Demoting Domain Controllers and Domains (Level 200) | Microsoft Docs

11/14/2018
7 minute de citit
- i
- d
- v
- e
- D
- +8

Se aplică la: Windows Server

Acest subiect explică cum să eliminați AD DS, utilizând Server Manager sau Windows PowerShell.

Fluxul de lucru pentru eliminarea AD DS

Atenție

Îndepărtarea rolurilor AD DS cu Dism.exe sau modulul DISM din Windows PowerShell după promovarea la un controler de domeniu nu este suportată și va împiedica serverul să pornească în mod normal.

Dincolo de Server Manager sau de modulul ADDSDeployment pentru Windows PowerShell, DISM este un sistem de service nativ care nu are cunoștințe inerente despre AD DS sau despre configurația acestuia. Nu utilizați Dism.exe sau modulul DISM din Windows PowerShell pentru dezinstalarea rolului AD DS decât dacă serverul nu mai este un controler de domeniu.

Dezinstalarea și eliminarea rolului cu PowerShell

ADDSDeployment și ServerManager Cmdlets	Argumente (Argumentele în bold sunt necesare. Argumentele în italic pot fi specificate cu ajutorul Windows PowerShell sau al Expertului de configurare AD DS.)
Uninstall-ADDSDomainController	-SkipPreChecks -LocalAdministratorPassword .Confirm -Credential -DemoteOperationMasterRole -DNSDelegationRemovalCredential -Force -ForceRemoval -IgnoreLastDCInDomainMismatch -IgnoreLastDNSServerForZone -LastDomainControllerInDomain -Norebootoncompletion -RemoveApplicationPartitions -RemoveDNSDelegation -RetainDCMetadata
Uninstall-WindowsFeature/Remove-WindowsFeature	-Name -IncludeManagementTools -Restart -Remove -Force -ComputerName -Credential -LogPath -Vhd

ADDSDeployment și ServerManager Cmdlets

Argumente (Argumentele în bold sunt necesare. Argumentele în italic pot fi specificate cu ajutorul Windows PowerShell sau al Expertului de configurare AD DS.)

Uninstall-ADDSDomainController

-SkipPreChecks

-LocalAdministratorPassword

.Confirm

-Credential

-DemoteOperationMasterRole

-DNSDelegationRemovalCredential

-Force

-ForceRemoval

-IgnoreLastDCInDomainMismatch

-IgnoreLastDNSServerForZone

-LastDomainControllerInDomain

-Norebootoncompletion

-RemoveApplicationPartitions

-RemoveDNSDelegation

-RetainDCMetadata

Uninstall-WindowsFeature/Remove-WindowsFeature

-Name

-IncludeManagementTools

-Restart

-Remove

-Force

-ComputerName

-Credential

-LogPath

-Vhd

Nota

Argumentul -credential este necesar numai dacă nu sunteți deja autentificat ca membru al grupului Enterprise Admins (retrocedarea ultimului DC dintr-un domeniu) sau al grupului Domain Admins (retrocedarea unui DC replică).Argumentul -includemanagementtools este necesar numai dacă doriți să eliminați toate utilitarele de gestionare AD DS.

Demotare

Remover Roles and Features

Server Manager oferă două interfețe pentru înlăturarea rolului Active Directory Domain Services:

Meniul Manage (Gestionare) din tabloul de bord principal, utilizând Remove Roles and Features
Click pe AD DS sau All Servers (Toate serverele) din panoul de navigare. Derulați în jos până la secțiunea Roles and Features (Roluri și caracteristici). Faceți clic dreapta pe Active Directory Domain Services în lista Roles and Features (Roluri și caracteristici) și faceți clic pe Remove Role or Feature (Eliminare rol sau caracteristică). Această interfață sare peste pagina de selecție a serverului.

Commandatele ServerManager Uninstall-WindowsFeature și Remove-WindowsFeature vă vor împiedica să eliminați rolul AD DS până când nu retrogradați controlerul de domeniu.

Server Selection

Cadrul de dialog Server Selection vă permite să alegeți unul dintre serverele adăugate anterior la pool, atâta timp cât acesta este accesibil. Serverul local pe care rulează Server Manager este întotdeauna disponibil în mod automat.

Server Roles and Features

Debifați caseta de selectare Active Directory Domain Services (Servicii de domeniu Active Directory) pentru a retrograda un controler de domeniu; dacă serverul este în prezent un controler de domeniu, acest lucru nu elimină rolul AD DS și, în schimb, trece la o fereastră de dialog Validation Results (Rezultate validare) cu oferta de retrogradare. În caz contrar, elimină binarele ca orice altă caracteristică de rol.

Nu eliminați alte roluri sau caracteristici legate de AD DS – cum ar fi DNS, GPMC sau instrumentele RSAT – dacă intenționați să promovați din nou controlorul de domeniu imediat. Îndepărtarea rolurilor și a caracteristicilor suplimentare crește timpul de re-promovare, deoarece Server Manager reinstalează aceste caracteristici atunci când reinstalați rolul.
Îndepărtați rolurile și caracteristicile AD DS care nu sunt necesare, la discreția dumneavoastră, dacă intenționați să retrogradați controlerul de domeniu permanent. Acest lucru necesită ștergerea căsuțelor de selectare pentru aceste roluri și caracteristici.

Lista completă a rolurilor și caracteristicilor legate de AD DS include:
- Modul Active Directory pentru Windows PowerShell caracteristica
- AD DS și AD LDS Tools caracteristica
- Centrul administrativ Active Directory caracteristica
- AD DS Snap-.ins and Command-line Tools caracteristică
- DNS Server
- Group Policy Management Console

Câmdalele echivalente ADDSDeployment și ServerManager Windows PowerShell cmdlet sunt:

Uninstall-addsdomaincontrollerUninstall-windowsfeature

Credențiale

Configurați opțiunile de retrogradare pe pagina Credențiale. Furnizați acreditările necesare pentru a efectua retrogradarea din următoarea listă:

Pentru retrogradarea unui controler de domeniu suplimentar sunt necesare acreditările Domain Admin. Selectând Forțați înlăturarea acestui controler de domeniu retrogradează controlerul de domeniu fără a elimina metadatele obiectului controler de domeniu din Active Directory.

Atenție

Nu selectați această opțiune decât dacă controlerul de domeniu nu poate contacta alte controllere de domeniu și nu există nicio modalitate rezonabilă de a rezolva această problemă de rețea. Retrogradarea forțată lasă metadate orfane în Active Directory pe controlorii de domeniu rămași în pădure. În plus, toate modificările nereplicate pe acel controler de domeniu, cum ar fi parolele sau noile conturi de utilizator, sunt pierdute pentru totdeauna. Metadatele orfane sunt cauza principală într-un procent semnificativ de cazuri de asistență pentru clienți Microsoft pentru AD DS, Exchange, SQL și alte software.

Dacă retrogradați forțat un controler de domeniu, trebuie să efectuați manual și imediat curățarea metadatelor. Pentru pași, consultați Clean Up Server Metadata.
Demotarea ultimului controler de domeniu dintr-un domeniu necesită apartenența la grupul Enterprise Admins, deoarece astfel se elimină domeniul în sine (dacă este ultimul domeniu din pădure, se elimină și pădurea). Server Manager vă informează dacă actualul controler de domeniu este ultimul controler de domeniu din domeniu. Bifați caseta de selectare Last domain controller in the domain (Ultimul controler de domeniu din domeniu) pentru a confirma că controlerul de domeniu este ultimul controler de domeniu din domeniu.

Argumentele echivalente ADDSDeployment Windows PowerShell sunt:

-credential <pscredential>-forceremoval <{ $true | false }>-lastdomaincontrollerindomain <{ $true | false }>

Warnings

Pagina Warnings (Avertizări) vă avertizează cu privire la posibilele consecințe ale eliminării acestui controler de domeniu. Pentru a continua, trebuie să selectați Proceed with removal.

Avertizări

Dacă ați selectat anterior Forțați eliminarea acestui controler de domeniu în pagina Credentials, atunci pagina Warnings afișează toate rolurile Flexible Single Master Operations găzduite de acest controler de domeniu. Trebuie să preluați rolurile de la un alt controler de domeniu imediat după retrocedarea acestui server. Pentru mai multe informații despre confiscarea rolurilor FSMO, consultați Seize the Operations Master Role.

Această pagină nu are un argument Windows PowerShell echivalent ADDSDeployment.

Removal Options

Pagina Removal Options apare în funcție de selectarea anterioară a opțiunii Last domain controller in the domain în pagina Credentials. Această pagină vă permite să configurați opțiuni suplimentare de eliminare. Selectați Ignore last DNS server for zone (Ignoră ultimul server DNS pentru zonă), Remove application partitions (Îndepărtare partiții de aplicații) și Remove DNS Delegation (Îndepărtare delegare DNS) pentru a activa butonul Next (Următorul).

Opțiunile apar numai dacă se aplică acestui controler de domeniu. De exemplu, dacă nu există nicio delegare DNS pentru acest server, atunci această casetă de selectare nu se va afișa.

Click pe Change (Modificare) pentru a specifica acreditările administrative DNS alternative. Faceți clic pe View Partitions (Vizualizare partiții) pentru a vizualiza partițiile suplimentare pe care expertul le elimină în timpul retrogradării. În mod implicit, singurele partiții suplimentare sunt Domain DNS și Forest DNS Zones. Toate celelalte partiții sunt partiții non-Windows.

Argumentele echivalente ale cmdletului ADDSDeployment sunt:

New Administrator Password

Pagina New Administrator Password vă cere să furnizați o parolă pentru contul de administrator al computerului local încorporat, odată ce retrogradarea se finalizează și computerul devine un server membru al domeniului sau un computer al grupului de lucru.

Cdlet-ul Uninstall-ADDSDomainController și argumentele urmează aceleași valori implicite ca și Server Manager dacă nu sunt specificate.

Argumentul LocalAdministratorPassword este special:

Dacă nu este specificat ca argument, atunci cmdlet-ul vă solicită să introduceți și să confirmați o parolă mascată. Aceasta este utilizarea preferată atunci când se execută cmdlet-ul în mod interactiv.
Dacă este specificat cu o valoare, atunci valoarea trebuie să fie un șir securizat. Aceasta nu este utilizarea preferată atunci când se execută cmdlet-ul în mod interactiv.

De exemplu, puteți solicita manual o parolă folosind cmdlet-ul Read-Host pentru a solicita utilizatorului un șir securizat.

-localadministratorpassword (read-host -prompt "Password:" -assecurestring)

Atenție

Deoarece cele două opțiuni anterioare nu confirmă parola, fiți extrem de prudent: parola nu este vizibilă.

Puteți, de asemenea, să furnizați un șir securizat ca o variabilă convertită în text clar, deși acest lucru este foarte descurajat. De exemplu:

-localadministratorpassword (convertto-securestring "Password1" -asplaintext -force)

Avertisment

Nu se recomandă furnizarea sau stocarea unei parole în text clar. Oricine execută această comandă într-un script sau se uită peste umărul dumneavoastră cunoaște parola administratorului local al acelui computer. Cu această cunoaștere, ei au acces la toate datele acestuia și pot să se dea drept serverul însuși.

Confirmare

Pagina Confirmare arată retrogradarea planificată; pagina nu enumeră opțiunile de configurare a retrogradării. Aceasta este ultima pagină pe care expertul o afișează înainte de începerea retrogradării. Butonul View Script (Vizualizare script) creează un script de retrogradare Windows PowerShell.

Click pe Demote pentru a rula următorul cmdlet AD DS Deployment:

Uninstall-ADDSDomainController

Utilizați argumentul opțional Whatif cu Uninstall-ADDSDomainController și cmdlet pentru a revizui informațiile de configurare. Acest lucru vă permite să vedeți valorile explicite și implicite ale argumentelor unui cmdlet.

De exemplu:

Invitația de repornire este ultima dvs. ocazie de a anula această operațiune atunci când utilizați ADDSDeployment Windows PowerShell. Pentru a anula această solicitare, utilizați argumentele -force sau confirm:$false.

Demotion

Când se afișează pagina Demotion, începe configurarea controlerului de domeniu și nu poate fi oprită sau anulată. Operațiunile detaliate se afișează pe această pagină și se scriu în jurnale:

%systemroot%\debug\dcpromo.log
%systemroot%\debug\dcpromoui.log

Din moment ce Uninstall-ADDSDomainController și Uninstall-WindowsFeature au doar câte o acțiune fiecare, acestea sunt afișate aici în faza de confirmare cu argumentele minime necesare. Apăsarea tastei ENTER pornește procesul irevocabil de retrocedare și repornește calculatorul.

Pentru a accepta automat solicitarea de repornire, utilizați argumentele -force sau -confirm:$false cu orice cmdlet ADDSDeployment Windows PowerShell. Pentru a împiedica repornirea automată a serverului la sfârșitul promovării, utilizați argumentul -norebootoncompletion:$false.

Avertisment

Este descurajată depășirea repornirii. Serverul membru trebuie să repornească pentru a funcționa corect.

Iată un exemplu de retrogradare forțată cu argumentele sale minime necesare -forceremoval și -demoteoperationmasterrole. Argumentul -credential nu este necesar deoarece utilizatorul s-a conectat ca membru al grupului Enterprise Admins:

Iată un exemplu de înlăturare a ultimului controler de domeniu din domeniu cu argumentele sale minime necesare de -lastdomaincontrollerindomain și -removeapplicationpartitions:

Dacă încercați să eliminați rolul AD DS înainte de a demotoriza serverul, Windows PowerShell vă blochează cu o eroare:

Important

Trebuie să reporniți calculatorul după ce ați demotorizat serverul înainte de a putea elimina binarele rolului AD-Domain-Services.

Rezultate

Pagina Rezultate arată succesul sau eșecul promovării și orice informații administrative importante. Controlerul de domeniu va reporni automat după 10 secunde.