- 11/14/2018
- 7 minuti per leggere
-
- i
- d
- v
- e
- D
-
+8
Applies To: Windows Server
Questo argomento spiega come rimuovere AD DS, utilizzando Server Manager o Windows PowerShell.
Flusso di lavoro per la rimozione di AD DS
Attenzione
Rimozione dei ruoli AD DS con Dism.exe o il modulo DISM di Windows PowerShell dopo la promozione a Domain Controller non è supportato e impedirà al server di avviarsi normalmente.
A differenza di Server Manager o del modulo ADDSDeployment per Windows PowerShell, DISM è un sistema di assistenza nativo che non ha alcuna conoscenza intrinseca di AD DS o della sua configurazione. Non usare Dism.exe o il modulo DISM di Windows PowerShell per disinstallare il ruolo AD DS a meno che il server non sia più un controller di dominio.
Rimozione dei ruoli con PowerShell
ADDSDeployment e ServerManager Cmdlets | Argomenti (Gli argomenti in grassetto sono richiesti. Gli argomenti in corsivo possono essere specificati usando Windows PowerShell o la procedura guidata di configurazione AD DS.) |
---|---|
Uninstall-ADDSDomainController | -SkipPreChecks
-LocalAdministratorPassword -Confirm -Credential -DemoteOperationMasterRole -DNSDelegationRemovalCredential -Force -ForceRemoval -IgnoreLastDCInDomainMismatch -IgnoreLastDNSServerForZone -LastDomainControllerInDomain -Nessuno avviamento al completamento -RemoveApplicationPartitions -RemoveDNSDelegation -RetainDCMetadata |
Uninstall-WindowsFeature/Remove-WindowsFeature | -Name
-IncludeManagementTools -Restart -Remove -Force -ComputerName -Credential -LogPath -Vhd |
Nota
L’argomento -credential è richiesto solo se non sei già connesso come membro del gruppo Enterprise Admins (demotando l’ultimo DC in un dominio) o del gruppo Domain Admins (demotando un DC di replica).L’argomento -includemanagementtools è richiesto solo se vuoi rimuovere tutte le utilità di gestione di AD DS.
Demote
Rimuovi ruoli e funzionalità
Server Manager offre due interfacce per rimuovere il ruolo Active Directory Domain Services:
-
Il menu Manage sulla dashboard principale, usando Remove Roles and Features
-
Clicca AD DS o All Servers sul pannello di navigazione. Scorri fino alla sezione Ruoli e funzionalità. Fare clic con il tasto destro del mouse su Active Directory Domain Services nell’elenco Ruoli e funzionalità e fare clic su Rimuovi ruolo o funzionalità. Questa interfaccia salta la pagina di selezione del server.
I cmdlets ServerManager Uninstall-WindowsFeature e Remove-WindowsFeature vi impediranno di rimuovere il ruolo AD DS fino a quando non degradate il controller di dominio.
Server Selection
La finestra di dialogo Server Selection ti permette di scegliere tra uno dei server precedentemente aggiunti al pool, purché sia accessibile. Il server locale che esegue Server Manager è sempre automaticamente disponibile.
Ruoli e caratteristiche del server
Cancella la casella di controllo Active Directory Domain Services per retrocedere un controller di dominio; se il server è attualmente un controller di dominio, questo non rimuove il ruolo AD DS e passa invece a una finestra di dialogo Validation Results con l’offerta di retrocedere. Altrimenti, rimuove i binari come qualsiasi altra funzione del ruolo.
-
Non rimuovete altri ruoli o funzioni relative ad AD DS – come DNS, GPMC, o gli strumenti RSAT – se intendete promuovere nuovamente il controller di dominio immediatamente. La rimozione di ulteriori ruoli e funzionalità aumenta il tempo per la ripubblicizzazione, poiché Server Manager reinstalla queste funzionalità quando si reinstalla il ruolo.
-
Rimuovi i ruoli e le funzionalità AD DS non necessari a tua discrezione se hai intenzione di retrocedere il controller di dominio in modo permanente. Ciò richiede di deselezionare le caselle di controllo per quei ruoli e caratteristiche.
L’elenco completo dei ruoli e delle funzionalità relative ad AD DS include:
- Funzione Active Directory Module for Windows PowerShell
- Funzione AD DS e AD LDS Tools
- Funzione Active Directory Administrative Center
- AD DS Snap-ins e strumenti a riga di comando
- DNS Server
- Group Policy Management Console
Le cmdlets ADDSDeployment e ServerManager Windows PowerShell equivalenti sono:
Uninstall-addsdomaincontrollerUninstall-windowsfeature
Credenziali
Si configurano le opzioni di retrocessione nella pagina Credenziali. Fornire le credenziali necessarie per eseguire la retrocessione dalla seguente lista:
-
La rimozione di un controller di dominio aggiuntivo richiede le credenziali di Domain Admin. Selezionando Forzare la rimozione di questo controller di dominio retrocede il controller di dominio senza rimuovere i metadati dell’oggetto controller di dominio da Active Directory.
Attenzione
Non selezionare questa opzione a meno che il controller di dominio non possa contattare altri controller di dominio e non ci sia un modo ragionevole per risolvere questo problema di rete. La retrocessione forzata lascia metadati orfani in Active Directory sui restanti controller di dominio nella foresta. Inoltre, tutte le modifiche non replicate su quel controller di dominio, come password o nuovi account utente, sono perse per sempre. I metadati orfani sono la causa principale in una percentuale significativa di casi di assistenza clienti Microsoft per AD DS, Exchange, SQL e altri software.
Se si retrocede forzatamente un controller di dominio, è necessario eseguire manualmente la pulizia dei metadati immediatamente. Per i passaggi, rivedere Pulizia dei metadati del server.
-
Rimuovere l’ultimo controller di dominio in un dominio richiede l’appartenenza al gruppo Enterprise Admins, poiché questo rimuove il dominio stesso (se l’ultimo dominio nella foresta, questo rimuove la foresta). Server Manager ti informa se il controller di dominio corrente è l’ultimo controller di dominio nel dominio. Seleziona la casella di controllo Ultimo controller di dominio nel dominio per confermare che il controller di dominio è l’ultimo controller di dominio nel dominio.
Gli argomenti equivalenti di ADDSDeployment Windows PowerShell sono:
-credential <pscredential>-forceremoval <{ $true | false }>-lastdomaincontrollerindomain <{ $true | false }>
Avvisi
La pagina Avvisi ti avverte delle possibili conseguenze della rimozione di questo controller di dominio. Per continuare, devi selezionare Procedi con la rimozione.
Avviso
Se in precedenza hai selezionato Forza la rimozione di questo controller di dominio nella pagina Credenziali, allora la pagina Avvertenze mostra tutti i ruoli Flexible Single Master Operations ospitati da questo controller di dominio. È necessario sequestrare i ruoli da un altro controller di dominio immediatamente dopo la rimozione di questo server. Per ulteriori informazioni sull’impadronirsi dei ruoli FSMO, vedere Impadronirsi del ruolo principale delle operazioni.
Questa pagina non ha un argomento ADDSDeployment Windows PowerShell equivalente.
Opzioni di rimozione
La pagina Opzioni di rimozione appare in base alla selezione precedente di Ultimo controller di dominio nel dominio nella pagina Credenziali. Questa pagina permette di configurare ulteriori opzioni di rimozione. Seleziona Ignora l’ultimo server DNS per la zona, Rimuovi partizioni dell’applicazione e Rimuovi delegazione DNS per attivare il pulsante Avanti.
Le opzioni appaiono solo se applicabili a questo controller di dominio. Per esempio, se non c’è delega DNS per questo server, la casella di controllo non verrà visualizzata.
Fai clic su Cambia per specificare le credenziali amministrative DNS alternative. Fate clic su View Partitions per visualizzare le partizioni aggiuntive che la procedura guidata rimuove durante la retrocessione. Per impostazione predefinita, le uniche partizioni aggiuntive sono Domain DNS e Forest DNS Zones. Tutte le altre partizioni sono partizioni non Windows.
Gli argomenti equivalenti del cmdlet ADDSDeployment sono:
Nuova password amministratore
La pagina Nuova password amministratore richiede di fornire una password per l’account amministratore del computer locale integrato, una volta che il declassamento viene completato e il computer diventa un server membro del dominio o un computer del gruppo di lavoro.
Il cmdlet Uninstall-ADDSDomainController e gli argomenti seguono gli stessi valori predefiniti di Server Manager se non specificati.
L’argomento LocalAdministratorPassword è speciale:
- Se non specificato come argomento, il cmdlet ti chiede di inserire e confermare una password mascherata. Questo è l’uso preferito quando si esegue la cmdlet in modo interattivo.
- Se specificato con un valore, allora il valore deve essere una stringa sicura. Questo non è l’uso preferito quando si esegue la cmdlet in modo interattivo.
Per esempio, è possibile richiedere manualmente una password utilizzando la cmdlet Read-Host per richiedere all’utente una stringa sicura.
-localadministratorpassword (read-host -prompt "Password:" -assecurestring)
Attenzione
Poiché le due opzioni precedenti non confermano la password, usa estrema cautela: la password non è visibile.
Puoi anche fornire una stringa sicura come una variabile di testo chiaro convertita, anche se questo è altamente sconsigliato. Per esempio:
-localadministratorpassword (convertto-securestring "Password1" -asplaintext -force)
Attenzione
Si sconsiglia di fornire o memorizzare una password in chiaro. Chiunque esegua questo comando in uno script o guardi alle vostre spalle conosce la password di amministratore locale di quel computer. Con questa conoscenza, hanno accesso a tutti i suoi dati e possono impersonare il server stesso.
Conferma
La pagina di conferma mostra il declassamento pianificato; la pagina non elenca le opzioni di configurazione del declassamento. Questa è l’ultima pagina che la procedura guidata mostra prima dell’inizio del declassamento. Il pulsante View Script crea uno script di retrocessione di Windows PowerShell.
Fai clic su Demote per eseguire il seguente cmdlet AD DS Deployment:
Uninstall-ADDSDomainController
Usa l’argomento opzionale Whatif con Uninstall-ADDSDomainController e cmdlet per rivedere le informazioni di configurazione. Questo ti permette di vedere i valori espliciti e impliciti degli argomenti di una cmdlet.
Per esempio:
La richiesta di riavvio è la tua ultima opportunità di annullare questa operazione quando usi ADDSDeployment Windows PowerShell. Per sovrascrivere tale richiesta, usa gli argomenti -force o confirm:$false.
Demotion
Quando viene visualizzata la pagina Demotion, la configurazione del controller di dominio inizia e non può essere interrotta o annullata. Le operazioni dettagliate vengono visualizzate in questa pagina e scritte nei log:
- %systemroot%\debug\dcpromo.log
- %systemroot%\debug\dcpromoui.log
Siccome Uninstall-ADDSDomainController e Uninstall-WindowsFeature hanno solo un’azione ciascuno, sono mostrate qui nella fase di conferma con gli argomenti minimi richiesti. Premendo INVIO si avvia il processo di retrocessione irrevocabile e si riavvia il computer.
Per accettare la richiesta di riavvio automatico, usa gli argomenti -force o -confirm:$false con qualsiasi cmdlet ADDSDeployment Windows PowerShell. Per evitare che il server si riavvii automaticamente alla fine della promozione, usa l’argomento -norebootoncompletion:$false.
Attenzione
Superare il riavvio è scoraggiato. Il server membro deve riavviare per funzionare correttamente.
Ecco un esempio di demansionamento forzato con i suoi argomenti minimi richiesti -forceremoval e -demoteoperationmasterrole. L’argomento -credential non è richiesto perché l’utente si è connesso come membro del gruppo Enterprise Admins:
>
Ecco un esempio di rimozione dell’ultimo controller di dominio nel dominio con gli argomenti minimi richiesti -lastdomaincontrollerindomain e -removeapplicationpartitions:
Se tenti di rimuovere il ruolo AD DS prima di degradare il server, Windows PowerShell ti blocca con un errore:
Importante
Devi riavviare il computer dopo aver degradato il server prima di poter rimuovere i binari del ruolo AD-Domain-Services.
Risultati
La pagina dei risultati mostra il successo o il fallimento della promozione e qualsiasi informazione amministrativa importante. Il controller di dominio si riavvia automaticamente dopo 10 secondi.