• 11/14/2018
  • 7 minuten om te lezen
    • i
    • d
    • v
    • e
    • D
    • +8

Geldt voor: Windows Server

In dit onderwerp wordt uitgelegd hoe u AD DS verwijdert, met behulp van Server Manager of Windows PowerShell.

AD DS-verwijderingsworkflow

Voorzichtigheid

Verwijder de AD DS-rollen met Dism.exe of de DISM-module van Windows PowerShell na promotie tot domeincontroller wordt niet ondersteund en voorkomt dat de server normaal opstart.

In tegenstelling tot Server Manager of de ADDSDeployment-module voor Windows PowerShell is DISM een native servicing-systeem dat geen inherente kennis heeft van AD DS of de configuratie ervan. Gebruik Dism.exe of de DISM-module voor Windows PowerShell niet om de AD DS-rol te verwijderen, tenzij de server niet langer een domeincontroller is.

Demotie en rolverwijdering met PowerShell

Uninstall-ADDSDomainController

ADDSDeployment en ServerManager Cmdlets Argumenten (Vetgedrukte argumenten zijn vereist. Cursief gedrukte argumenten kunnen worden opgegeven met Windows PowerShell of de AD DS Configuration Wizard.)
-SkipPreChecks

-LocalAdministratorPassword

-Confirm

-Credential

-DemoteOperationMasterRole

-DNSDelegationRemovalCredential

-Force

-ForceRemoval

-IgnoreLastDCInDomainMismatch

-IgnoreLastDNSServerForZone

-LastDomainControllerInDomain

-Norebootoncompletion

-RemoveApplicationPartitions

-RemoveDNSDelegation

-RetainDCMetadata

Uninstall-WindowsFeature/Remove-WindowsFeature -Name

-IncludeManagementTools

-Herstart

-Verwijderen

-Force

-ComputerNaam

-Credential

-LogPath

-Vhd

Note

Het -credential argument is alleen nodig als je nog niet bent ingelogd als lid van de Enterprise Admins groep (demoting last DC in een domein) of de Domain Admins groep (demoting a replica DC).Het -includemanagementtools argument is alleen nodig als je alle AD DS management hulpprogramma’s wilt verwijderen.

Demote

Roles and Features verwijderen

Serverbeheer biedt twee interfaces voor het verwijderen van de Active Directory Domain Services-rol:

  • Het menu Beheren op het hoofddashboard, met behulp van Roles and Features verwijderen

  • Klik op AD DS of Alle Servers in het navigatiedeelvenster. Scroll omlaag naar de sectie Rollen en functies. Klik met de rechtermuisknop op Active Directory Domain Services in de lijst Rollen en kenmerken en klik op Rol of kenmerk verwijderen. Met deze interface wordt de pagina Server Selection overgeslagen.

De ServerManager-cmdlets Uninstall-WindowsFeature en Remove-WindowsFeature voorkomen dat u de AD DS-rol verwijdert totdat u de domeincontroller degradeert.

Serverkeuze

In het dialoogvenster Serverkeuze kunt u een keuze maken uit een van de servers die eerder aan de pool zijn toegevoegd, zolang deze maar toegankelijk is. De lokale server waarop Server Manager wordt uitgevoerd, is altijd automatisch beschikbaar.

Serverrollen en -functies

Vink het selectievakje Active Directory Domain Services uit om een domeincontroller te degraderen; als de server momenteel een domeincontroller is, wordt de AD DS-rol niet verwijderd, maar wordt er overgeschakeld naar een dialoogvenster Validatieresultaten met het aanbod om te degraderen. In het andere geval worden de binaries verwijderd, net als bij elke andere roleigenschap.

  • Verwijder geen andere AD DS-gerelateerde rollen of functies – zoals DNS, GPMC of de RSAT-hulpprogramma’s – als u van plan bent de domeincontroller onmiddellijk weer te promoveren. Door extra rollen en functies te verwijderen, neemt de tijd voor het opnieuw promoveren toe, aangezien Server Manager deze functies opnieuw installeert wanneer u de rol opnieuw installeert.

  • Verwijder naar eigen goeddunken onnodige AD DS-rollen en -functies als u van plan bent de domeincontroller permanent te degraderen. Hiervoor moeten de selectievakjes voor deze rollen en functies worden uitgeschakeld.

    De volledige lijst van AD DS-gerelateerde rollen en functies omvat:

    • Active Directory Module voor Windows PowerShell-functie
    • AD DS en AD LDS Tools-functie
    • Active Directory Administrative Center-functie
    • AD DS Snap-ins and Command-line Tools feature
    • DNS Server
    • Group Policy Management Console

De equivalente ADDSDeployment en ServerManager Windows PowerShell cmdlets zijn:

Uninstall-addsdomaincontrollerUninstall-windowsfeature

Credentials

U configureert de demotieopties op de pagina Credentials. Geef in de volgende lijst de referenties op die nodig zijn om de demotie uit te voeren:

  • Voor het demotiveren van een extra domeincontroller zijn domeinbeheerderreferenties vereist. Als u de verwijdering van deze domeincontroller forceert, wordt de domeincontroller gedegradeerd zonder dat de metagegevens van het domeincontrollerobject uit Active Directory worden verwijderd.

    Waarschuwing

    Selecteer deze optie niet tenzij de domeincontroller geen contact kan maken met andere domeincontrollers en er geen redelijke manier is om dat netwerkprobleem op te lossen. Gedwongen demotie laat verweesde metadata achter in Active Directory op de resterende domeincontrollers in het forest. Daarnaast gaan alle niet gerepliceerde wijzigingen op die domeincontroller, zoals wachtwoorden of nieuwe gebruikersaccounts, voor altijd verloren. Verweesde metagegevens zijn de hoofdoorzaak in een aanzienlijk percentage van de gevallen van klantenondersteuning van Microsoft voor AD DS, Exchange, SQL en andere software.

    Als u een domeincontroller onder dwang degradeert, moet u onmiddellijk handmatig metagegevens opschonen. Zie Metagegevens van server opschonen voor meer informatie over de stappen.

  • Voor het degraderen van de laatste domeincontroller in een domein is lidmaatschap van de groep Enterprise-admins vereist, aangezien het domein zelf wordt verwijderd (als het laatste domein in het forest is, wordt het forest verwijderd). Server Manager informeert u of de huidige domeincontroller de laatste domeincontroller in het domein is. Schakel het selectievakje Laatste domeincontroller in het domein in om te bevestigen dat de domeincontroller de laatste domeincontroller in het domein is.

De equivalente ADDSDeployment Windows PowerShell-argumenten zijn:

-credential <pscredential>-forceremoval <{ $true | false }>-lastdomaincontrollerindomain <{ $true | false }>

Warnings

De pagina Warnings waarschuwt u voor de mogelijke gevolgen van het verwijderen van deze domeincontroller. Als u wilt doorgaan, moet u Proceed with removal (Doorgaan met verwijderen) selecteren.

Warning

Als u eerder op de pagina Credentials (Aanmeldingsgegevens) de selectie Force the removal of this domain controller (Verwijdering van deze domeincontroller forceren) hebt gemaakt, worden op de pagina Warnings (Waarschuwingen) alle rollen van Flexible Single Master Operations weergegeven die door deze domeincontroller worden gehost. U moet de rollen van een andere domeincontroller in beslag nemen onmiddellijk nadat u deze server hebt gedegradeerd. Zie De Operations Master-rol in beslag nemen voor meer informatie over het in beslag nemen van FSMO-rollen.

Deze pagina heeft geen equivalent ADDSDeployment Windows PowerShell-argument.

Verwijderingsopties

De pagina Verwijderingsopties wordt weergegeven als u op de pagina Credentials de laatste domeincontroller in het domein hebt geselecteerd. Op deze pagina kunt u extra verwijderingsopties configureren. Selecteer Negeer laatste DNS-server voor zone, Verwijder toepassing partities, en DNS Delegatie verwijderen om de Volgende knop in te schakelen.

De opties verschijnen alleen als ze van toepassing zijn op deze domeincontroller. Bijvoorbeeld, als er geen DNS-delegatie voor deze server dan dat selectievakje verschijnt niet.

Klik op Wijzigen om alternatieve DNS-administratieve referenties op te geven. Klik op Partities weergeven om extra partities te bekijken die de wizard tijdens de demotie verwijdert. Standaard zijn de enige extra partities Domein DNS en Bos DNS Zones. Alle andere partities zijn niet-Windows-partities.

De equivalente ADDSDeployment cmdlet argumenten zijn:

Nieuw Administratorwachtwoord

Op de pagina Nieuw Administratorwachtwoord moet u een wachtwoord opgeven voor de ingebouwde Administrator-account van de lokale computer, zodra de demotie is voltooid en de computer een server wordt die lid is van het domein of een werkgroepcomputer wordt.

Het cmdlet Uninstall-ADDSDomainController en de argumenten volgen dezelfde standaardinstellingen als bij Server Manager indien deze niet zijn opgegeven.

Het argument LocalAdministratorPassword is speciaal:

  • Indien het niet als argument is opgegeven, vraagt het cmdlet u om een gemaskeerd wachtwoord in te voeren en te bevestigen. Dit heeft de voorkeur wanneer het cmdlet interactief wordt uitgevoerd.
  • Als een waarde wordt opgegeven, dan moet de waarde een beveiligde string zijn. Dit heeft niet de voorkeur wanneer het cmdlet interactief wordt uitgevoerd.

U kunt bijvoorbeeld handmatig om een wachtwoord vragen door het cmdlet Read-Host te gebruiken om de gebruiker om een beveiligde string te vragen.

-localadministratorpassword (read-host -prompt "Password:" -assecurestring)

Warning

Omdat de vorige twee opties het wachtwoord niet bevestigen, moet u uiterst voorzichtig zijn: het wachtwoord is niet zichtbaar.

U kunt ook een beveiligde string opgeven als een geconverteerde clear-text variabele, hoewel dit ten zeerste wordt ontmoedigd. Bijvoorbeeld:

-localadministratorpassword (convertto-securestring "Password1" -asplaintext -force)

Warning

Het verstrekken of opslaan van een clear-text wachtwoord wordt niet aangeraden. Iedereen die dit commando in een script uitvoert of over uw schouder meekijkt, kent het lokale beheerderswachtwoord van die computer. Met die kennis hebben ze toegang tot alle gegevens en kunnen ze zich voordoen als de server zelf.

Bevestiging

De pagina Bevestiging toont de geplande demotie; de pagina bevat geen lijst met configuratieopties voor demotie. Dit is de laatste pagina die de wizard toont voordat de demotie begint. De knop Script weergeven maakt een Windows PowerShell-demotie script.

Klik op Demoten om het volgende AD DS Deployment cmdlet uit te voeren:

Uninstall-ADDSDomainController

Gebruik het optionele Whatif argument met het Uninstall-ADDSDomainController en cmdlet om configuratie informatie te bekijken. Hiermee kunt u de expliciete en impliciete waarden van de argumenten van een cmdlet bekijken.

Voorbeeld:

De prompt om opnieuw op te starten is uw laatste mogelijkheid om deze bewerking te annuleren wanneer u ADDSDeployment Windows PowerShell gebruikt. Als u deze prompt wilt opheffen, gebruikt u de argumenten -force of confirm:$false.

Demotion

Wanneer de pagina Demotion wordt weergegeven, begint de configuratie van de domeincontroller en kan deze niet worden gestopt of geannuleerd. Gedetailleerde bewerkingen worden op deze pagina weergegeven en weggeschreven naar logboeken:

  • %systemroot%%%debug%%systemroot%%%debug%%%systemroot%

Omdat Uninstall-ADDSDomainController en Uninstall-WindowsFeature elk slechts één actie hebben, worden ze hier weergegeven in de Bevestigingsfase met de minimaal vereiste argumenten. Als u op ENTER drukt, wordt het onherroepelijke demotieproces gestart en wordt de computer opnieuw opgestart.

Om de prompt voor het automatisch opnieuw opstarten te accepteren, gebruikt u de argumenten -force of -confirm:$false bij elk ADDSDeployment Windows PowerShell-cmdlet. Om te voorkomen dat de server aan het einde van de promotie automatisch opnieuw wordt opgestart, gebruikt u het argument -norebootoncompletion:$false.

Warning

Het negeren van de reboot wordt ontmoedigd. De server moet opnieuw worden opgestart om correct te kunnen functioneren.

Hier volgt een voorbeeld van geforceerd degraderen met de minimaal vereiste argumenten -forceremoval en -demoteoperationmasterrole. Het argument -credential is niet vereist omdat de gebruiker zich heeft aangemeld als lid van de groep Enterprise Admins:

Hier volgt een voorbeeld van het verwijderen van de laatste domeincontroller in het domein met de minimaal vereiste argumenten -lastdomaincontrollerindomain en -removeapplicationpartitions:

Als u probeert de AD DS-rol te verwijderen voordat de server is gedegradeerd, wordt u door Windows PowerShell geblokkeerd met een fout:

Belangrijk

U moet de computer opnieuw opstarten nadat de server is gedegradeerd voordat u de binaries van de AD-Domain-Services-rol kunt verwijderen.

Results

De pagina Results toont het succes of de mislukking van de promotie en alle belangrijke administratieve informatie. De domeincontroller wordt na 10 seconden automatisch opnieuw opgestart.

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd.