- 11/14/2018
- 7 minut na przeczytanie
-
- i
- d
- v
- e
- D
-
+8
Applies To: Windows Server
W tym temacie wyjaśniono, jak usunąć AD DS, używając programu Server Manager lub Windows PowerShell.
Przebieg usuwania AD DS
Uwaga
Usuwanie ról AD DS za pomocą programu Dism.exe lub modułu DISM programu Windows PowerShell po awansowaniu na kontrolera domeny nie jest obsługiwane i uniemożliwi normalne uruchomienie serwera.
W przeciwieństwie do programu Server Manager lub modułu ADDSDeployment dla programu Windows PowerShell, DISM jest natywnym systemem obsługi, który nie posiada nieodłącznej wiedzy o AD DS ani jego konfiguracji. Nie należy używać programu Dism.exe ani modułu DISM programu Windows PowerShell do odinstalowywania roli AD DS, chyba że serwer nie jest już kontrolerem domeny.
Demotywacja i usuwanie roli za pomocą programu PowerShell
ADDSDeployment and ServerManager Cmdlets | Argumenty (Pogrubione argumenty są wymagane. Argumenty wyróżnione kursywą można określić za pomocą programu Windows PowerShell lub Kreatora konfiguracji AD DS.) |
---|---|
-SkipPreChecks
-LocalAdministratorPassword -.Confirm -Credential -DemoteOperationMasterRole -DNSDelegationRemovalCredential -Force -ForceRemoval -IgnoreLastDCInDomainMismatch -IgnoreLastDNSServerForZone -LastDomainControllerInDomain -Norebootoncompletion -RemoveApplicationPartitions -RemoveDNSDelegation -RetainDCMetadata |
|
Uninstall-WindowsFeature/Remove-WindowsFeature | -Name
-IncludeManagementTools -.Restart -Remove -Force -ComputerName -Credential -LogPath -.Vhd |
Uwaga
Argument -credential jest wymagany tylko wtedy, gdy użytkownik nie jest już zalogowany jako członek grupy Enterprise Admins (usuwanie ostatniego komputera DC w domenie) lub grupy Domain Admins (usuwanie repliki komputera DC).Argument -includemanagementtools jest wymagany tylko wtedy, gdy chcemy usunąć wszystkie narzędzia do zarządzania AD DS.
Demote
Usuwanie ról i funkcji
Menedżer serwerów oferuje dwa interfejsy usuwania roli Active Directory Domain Services:
-
Menu Zarządzanie na głównym pulpicie nawigacyjnym, używając polecenia Usuń role i funkcje
-
Kliknij AD DS lub Wszystkie serwery w panelu nawigacji. Przewiń w dół do sekcji Role i funkcje. Kliknąć prawym przyciskiem myszy Usługi domeny Active Directory na liście Role i funkcje, a następnie kliknąć Usuń rolę lub funkcję. Ten interfejs pomija stronę Wybór serwera.
Centra ServerManager Uninstall-WindowsFeature i Remove-WindowsFeature uniemożliwiają usunięcie roli AD DS do czasu zdegradowania kontrolera domeny.
Wybór serwera
Okno dialogowe Wybór serwera umożliwia wybór jednego z serwerów dodanych wcześniej do puli, o ile jest on dostępny. Lokalny serwer z uruchomionym programem Server Manager jest zawsze automatycznie dostępny.
Role i funkcje serwera
Zaznaczenie pola wyboru Usługi domeny Active Directory w celu zdegradowania kontrolera domeny; jeśli serwer jest obecnie kontrolerem domeny, nie powoduje to usunięcia roli AD DS, a zamiast tego przełącza do okna dialogowego Wyniki walidacji z ofertą zdegradowania. W przeciwnym razie usuwa pliki binarne jak każdą inną funkcję roli.
-
Nie należy usuwać żadnych innych ról ani funkcji związanych z AD DS – takich jak DNS, GPMC lub narzędzia RSAT – jeśli zamierza się natychmiast ponownie promować kontroler domeny. Usuwanie dodatkowych ról i funkcji wydłuża czas ponownego promowania, ponieważ Menedżer serwera ponownie instaluje te funkcje podczas ponownego instalowania roli.
-
Usuwaj niepotrzebne role i funkcje AD DS według własnego uznania, jeśli zamierzasz zdegradować kontroler domeny na stałe. Wymaga to wyczyszczenia pól wyboru dla tych ról i funkcji.
Pełna lista ról i funkcji związanych z AD DS obejmuje:
- Active Directory Module for Windows PowerShell feature
- AD DS and AD LDS Tools feature
- Active Directory Administrative Center feature
- AD DS Snap-ins and Command-line Tools feature
- DNS Server
- Group Policy Management Console
Odpowiednikami cmdletów ADDSDeployment i ServerManager Windows PowerShell są:
Uninstall-addsdomaincontrollerUninstall-windowsfeature
Credentials
Konfigurujesz opcje degradacji na stronie Credentials. Podaj poświadczenia niezbędne do wykonania degradacji z następującej listy:
-
Demotywacja dodatkowego kontrolera domeny wymaga poświadczeń administratora domeny. Wybór opcji Wymuś usunięcie tego kontrolera domeny powoduje zdegradowanie kontrolera domeny bez usuwania metadanych obiektu kontrolera domeny z Active Directory.
Ostrzeżenie
Nie wybieraj tej opcji, chyba że kontroler domeny nie może skontaktować się z innymi kontrolerami domeny i nie ma rozsądnego sposobu rozwiązania tego problemu sieciowego. Wymuszona degradacja pozostawia osierocone metadane w Active Directory na pozostałych kontrolerach domeny w lesie. Dodatkowo, wszystkie niereplikowane zmiany na tym kontrolerze domeny, takie jak hasła lub nowe konta użytkowników, są tracone na zawsze. Osierocone metadane są główną przyczyną znacznego odsetka przypadków pomocy technicznej Microsoft dla AD DS, Exchange, SQL i innego oprogramowania.
Jeśli przymusowo zdegradujesz kontroler domeny, musisz natychmiast wykonać ręczne czyszczenie metadanych. Aby uzyskać informacje o krokach, zapoznaj się z sekcją Czyszczenie metadanych serwera.
-
Demotowanie ostatniego kontrolera domeny w domenie wymaga członkostwa w grupie Enterprise Admins, ponieważ usuwa samą domenę (jeśli jest to ostatnia domena w lesie, usuwa las). Menedżer serwera informuje, czy bieżący kontroler domeny jest ostatnim kontrolerem domeny w domenie. Zaznacz pole wyboru Ostatni kontroler domeny w domenie, aby potwierdzić, że kontroler domeny jest ostatnim kontrolerem domeny w domenie.
Odpowiednie argumenty ADDSDeployment Windows PowerShell są następujące:
-credential <pscredential>-forceremoval <{ $true | false }>-lastdomaincontrollerindomain <{ $true | false }>
Ostrzeżenia
Strona Ostrzeżenia ostrzega o możliwych konsekwencjach usunięcia tego kontrolera domeny. Aby kontynuować, musisz wybrać opcję Kontynuuj usuwanie.
Ostrzeżenie
Jeśli wcześniej wybrałeś opcję Wymuś usunięcie tego kontrolera domeny na stronie Poświadczenia, wtedy strona Ostrzeżenia pokazuje wszystkie elastyczne role Single Master Operations hostowane przez ten kontroler domeny. Musisz przejąć te role z innego kontrolera domeny natychmiast po zdegradowaniu tego serwera. Aby uzyskać więcej informacji na temat przejmowania ról FSMO, zobacz Przejmij rolę Operations Master.
Ta strona nie ma odpowiednika argumentu ADDSDeployment Windows PowerShell.
Opcje usuwania
Strona Opcje usuwania pojawia się w zależności od wcześniejszego wybrania opcji Ostatni kontroler domeny w domenie na stronie Poświadczenia. Ta strona umożliwia skonfigurowanie dodatkowych opcji usuwania. Wybierz Ignoruj ostatni serwer DNS dla strefy, Usuń partycje aplikacji i Usuń delegację DNS, aby włączyć przycisk Dalej.
Opcje pojawiają się tylko wtedy, gdy mają zastosowanie do tego kontrolera domeny. Na przykład, jeśli nie ma delegacji DNS dla tego serwera, to pole wyboru nie będzie wyświetlane.
Kliknij Zmień, aby określić alternatywne poświadczenia administracyjne DNS. Kliknąć Wyświetl partycje, aby wyświetlić dodatkowe partycje, które kreator usuwa podczas degradacji. Domyślnie jedynymi dodatkowymi partycjami są Domain DNS i Forest DNS Zones. Wszystkie pozostałe partycje to partycje niezwiązane z systemem Windows.
Odpowiednie argumenty polecenia ADDSDeployment cmdlet są następujące:
Nowe hasło administratora
Strona Nowe hasło administratora wymaga podania hasła dla wbudowanego konta administratora komputera lokalnego, gdy degradacja zostanie zakończona i komputer stanie się serwerem członkowskim domeny lub komputerem grupy roboczej.
Ccmdlet Uninstall-ADDSDomainController i argumenty mają takie same wartości domyślne jak Server Manager, jeśli nie są określone.
Komentarz LocalAdministratorPassword jest specjalny:
- Jeśli nie jest określony jako argument, cmdlet prosi o wprowadzenie i potwierdzenie maskowanego hasła. Jest to preferowane użycie podczas interaktywnego uruchamiania cmdleta.
- Jeśli podano wartość, musi to być bezpieczny łańcuch znaków. Nie jest to preferowane użycie podczas interaktywnego uruchamiania cmdletu.
Na przykład można ręcznie poprosić o hasło, używając cmdletu Read-Host, aby poprosić użytkownika o bezpieczny ciąg znaków.
-localadministratorpassword (read-host -prompt "Password:" -assecurestring)
Ostrzeżenie
Ponieważ dwie poprzednie opcje nie potwierdzają hasła, należy zachować szczególną ostrożność: hasło nie jest widoczne.
Można również podać bezpieczny ciąg znaków jako zmienną tekstową, chociaż jest to wysoce odradzane. Na przykład:
-localadministratorpassword (convertto-securestring "Password1" -asplaintext -force)
Ostrzeżenie
Przekazywanie lub przechowywanie hasła w postaci czystego tekstu nie jest zalecane. Każda osoba uruchamiająca to polecenie w skrypcie lub zaglądająca Ci przez ramię zna hasło lokalnego administratora tego komputera. Mając taką wiedzę, ma dostęp do wszystkich jego danych i może podszyć się pod sam serwer.
Potwierdzenie
Strona Potwierdzenie pokazuje planowaną degradację; strona nie zawiera opcji konfiguracji degradacji. Jest to ostatnia strona, którą kreator pokazuje przed rozpoczęciem degradacji. Przycisk Wyświetl skrypt tworzy skrypt degradacji Windows PowerShell.
Kliknij przycisk Demote, aby uruchomić następujący cmdlet AD DS Deployment:
Uninstall-ADDSDomainController
Użyj opcjonalnego argumentu Whatif z poleceniem Uninstall-ADDSDomainController i cmdletem, aby przejrzeć informacje o konfiguracji. Pozwala to zobaczyć jawne i niejawne wartości argumentów cmdleta.
Na przykład:
Pytanie o ponowne uruchomienie jest ostatnią możliwością anulowania tej operacji podczas korzystania z ADDSDeployment Windows PowerShell. Aby zastąpić ten monit, należy użyć argumentów -force lub confirm:$false.
Demotion
Po wyświetleniu strony Demotion rozpoczyna się konfiguracja kontrolera domeny, której nie można zatrzymać ani anulować. Szczegółowe operacje są wyświetlane na tej stronie i zapisywane w dziennikach:
- %systemroot%debug%dcpromo.log
- %systemroot%debug%dcpromoui.log
Ponieważ operacje deinstalacji kontrolera domeny i deinstalacji funkcji systemu Windows mają tylko po jednej akcji, są one wyświetlane w fazie Potwierdzenie z minimalnymi wymaganymi argumentami. Naciśnięcie klawisza ENTER rozpoczyna nieodwracalny proces degradacji i uruchamia ponownie komputer.
Aby automatycznie zaakceptować monit o ponowne uruchomienie, należy użyć argumentów -force lub -confirm:$false z dowolnym cmdletem ADDSDeployment Windows PowerShell. Aby zapobiec automatycznemu ponownemu uruchomieniu serwera po zakończeniu promowania, użyj argumentu -norebootoncompletion:$false.
Ostrzeżenie
Odradza się pomijanie ponownego uruchomienia. Serwer członkowski musi zostać ponownie uruchomiony, aby działać poprawnie.
Tutaj znajduje się przykład przymusowej degradacji z minimalnymi wymaganymi argumentami -forceremoval i -demoteoperationmasterrole. Argument -credential nie jest wymagany, ponieważ użytkownik zalogował się jako członek grupy Enterprise Admins:
Tutaj znajduje się przykład usunięcia ostatniego kontrolera domeny w domenie z minimalnymi wymaganymi argumentami -lastdomaincontrollerindomain i -removeapplicationpartitions:
Jeśli spróbujesz usunąć rolę AD DS przed zdegradowaniem serwera, program Windows PowerShell zablokuje Cię z błędem:
Ważne
Musisz ponownie uruchomić komputer po zdegradowaniu serwera, zanim będziesz mógł usunąć binaria roli AD-Domain-Services.
Results
Strona Results pokazuje sukces lub porażkę promocji i wszelkie ważne informacje administracyjne. Kontroler domeny automatycznie uruchomi się ponownie po 10 sekundach.
.