• 11/14/2018
  • 7 perc olvasás
    • i
    • d
    • v
    • e
    • D
    • +8

Applies To: Windows Server

Ez a téma az AD DS eltávolítását ismerteti a Kiszolgálókezelő vagy a Windows PowerShell segítségével.

AD DS eltávolításának munkafolyamata

Vigyázat

Az AD DS szerepkörök eltávolítása a Dism.exe vagy a Windows PowerShell DISM moduljával a tartományvezérlővé történő előléptetés után nem támogatott, és megakadályozza a kiszolgáló normál indítását.

A Kiszolgálókezelővel vagy a Windows PowerShell ADDSDeployment moduljával ellentétben a DISM egy natív kiszolgálórendszer, amely nem rendelkezik eredendő ismeretekkel az AD DS-ről vagy annak konfigurációjáról. Ne használja a Dism.exe vagy a Windows PowerShell DISM modulját az AD DS szerepkör eltávolítására, kivéve, ha a kiszolgáló már nem tartományvezérlő.

Eltávolítás és szerepkör eltávolítása a PowerShell segítségével

ADDSDeployment and ServerManager Cmdlets Argumentumok (A vastag betűs argumentumok szükségesek. A dőlt betűs argumentumok a Windows PowerShell vagy az AD DS konfigurációs varázsló segítségével adhatók meg.)
Uninstall-ADDSDomainController -SkipPreChecks

-LocalAdministratorPassword

-Confirm

-Credential

-DemoteOperationMasterRole

-DNSDelegationRemovalCredential

-Force

-ForceRemoval

-IgnoreLastDCInDomainMismatch

-IgnoreLastDNSServerForZone

-LastDomainControllerInDomain

-Norebootoncompletion

-RemoveApplicationPartitions

-RemoveDNSDelegation

-RetainDCMetadata

Uninstall-WindowsFeature/Remove-WindowsFeature -Name

-IncludeManagementTools

-Restart

-Remove

-Force

-ComputerName

-Credential

-LogPath

-Vhd

Megjegyzés

A -credential argumentum csak akkor szükséges, ha még nem vagy bejelentkezve a Enterprise Admins csoport (tartomány utolsó DC-jének lefokozása) vagy a Domain Admins csoport (replika DC lefokozása) tagjaként.A -includemanagementtools argumentum csak akkor szükséges, ha az összes AD DS-kezelési segédprogramot el kívánja távolítani.

Demote

Rollák és funkciók eltávolítása

A Server Manager két felületet kínál az Active Directory tartományi szolgáltatások szerepkör eltávolításához:

  • A fő műszerfalon található Kezelés menü, a Szerepkörök és funkciók eltávolítása

  • Kattintson az AD DS vagy az Összes kiszolgáló menüpontra a navigációs ablakban. Görgessen le a Szerepkörök és funkciók szakaszhoz. Kattintson a jobb gombbal a Szerepkörök és funkciók listában az Active Directory tartományi szolgáltatások elemre, majd kattintson a Szerepkör vagy funkció eltávolítása parancsra. Ez a felület kihagyja a Kiszolgáló kiválasztása lapot.

A ServerManager Uninstall-WindowsFeature és Remove-WindowsFeature parancsok megakadályozzák az AD DS szerepkör eltávolítását, amíg a tartományvezérlőt le nem fokozza.

Kiszolgáló kiválasztása

A Kiszolgáló kiválasztása párbeszédpanel lehetővé teszi, hogy a korábban a poolhoz hozzáadott kiszolgálók közül válasszon, amennyiben az elérhető. A Kiszolgálókezelőt futtató helyi kiszolgáló mindig automatikusan elérhető.

Kiszolgálói szerepkörök és funkciók

A tartományvezérlő lefokozásához törölje az Active Directory tartományi szolgáltatások jelölőnégyzetet; ha a kiszolgáló jelenleg tartományvezérlő, ez nem távolítja el az AD DS-szerepet, hanem a lefokozás ajánlatát tartalmazó Érvényesítési eredmények párbeszédpanelre vált. Ellenkező esetben eltávolítja a binárisokat, mint bármely más szerepkörfunkciót.

  • Ne távolítson el semmilyen más AD DS-hez kapcsolódó szerepet vagy funkciót – például a DNS-t, a GPMC-t vagy az RSAT-eszközöket -, ha a tartományvezérlőt azonnal újra el kívánja léptetni. További szerepkörök és funkciók eltávolítása megnöveli az újraelőléptetés idejét, mivel a Kiszolgálókezelő a szerepkör újratelepítésekor újra telepíti ezeket a funkciókat.

  • A nem szükséges AD DS-szerepköröket és funkciókat saját belátása szerint távolítsa el, ha a tartományvezérlőt véglegesen vissza kívánja léptetni. Ehhez törölni kell az adott szerepkörök és funkciók jelölőnégyzeteit.

    Az AD DS-hez kapcsolódó szerepkörök és funkciók teljes listája a következő:

    • Active Directory Module for Windows PowerShell funkció
    • AD DS és AD LDS Tools funkció
    • Active Directory Administrative Center funkció
    • AD DS Snap- funkció
    • Active Directory Administrative Center funkció
    • AD DS Snap-ins and Command-line Tools feature
    • DNS Server
    • Group Policy Management Console

Az ezzel egyenértékű ADDSDeployment és ServerManager Windows PowerShell cmdletek a következők:

Uninstall-addsdomaincontrollerUninstall-windowsfeature

Credentials

A lefokozási beállításokat a Credentials oldalon konfigurálhatja. Adja meg a lefokozás végrehajtásához szükséges hitelesítő adatokat az alábbi listából:

  • Egy további tartományvezérlő lefokozásához Domain Admin hitelesítő adatokra van szükség. Ennek a tartományvezérlőnek az eltávolításának kikényszerítése kiválasztása a tartományvezérlő lefokozását anélkül teszi lehetővé, hogy a tartományvezérlő objektum metaadatait eltávolítaná az Active Directoryból.

    Figyelmeztetés

    Ne válassza ezt a lehetőséget, kivéve, ha a tartományvezérlő nem tud kapcsolatba lépni más tartományvezérlőkkel, és nincs ésszerű módja a hálózati probléma megoldásának. A kényszerű lefokozás árva metaadatokat hagy az Active Directoryban az erdőben maradó tartományvezérlőkön. Ezenkívül az adott tartományvezérlőn végrehajtott minden nem replikált módosítás, például a jelszavak vagy az új felhasználói fiókok örökre elvesznek. Az AD DS, Exchange, SQL és más szoftverekkel kapcsolatos Microsoft ügyfélszolgálati esetek jelentős százalékában az elárvult metaadatok a kiváltó okok.

    A tartományvezérlő erőszakos lefokozása esetén azonnal manuálisan el kell végezni a metaadatok tisztítását. A lépéseket lásd a Kiszolgálói metaadatok tisztítása című fejezetben.

  • A tartomány utolsó tartományvezérlőjének lefokozásához Enterprise Admins csoporttagság szükséges, mivel ez magát a tartományt távolítja el (ha az erdő utolsó tartománya, akkor az erdőt is). A Kiszolgálókezelő tájékoztatja Önt, ha az aktuális tartományvezérlő az utolsó tartományvezérlő a tartományban. Jelölje be az Utolsó tartományvezérlő a tartományban jelölőnégyzetet annak megerősítéséhez, hogy a tartományvezérlő az utolsó tartományvezérlő a tartományban.

Az ADDSDeployment Windows PowerShell megfelelő argumentumai:

-credential <pscredential>-forceremoval <{ $true | false }>-lastdomaincontrollerindomain <{ $true | false }>

Warnings

A Warnings oldal figyelmeztet a tartományvezérlő eltávolításának lehetséges következményeire. A folytatáshoz ki kell választania a Folytassa az eltávolítást.

Figyelmeztetés

Ha korábban a Hitelesítési adatok lapon a Tartományvezérlő eltávolításának kikényszerítése lehetőséget választotta, akkor a Figyelmeztetések lapon megjelenik az összes, ezen a tartományvezérlőn tárolt Rugalmas egységes főműveleti szerepkör. A szerepköröket egy másik tartományvezérlőtől kell lefoglalnia azonnal, miután ezt a kiszolgálót lefokozta. Az FSMO-szerepkörök lefoglalásával kapcsolatos további információkért lásd: Műveleti főszerepkör lefoglalása.

Ez a lap nem rendelkezik megfelelő ADDSDeployment Windows PowerShell argumentummal.

Eltávolítási lehetőségek

Az eltávolítási lehetőségek lap a Hitelesítési adatok lapon a tartományban lévő utolsó tartományvezérlő korábbi kiválasztásától függően jelenik meg. Ez az oldal lehetővé teszi további eltávolítási beállítások konfigurálását. Válassza az Utolsó DNS-kiszolgáló figyelmen kívül hagyása a zónához, az Alkalmazási partíciók eltávolítása és a DNS-delegálás eltávolítása lehetőséget, hogy engedélyezze a Tovább gombot.

A lehetőségek csak akkor jelennek meg, ha erre a tartományvezérlőre vonatkoznak. Ha például nincs DNS-delegálás ehhez a kiszolgálóhoz, akkor ez a jelölőnégyzet nem jelenik meg.

Kattintson a Módosítás gombra az alternatív DNS-felügyeleti hitelesítő adatok megadásához. Kattintson a Partíciók megtekintése gombra a további partíciók megtekintéséhez, amelyeket a varázsló eltávolít a lefokozás során. Alapértelmezés szerint az egyetlen további partíció a tartományi DNS és az erdei DNS-zónák. Az összes többi partíció nem Windows-partíció.

Az ezzel egyenértékű ADDSDeployment cmdlet argumentumai:

Új rendszergazdai jelszó

Az Új rendszergazdai jelszó lapon meg kell adnia a beépített helyi számítógép rendszergazdai fiókjának jelszavát, amint a lefokozás befejeződik és a számítógép tartományi tagkiszolgálóvá vagy munkacsoportos számítógéppé válik.

Az Uninstall-ADDSDomainController cmdlet és argumentumai ugyanazokat az alapértelmezéseket követik, mint a Kiszolgálókezelőé, ha nincs megadva.

A LocalAdministratorPassword argumentum speciális:

  • Ha nincs megadva argumentumként, akkor a cmdlet egy maszkolt jelszó megadására és megerősítésére szólít fel. Ez az előnyös használat a cmdlet interaktív futtatásakor.
  • Ha értékkel van megadva, akkor az értéknek biztonságos karakterláncnak kell lennie. Ez nem az előnyben részesített használat a cmdlet interaktív futtatásakor.

A jelszó megadása manuálisan is kérhető például a Read-Host cmdlet használatával, amely egy biztonságos karakterlánc megadására kéri a felhasználót.

-localadministratorpassword (read-host -prompt "Password:" -assecurestring)

Figyelmeztetés

Mivel az előző két lehetőség nem erősíti meg a jelszót, fokozott óvatossággal járjon el: a jelszó nem látható.

A biztonságos karakterláncot átalakított tiszta szövegű változóként is megadhatja, bár ez erősen nem ajánlott. Például:

-localadministratorpassword (convertto-securestring "Password1" -asplaintext -force)

Figyelmeztetés

A tiszta szövegű jelszó megadása vagy tárolása nem ajánlott. Bárki, aki ezt a parancsot egy szkriptben futtatja, vagy a válla fölött átnézve tudja az adott számítógép helyi rendszergazdai jelszavát. Ennek ismeretében hozzáférhet annak összes adatához, és megszemélyesítheti magát a kiszolgálót.

Megerősítés

A Megerősítés oldal a tervezett lefokozást mutatja; az oldal nem sorolja fel a lefokozás beállítási lehetőségeit. Ez az utolsó oldal, amelyet a varázsló megjelenít a lefokozás megkezdése előtt. A Szkript megtekintése gomb létrehoz egy Windows PowerShell lefokozási szkriptet.

Kattintson a Lefokozás gombra a következő AD DS telepítési parancsfájl futtatásához:

Uninstall-ADDSDomainController

A konfigurációs információk áttekintéséhez használja az Uninstall-ADDSDomainController és a parancsfájl opcionális Whatif argumentumát. Ezzel megtekintheti a cmdlet argumentumainak explicit és implicit értékeit.

Például:

Az ADDSDeployment Windows PowerShell alkalmazásakor az újraindításra vonatkozó felszólítás az utolsó lehetőség a művelet visszavonására. A felszólítás felülbírálásához használja a -force vagy a confirm:$false argumentumokat.

Demotion

A Demotion oldal megjelenésekor a tartományvezérlő konfigurációja megkezdődik, és nem állítható le vagy törölhető. A részletes műveletek ezen az oldalon jelennek meg és írnak a naplókba:

  • %systemroot%\debug\dcpromo.log
  • %systemroot%\debug\dcpromoui.log

Mivel az Uninstall-ADDSDomainController és az Uninstall-WindowsFeature csak egy-egy művelettel rendelkezik, itt a Megerősítés fázisban jelennek meg a minimálisan szükséges argumentumokkal. Az ENTER megnyomása elindítja a visszavonhatatlan lefokozási folyamatot, és újraindítja a számítógépet.

Az újraindítási prompt automatikus elfogadásához használja a -force vagy -confirm:$false argumentumokat bármely ADDSDeployment Windows PowerShell-cmdlethez. Annak megakadályozásához, hogy a kiszolgáló automatikusan újrainduljon a promóció végén, használja a -norebootoncompletion:$false argumentumot.

Figyelmeztetés

Az újraindítás felülírása nem javasolt. A tagkiszolgálónak újra kell indítania a helyes működéshez.

Itt egy példa az erőszakos lefokozásra a minimálisan szükséges -forceremoval és -demoteoperationmasterrole argumentumokkal. A -credential argumentum nem szükséges, mivel a felhasználó a Enterprise Admins csoport tagjaként jelentkezett be:

Itt egy példa a tartomány utolsó tartományvezérlőjének eltávolítására a minimálisan szükséges -lastdomaincontrollerindomain és -removeapplicationpartitions argumentumokkal:

Ha a kiszolgáló lefokozása előtt megpróbálja eltávolítani az AD DS-szerepet, a Windows PowerShell hibaüzenettel blokkolja:

Fontos

A kiszolgáló lefokozása után újra kell indítania a számítógépet, mielőtt eltávolíthatja az AD-Domain-Services szerepkör binárisait.

Eredmények

Az Eredmények lapon látható az előléptetés sikere vagy sikertelensége, valamint minden fontos adminisztratív információ. A tartományvezérlő 10 másodperc múlva automatikusan újraindul.

Vélemény, hozzászólás?

Az e-mail-címet nem tesszük közzé.