- 11/14/2018
- 7 perc olvasás
-
- i
- d
- v
- e
- D
-
+8
Applies To: Windows Server
Ez a téma az AD DS eltávolítását ismerteti a Kiszolgálókezelő vagy a Windows PowerShell segítségével.
AD DS eltávolításának munkafolyamata
Vigyázat
Az AD DS szerepkörök eltávolítása a Dism.exe vagy a Windows PowerShell DISM moduljával a tartományvezérlővé történő előléptetés után nem támogatott, és megakadályozza a kiszolgáló normál indítását.
A Kiszolgálókezelővel vagy a Windows PowerShell ADDSDeployment moduljával ellentétben a DISM egy natív kiszolgálórendszer, amely nem rendelkezik eredendő ismeretekkel az AD DS-ről vagy annak konfigurációjáról. Ne használja a Dism.exe vagy a Windows PowerShell DISM modulját az AD DS szerepkör eltávolítására, kivéve, ha a kiszolgáló már nem tartományvezérlő.
Eltávolítás és szerepkör eltávolítása a PowerShell segítségével
ADDSDeployment and ServerManager Cmdlets | Argumentumok (A vastag betűs argumentumok szükségesek. A dőlt betűs argumentumok a Windows PowerShell vagy az AD DS konfigurációs varázsló segítségével adhatók meg.) |
---|---|
Uninstall-ADDSDomainController | -SkipPreChecks
-LocalAdministratorPassword -Confirm -Credential -DemoteOperationMasterRole -DNSDelegationRemovalCredential -Force -ForceRemoval -IgnoreLastDCInDomainMismatch -IgnoreLastDNSServerForZone -LastDomainControllerInDomain -Norebootoncompletion -RemoveApplicationPartitions -RemoveDNSDelegation -RetainDCMetadata |
Uninstall-WindowsFeature/Remove-WindowsFeature | -Name
-IncludeManagementTools -Restart -Remove -Force -ComputerName -Credential -LogPath -Vhd |
Megjegyzés
A -credential argumentum csak akkor szükséges, ha még nem vagy bejelentkezve a Enterprise Admins csoport (tartomány utolsó DC-jének lefokozása) vagy a Domain Admins csoport (replika DC lefokozása) tagjaként.A -includemanagementtools argumentum csak akkor szükséges, ha az összes AD DS-kezelési segédprogramot el kívánja távolítani.
Demote
Rollák és funkciók eltávolítása
A Server Manager két felületet kínál az Active Directory tartományi szolgáltatások szerepkör eltávolításához:
-
A fő műszerfalon található Kezelés menü, a Szerepkörök és funkciók eltávolítása
-
Kattintson az AD DS vagy az Összes kiszolgáló menüpontra a navigációs ablakban. Görgessen le a Szerepkörök és funkciók szakaszhoz. Kattintson a jobb gombbal a Szerepkörök és funkciók listában az Active Directory tartományi szolgáltatások elemre, majd kattintson a Szerepkör vagy funkció eltávolítása parancsra. Ez a felület kihagyja a Kiszolgáló kiválasztása lapot.
A ServerManager Uninstall-WindowsFeature és Remove-WindowsFeature parancsok megakadályozzák az AD DS szerepkör eltávolítását, amíg a tartományvezérlőt le nem fokozza.
Kiszolgáló kiválasztása
A Kiszolgáló kiválasztása párbeszédpanel lehetővé teszi, hogy a korábban a poolhoz hozzáadott kiszolgálók közül válasszon, amennyiben az elérhető. A Kiszolgálókezelőt futtató helyi kiszolgáló mindig automatikusan elérhető.
Kiszolgálói szerepkörök és funkciók
A tartományvezérlő lefokozásához törölje az Active Directory tartományi szolgáltatások jelölőnégyzetet; ha a kiszolgáló jelenleg tartományvezérlő, ez nem távolítja el az AD DS-szerepet, hanem a lefokozás ajánlatát tartalmazó Érvényesítési eredmények párbeszédpanelre vált. Ellenkező esetben eltávolítja a binárisokat, mint bármely más szerepkörfunkciót.
-
Ne távolítson el semmilyen más AD DS-hez kapcsolódó szerepet vagy funkciót – például a DNS-t, a GPMC-t vagy az RSAT-eszközöket -, ha a tartományvezérlőt azonnal újra el kívánja léptetni. További szerepkörök és funkciók eltávolítása megnöveli az újraelőléptetés idejét, mivel a Kiszolgálókezelő a szerepkör újratelepítésekor újra telepíti ezeket a funkciókat.
-
A nem szükséges AD DS-szerepköröket és funkciókat saját belátása szerint távolítsa el, ha a tartományvezérlőt véglegesen vissza kívánja léptetni. Ehhez törölni kell az adott szerepkörök és funkciók jelölőnégyzeteit.
Az AD DS-hez kapcsolódó szerepkörök és funkciók teljes listája a következő:
- Active Directory Module for Windows PowerShell funkció
- AD DS és AD LDS Tools funkció
- Active Directory Administrative Center funkció
- AD DS Snap- funkció
- Active Directory Administrative Center funkció
- AD DS Snap-ins and Command-line Tools feature
- DNS Server
- Group Policy Management Console
Az ezzel egyenértékű ADDSDeployment és ServerManager Windows PowerShell cmdletek a következők:
Uninstall-addsdomaincontrollerUninstall-windowsfeature
Credentials
A lefokozási beállításokat a Credentials oldalon konfigurálhatja. Adja meg a lefokozás végrehajtásához szükséges hitelesítő adatokat az alábbi listából:
-
Egy további tartományvezérlő lefokozásához Domain Admin hitelesítő adatokra van szükség. Ennek a tartományvezérlőnek az eltávolításának kikényszerítése kiválasztása a tartományvezérlő lefokozását anélkül teszi lehetővé, hogy a tartományvezérlő objektum metaadatait eltávolítaná az Active Directoryból.
Figyelmeztetés
Ne válassza ezt a lehetőséget, kivéve, ha a tartományvezérlő nem tud kapcsolatba lépni más tartományvezérlőkkel, és nincs ésszerű módja a hálózati probléma megoldásának. A kényszerű lefokozás árva metaadatokat hagy az Active Directoryban az erdőben maradó tartományvezérlőkön. Ezenkívül az adott tartományvezérlőn végrehajtott minden nem replikált módosítás, például a jelszavak vagy az új felhasználói fiókok örökre elvesznek. Az AD DS, Exchange, SQL és más szoftverekkel kapcsolatos Microsoft ügyfélszolgálati esetek jelentős százalékában az elárvult metaadatok a kiváltó okok.
A tartományvezérlő erőszakos lefokozása esetén azonnal manuálisan el kell végezni a metaadatok tisztítását. A lépéseket lásd a Kiszolgálói metaadatok tisztítása című fejezetben.
-
A tartomány utolsó tartományvezérlőjének lefokozásához Enterprise Admins csoporttagság szükséges, mivel ez magát a tartományt távolítja el (ha az erdő utolsó tartománya, akkor az erdőt is). A Kiszolgálókezelő tájékoztatja Önt, ha az aktuális tartományvezérlő az utolsó tartományvezérlő a tartományban. Jelölje be az Utolsó tartományvezérlő a tartományban jelölőnégyzetet annak megerősítéséhez, hogy a tartományvezérlő az utolsó tartományvezérlő a tartományban.
Az ADDSDeployment Windows PowerShell megfelelő argumentumai:
-credential <pscredential>-forceremoval <{ $true | false }>-lastdomaincontrollerindomain <{ $true | false }>
Warnings
A Warnings oldal figyelmeztet a tartományvezérlő eltávolításának lehetséges következményeire. A folytatáshoz ki kell választania a Folytassa az eltávolítást.
Figyelmeztetés
Ha korábban a Hitelesítési adatok lapon a Tartományvezérlő eltávolításának kikényszerítése lehetőséget választotta, akkor a Figyelmeztetések lapon megjelenik az összes, ezen a tartományvezérlőn tárolt Rugalmas egységes főműveleti szerepkör. A szerepköröket egy másik tartományvezérlőtől kell lefoglalnia azonnal, miután ezt a kiszolgálót lefokozta. Az FSMO-szerepkörök lefoglalásával kapcsolatos további információkért lásd: Műveleti főszerepkör lefoglalása.
Ez a lap nem rendelkezik megfelelő ADDSDeployment Windows PowerShell argumentummal.
Eltávolítási lehetőségek
Az eltávolítási lehetőségek lap a Hitelesítési adatok lapon a tartományban lévő utolsó tartományvezérlő korábbi kiválasztásától függően jelenik meg. Ez az oldal lehetővé teszi további eltávolítási beállítások konfigurálását. Válassza az Utolsó DNS-kiszolgáló figyelmen kívül hagyása a zónához, az Alkalmazási partíciók eltávolítása és a DNS-delegálás eltávolítása lehetőséget, hogy engedélyezze a Tovább gombot.
A lehetőségek csak akkor jelennek meg, ha erre a tartományvezérlőre vonatkoznak. Ha például nincs DNS-delegálás ehhez a kiszolgálóhoz, akkor ez a jelölőnégyzet nem jelenik meg.
Kattintson a Módosítás gombra az alternatív DNS-felügyeleti hitelesítő adatok megadásához. Kattintson a Partíciók megtekintése gombra a további partíciók megtekintéséhez, amelyeket a varázsló eltávolít a lefokozás során. Alapértelmezés szerint az egyetlen további partíció a tartományi DNS és az erdei DNS-zónák. Az összes többi partíció nem Windows-partíció.
Az ezzel egyenértékű ADDSDeployment cmdlet argumentumai:
Új rendszergazdai jelszó
Az Új rendszergazdai jelszó lapon meg kell adnia a beépített helyi számítógép rendszergazdai fiókjának jelszavát, amint a lefokozás befejeződik és a számítógép tartományi tagkiszolgálóvá vagy munkacsoportos számítógéppé válik.
Az Uninstall-ADDSDomainController cmdlet és argumentumai ugyanazokat az alapértelmezéseket követik, mint a Kiszolgálókezelőé, ha nincs megadva.
A LocalAdministratorPassword argumentum speciális:
- Ha nincs megadva argumentumként, akkor a cmdlet egy maszkolt jelszó megadására és megerősítésére szólít fel. Ez az előnyös használat a cmdlet interaktív futtatásakor.
- Ha értékkel van megadva, akkor az értéknek biztonságos karakterláncnak kell lennie. Ez nem az előnyben részesített használat a cmdlet interaktív futtatásakor.
A jelszó megadása manuálisan is kérhető például a Read-Host cmdlet használatával, amely egy biztonságos karakterlánc megadására kéri a felhasználót.
-localadministratorpassword (read-host -prompt "Password:" -assecurestring)
Figyelmeztetés
Mivel az előző két lehetőség nem erősíti meg a jelszót, fokozott óvatossággal járjon el: a jelszó nem látható.
A biztonságos karakterláncot átalakított tiszta szövegű változóként is megadhatja, bár ez erősen nem ajánlott. Például:
-localadministratorpassword (convertto-securestring "Password1" -asplaintext -force)
Figyelmeztetés
A tiszta szövegű jelszó megadása vagy tárolása nem ajánlott. Bárki, aki ezt a parancsot egy szkriptben futtatja, vagy a válla fölött átnézve tudja az adott számítógép helyi rendszergazdai jelszavát. Ennek ismeretében hozzáférhet annak összes adatához, és megszemélyesítheti magát a kiszolgálót.
Megerősítés
A Megerősítés oldal a tervezett lefokozást mutatja; az oldal nem sorolja fel a lefokozás beállítási lehetőségeit. Ez az utolsó oldal, amelyet a varázsló megjelenít a lefokozás megkezdése előtt. A Szkript megtekintése gomb létrehoz egy Windows PowerShell lefokozási szkriptet.
Kattintson a Lefokozás gombra a következő AD DS telepítési parancsfájl futtatásához:
Uninstall-ADDSDomainController
A konfigurációs információk áttekintéséhez használja az Uninstall-ADDSDomainController és a parancsfájl opcionális Whatif argumentumát. Ezzel megtekintheti a cmdlet argumentumainak explicit és implicit értékeit.
Például:
Az ADDSDeployment Windows PowerShell alkalmazásakor az újraindításra vonatkozó felszólítás az utolsó lehetőség a művelet visszavonására. A felszólítás felülbírálásához használja a -force vagy a confirm:$false argumentumokat.
Demotion
A Demotion oldal megjelenésekor a tartományvezérlő konfigurációja megkezdődik, és nem állítható le vagy törölhető. A részletes műveletek ezen az oldalon jelennek meg és írnak a naplókba:
- %systemroot%\debug\dcpromo.log
- %systemroot%\debug\dcpromoui.log
Mivel az Uninstall-ADDSDomainController és az Uninstall-WindowsFeature csak egy-egy művelettel rendelkezik, itt a Megerősítés fázisban jelennek meg a minimálisan szükséges argumentumokkal. Az ENTER megnyomása elindítja a visszavonhatatlan lefokozási folyamatot, és újraindítja a számítógépet.
Az újraindítási prompt automatikus elfogadásához használja a -force vagy -confirm:$false argumentumokat bármely ADDSDeployment Windows PowerShell-cmdlethez. Annak megakadályozásához, hogy a kiszolgáló automatikusan újrainduljon a promóció végén, használja a -norebootoncompletion:$false argumentumot.
Figyelmeztetés
Az újraindítás felülírása nem javasolt. A tagkiszolgálónak újra kell indítania a helyes működéshez.
Itt egy példa az erőszakos lefokozásra a minimálisan szükséges -forceremoval és -demoteoperationmasterrole argumentumokkal. A -credential argumentum nem szükséges, mivel a felhasználó a Enterprise Admins csoport tagjaként jelentkezett be:
Itt egy példa a tartomány utolsó tartományvezérlőjének eltávolítására a minimálisan szükséges -lastdomaincontrollerindomain és -removeapplicationpartitions argumentumokkal:
Ha a kiszolgáló lefokozása előtt megpróbálja eltávolítani az AD DS-szerepet, a Windows PowerShell hibaüzenettel blokkolja:
Fontos
A kiszolgáló lefokozása után újra kell indítania a számítógépet, mielőtt eltávolíthatja az AD-Domain-Services szerepkör binárisait.
Eredmények
Az Eredmények lapon látható az előléptetés sikere vagy sikertelensége, valamint minden fontos adminisztratív információ. A tartományvezérlő 10 másodperc múlva automatikusan újraindul.