiot poistaa toimialueen ohjaimen pysyvästi. Tämä edellyttää kyseisten roolien ja ominaisuuksien valintaruutujen tyhjentämistä.

  Kokonaisluettelo AD DS:ään liittyvistä rooleista ja ominaisuuksista on seuraava:

  • Active Directory Module for Windows PowerShell -ominaisuus
  • AD DS- ja AD LDS-työkalut -ominaisuus
  • Active Directory Administrative Center -ominaisuus
  • AD DS Snap-ominaisuus
  • .

    Uninstall-addsdomaincontrollerUninstall-windowsfeature

    

    

    Credentials

    

    Määrität alennusvaihtoehdot Credentials-sivulla. Anna alentamisen suorittamiseen tarvittavat valtuustiedot seuraavasta luettelosta:

    • Lisätoimialueen ohjaimen alentaminen edellyttää toimialueen ylläpitäjän valtuustietoja. Valitsemalla Force the removal of this domain controller (Pakota poistamaan tämä toimialueen ohjain) toimialueen ohjain alennetaan poistamatta toimialueen ohjainobjektin metatietoja Active Directorysta.

      Varoitus

      Älä valitse tätä vaihtoehtoa, paitsi jos toimialueen ohjain ei voi ottaa yhteyttä muihin toimialueen ohjaimiin eikä kyseistä verkko-ongelmaa voida kohtuullisella tavalla ratkaista. Pakkoluokitus jättää orpoja metatietoja Active Directoryyn metsän jäljellä oleviin toimialueenohjaimiin. Lisäksi kaikki kyseisen toimialueen ohjaimen toistamattomat muutokset, kuten salasanat tai uudet käyttäjätilit, menetetään lopullisesti. Orvoiksi jääneet metatiedot ovat perimmäinen syy merkittävään osaan Microsoftin asiakastukitapauksista, jotka koskevat AD DS:ää, Exchangea, SQL:ää ja muita ohjelmistoja.

      Jos toimialueen ohjain siirretään väkisin toimialueen ohjaimesta, metatiedot on siivottava välittömästi manuaalisesti. Katso vaiheet kohdasta Palvelimen metatietojen puhdistaminen.

      

    • Toimialueen viimeisen toimialueohjaimen alentaminen edellyttää Enterprise Admins -ryhmän jäsenyyttä, sillä tämä poistaa itse toimialueen (jos kyseessä on metsän viimeinen toimialue, tämä poistaa metsän). Server Manager ilmoittaa, jos nykyinen toimialueohjain on toimialueen viimeinen toimialueohjain. Valitse Viimeinen toimialueen ohjain toimialueella -valintaruutu vahvistaaksesi, että toimialueen ohjain on toimialueen viimeinen toimialueen ohjain.

    Vastaavat ADDSDeployment Windows PowerShell -argumentit ovat:

    -credential <pscredential>-forceremoval <{ $true | false }>-lastdomaincontrollerindomain <{ $true | false }>

    Varoitukset

    

    Varoitukset-sivulla varoitetaan mahdollisista seurauksista, joita tämän toimialueen ohjaimen poistamisella on. Jatkaaksesi sinun on valittava Jatka poistamista.

    Varoitukset

    Jos olet aiemmin valinnut Pakota poistamaan tämä toimialueen ohjain Credentials-sivulla, Varoitukset-sivulla näkyvät kaikki tämän toimialueen ohjaimen isännöimät Flexible Single Master Operations -roolit. Sinun on otettava roolit haltuun toisesta toimialueen ohjaimesta heti tämän palvelimen poistamisen jälkeen. Lisätietoja FSMO-roolien haltuunotosta on kohdassa Operaatioiden pääroolin haltuunotto.

    Tälle sivulle ei ole vastaavaa ADDSDeployment Windows PowerShell -argumenttia.

    Poistamisvaihtoehdot

    

    Poistamisvaihtoehdot-sivu tulee näkyviin sen mukaan, että olet valinnut aiemmin Viimeinen toimialueen ohjain toimialueella -asetuksen Credentials-sivulla. Tällä sivulla voit määrittää muita poistoasetuksia. Valitse Ignore last DNS server for zone (Vyöhykkeen viimeisen DNS-palvelimen huomiotta jättäminen), Remove application partitions (Poista sovellusosiot) ja Remove DNS Delegation (Poista DNS-valtuutus), jotta Next (Seuraava) -painike voidaan ottaa käyttöön.

    Vaihtoehdot tulevat näkyviin vain, jos niitä voidaan soveltaa tähän toimialueen ohjaimeen. Jos esimerkiksi tälle palvelimelle ei ole DNS-delegaatiota, kyseinen valintaruutu ei tule näkyviin.

    Määritä vaihtoehtoiset DNS-hallintatiedot napsauttamalla Muuta. Napsauta View Partitions (Näytä osiot), jos haluat tarkastella muita osioita, jotka ohjattu toiminto poistaa siirron aikana. Oletusarvoisesti ainoat lisäosiot ovat Domain DNS ja Forest DNS Zones. Kaikki muut osiot ovat muita kuin Windows-osioita.

    Vastaavat ADDSDeployment-cmdlet-argumentit ovat:

    Uusi järjestelmänvalvojan salasana

    

    Uusi järjestelmänvalvojan salasana -sivulla pyydetään antamaan salasana sisäänrakennetun paikallisen tietokoneen järjestelmänvalvojatilin salasana sen jälkeen, kun alentaminen on suoritettu loppuun ja tietokoneesta on tulossa toimialueen palvelimen jäsenpalvelin tai työryhmäkäyttäjä.

    Uninstall-ADDSDomainController-sentti ja argumentit noudattavat samoja oletusarvoja kuin Server Manager, jos niitä ei määritetä.

    LocalAdministratorPassword -argumentti on erityinen:

    • Jos sitä ei ole määritetty argumenttina, sentti pyytää syöttämään ja vahvistamaan peitetyn salasanan. Tämä on suositeltava käyttötapa, kun cmdlet suoritetaan vuorovaikutteisesti.
    • Jos määritetään arvona, arvon on oltava suojattu merkkijono. Tämä ei ole suositeltava käyttö, kun cmdlet suoritetaan vuorovaikutteisesti.

    Voit esimerkiksi pyytää salasanaa manuaalisesti käyttämällä Read-Host-cmdlet-komentokomentokehotetta, joka pyytää käyttäjää antamaan suojatun merkkijonon.

    -localadministratorpassword (read-host -prompt "Password:" -assecurestring)

    Varoitus

    Koska kahdessa edellisessä vaihtoehdossa salasanaa ei vahvisteta, on noudatettava äärimmäistä varovaisuutta: salasana ei ole näkyvissä.

    Voit antaa suojatun merkkijonon myös muunnettuna selvätekstimuuttujana, mutta tästä ei kuitenkaan suositella. Esimerkiksi:

    -localadministratorpassword (convertto-securestring "Password1" -asplaintext -force)

    Varoitus

    Kirkkaan tekstin salasanan antaminen tai tallentaminen ei ole suositeltavaa. Kuka tahansa, joka suorittaa tämän komennon komentosarjassa tai katsoo olkapääsi yli, tietää kyseisen tietokoneen paikallisen järjestelmänvalvojan salasanan. Tämän tiedon avulla hänellä on pääsy kaikkiin sen tietoihin ja hän voi esiintyä itse palvelimena.

    Vahvistus

    

    Vahvistussivulla näkyy suunniteltu alentaminen; sivulla ei luetella alentamisasetuksia. Tämä on viimeinen sivu, jonka ohjattu toiminto näyttää ennen siirtämisen aloittamista. View Script (Näytä komentosarja) -painikkeella luodaan Windows PowerShell -luokituskomentosarja.

    Klikkaa Demote (Luokitus), niin suoritat seuraavan AD DS -käyttöönottokomentokomennon:

    Uninstall-ADDSDomainController

    Käytä valinnaista Whatif-argumenttia Uninstall-ADDSDomainController- ja -komentokomennon kanssa kokoonpanotietojen tarkistamiseksi. Näin voit tarkastella cmdletin argumenttien eksplisiittisiä ja implisiittisiä arvoja.

    Esimerkiksi:

    

    Kehote uudelleenkäynnistää on viimeinen tilaisuus peruuttaa tämä toiminto, kun käytät ADDSDeployment Windows PowerShelliä. Voit ohittaa tämän kehotuksen käyttämällä -force- tai confirm:$false-argumentteja.

    Demotion

    

    Kun Demotion-sivu tulee näkyviin, toimialueen ohjaimen konfigurointi alkaa, eikä sitä voi pysäyttää tai peruuttaa. Yksityiskohtaiset toiminnot näytetään tällä sivulla ja ne kirjoitetaan lokiin:

    • %systemroot%\debug\dcpromo.log
    • %systemroot%\debug\dcpromoui.log

    Koska Uninstall-ADDSDomainController- ja Uninstall-WindowsFeature-toiminnoilla on vain yksi toiminto kummallakin, ne näytetään tässä vaiheessa Confirmation (Vahvistus)-vaiheessa vaadittavilla pienimmillä argumenteilla. ENTER-näppäimen painaminen käynnistää peruuttamattoman alentamisprosessin ja käynnistää tietokoneen uudelleen.

    

    

    Hyväksyäksesi uudelleenkäynnistyskehotteen automaattisesti, käytä -force- tai -confirm:$false-argumentteja minkä tahansa ADDSDeployment Windows PowerShell -komentokehotteen kanssa. Jos haluat estää palvelimen automaattisen uudelleenkäynnistyksen edistämisen päätyttyä, käytä -norebootoncompletion:$false-argumenttia.

    Varoitus

    Uudelleenkäynnistyksen ohittamista ei suositella. Jäsenpalvelimen on käynnistyttävä uudelleen toimiakseen oikein.

    

    Tässä on esimerkki väkisin alentamisesta sen vaatimien minimaalisten argumenttien -forceremoval ja -demoteoperationmasterrole kanssa. -credential-argumenttia ei tarvita, koska käyttäjä kirjautui sisään Enterprise Admins -ryhmän jäsenenä:

    

    Tässä on esimerkki toimialueen viimeisen toimialueenvalvojan poistamisesta sen minimaalisesti vaadittujen argumenttien -lastdomaincontrollerindomain ja -removeapplicationpartitions avulla:

    

    Jos yrität poistaa AD DS -roolin ennen palvelimen demotointia, Windows PowerShell estää sinut virheilmoituksella:

    

    Tärkeää

    Tietokone on käynnistettävä uudelleen palvelimen demotoinnin jälkeen, ennen kuin AD-Domain-Services-roolin binäärit voidaan poistaa.

    Tulokset

    

    Tulokset-sivulla näytetään ylennyksen onnistuminen tai epäonnistuminen sekä kaikki tärkeät hallinnolliset tiedot. Toimialueen ohjain käynnistyy automaattisesti uudelleen 10 sekunnin kuluttua.