• 11/14/2018
  • 7 minuter att läsa
    • i
    • d
    • v
    • e
    • D
    • +8

Gäller för: Windows Server

Det här avsnittet förklarar hur du tar bort AD DS med hjälp av Serverhanteraren eller Windows PowerShell.

Arbetsflöde för borttagning av AD DS

Försiktighet

För att ta bort AD DS-roller med Dism.exe eller Windows PowerShell-modulen DISM efter befordran till en domänkontrollant stöds inte och hindrar servern från att starta normalt.

I motsats till Server Manager eller ADDSDeployment-modulen för Windows PowerShell är DISM ett inhemskt service-system som inte har någon inneboende kunskap om AD DS eller dess konfiguration. Använd inte Dism.exe eller Windows PowerShell DISM-modulen för att avinstallera AD DS-rollen om inte servern inte längre är en domänkontrollant.

Demotion och borttagning av roller med PowerShell

ADDSDeployment och ServerManager Cmdlets Argument (Fetmarkerade argument krävs. Kursiverade argument kan anges med hjälp av Windows PowerShell eller AD DS-konfigurationsguiden.)
Uninstall-ADDSDomainController -SkipPreChecks

-LocalAdministratorPassword

-Confirm

-Credential

-DemoteOperationMasterRole

-DNSDelegationRemovalCredential

-Force

-ForceRemoval

-IgnoreLastDCInDomainMismatch

-IgnoreLastDNSServerForZone

-LastDomainControllerInDomain

-Norebootoncompletion

-RemoveApplicationPartitions

-RemoveDNSDelegation

-BehållDCMetadata
Uninstall-WindowsFeature/Remove-WindowsFeature -Name

-IncludeManagementTools

-Omstart

-Remove

-Force

-ComputerName

-Credential

-LogPath

-Vhd

Note

Argumentet -credential krävs endast om du inte redan är inloggad som medlem i gruppen Enterprise Admins (demoting av den sista DC:n i en domän) eller i gruppen Domain Admins (demoting av en replika DC).Argumentet -includemanagementtools krävs endast om du vill ta bort alla AD DS-hanteringsverktyg.

Demote

Remove Roles and Features

Server Manager erbjuder två gränssnitt för att ta bort Active Directory Domain Services-rollen:

  • Menynen Hantera på huvuddisplayen, med hjälp av Ta bort roller och funktioner

  • Klicka på AD DS eller Alla servrar på navigeringsrutan. Bläddra ner till avsnittet Roller och funktioner. Högerklicka på Active Directory Domain Services i listan Roller och funktioner och klicka på Ta bort roll eller funktion. Det här gränssnittet hoppar över sidan Serverval.

Med ServerManager-cmdlets Uninstall-WindowsFeature och Remove-WindowsFeature kan du inte ta bort AD DS-rollen förrän du degraderar domänkontrollanten.

Serverval

Dialogrutan Serverval gör det möjligt att välja från en av de servrar som tidigare lagts till i poolen, så länge den är tillgänglig. Den lokala server som kör Serverhanteraren är alltid automatiskt tillgänglig.

Serverroller och funktioner

Tryck av kryssrutan Active Directory Domain Services för att degradera en domänkontrollant; om servern för närvarande är en domänkontrollant tar detta inte bort AD DS-rollen utan byter istället till en dialogruta Validation Results (Valideringsresultat) med ett erbjudande om att degradera. I annat fall tas binärerna bort som alla andra rollfunktioner.

  • Ta inte bort andra AD DS-relaterade roller eller funktioner – t.ex. DNS, GPMC eller RSAT-verktygen – om du har för avsikt att befordra domänkontrollanten igen omedelbart. Om du tar bort ytterligare roller och funktioner ökar tiden för att befordra på nytt, eftersom Serverhanteraren installerar dessa funktioner på nytt när du installerar om rollen.

  • Ta bort obehövliga AD DS-roller och funktioner efter eget gottfinnande om du har för avsikt att degradera domänkontrollanten permanent. Detta kräver att du avmarkerar kryssrutorna för dessa roller och funktioner.

    Den fullständiga listan över AD DS-relaterade roller och funktioner inkluderar:

    • Active Directory Module for Windows PowerShell feature
    • AD DS and AD LDS Tools feature
    • Active Directory Administrative Center feature
    • AD DS Snap-ins and Command-line Tools feature
    • DNS Server
    • Group Policy Management Console

De motsvarande ADDSDeployment och ServerManager Windows PowerShell cmdlets är:

Uninstall-addsdomaincontrollerUninstall-windowsfeature

Credentials

Du konfigurerar degraderingsalternativ på sidan Credentials. Ange de autentiseringsuppgifter som krävs för att utföra degraderingen från följande lista:

  • Demoteringen av ytterligare en domänkontrollant kräver autentiseringsuppgifter för domänadministratör. Om du väljer Tvinga borttagning av den här domänkontrollanten degraderar du domänkontrollanten utan att ta bort domänkontrollantobjektets metadata från Active Directory.

    Varning

    Välj inte det här alternativet om inte domänkontrollanten inte kan kontakta andra domänkontrollanter och det inte finns något rimligt sätt att lösa det nätverksproblemet. Tvångsdegradering lämnar föräldralösa metadata i Active Directory på de återstående domänkontrollanterna i skogen. Dessutom går alla icke-replikerade ändringar på den domänkontrollanten, t.ex. lösenord eller nya användarkonton, förlorade för alltid. Föräldralösa metadata är grundorsaken i en betydande andel av Microsofts kundsupportärenden för AD DS, Exchange, SQL och annan programvara.

    Om du tvångsdegraderar en domänkontrollant måste du manuellt utföra metadatarengöring omedelbart. Steg för steg finns i Rensa upp servermetadata.

  • För att flytta den sista domänkontrollanten i en domän krävs gruppmedlemskap för företagsadministratörer, eftersom detta tar bort själva domänen (om det är den sista domänen i skogen, tar detta bort skogen). Serverhanteraren informerar dig om den aktuella domänkontrollanten är den sista domänkontrollanten i domänen. Markera kryssrutan Sista domänkontrollanten i domänen för att bekräfta att domänkontrollanten är den sista domänkontrollanten i domänen.

De motsvarande ADDSDeployment Windows PowerShell-argumenten är:

-credential <pscredential>-forceremoval <{ $true | false }>-lastdomaincontrollerindomain <{ $true | false }>

Varningar

Sidan Varningar uppmärksammar dig på de möjliga konsekvenserna av att ta bort den här domänkontrollanten. Om du vill fortsätta måste du välja Fortsätt med borttagningen.

Varning

Om du tidigare har valt att tvinga borttagningen av den här domänkontrollanten på sidan Referenser visar sidan Varningar alla Flexible Single Master Operations-roller som den här domänkontrollanten är värd för. Du måste ta över rollerna från en annan domänkontrollant omedelbart efter att du har degraderat den här servern. Mer information om att ta över FSMO-roller finns i Seize the Operations Master Role.

Denna sida har inget motsvarande ADDSDeployment Windows PowerShell-argument.

Removal Options

Sidan Removal Options visas beroende på om du tidigare har valt Sista domänkontrollanten i domänen på sidan Credentials. På den här sidan kan du konfigurera ytterligare borttagningsalternativ. Välj Ignorera sista DNS-server för zon, Ta bort programpartitioner och Ta bort DNS-delegering för att aktivera knappen Nästa.

Oalternativen visas endast om de är tillämpliga för den här domänkontrollanten. Om det till exempel inte finns någon DNS-delegering för den här servern visas inte kryssrutan.

Klicka på Ändra för att ange alternativa administrativa DNS-legitimationsuppgifter. Klicka på Visa partitioner för att visa ytterligare partitioner som guiden tar bort under degraderingen. Som standard är de enda ytterligare partitionerna Domain DNS och Forest DNS Zones. Alla andra partitioner är icke-Windows-partitioner.

De motsvarande argumenten i cmdlet ADDSDeployment är:

Nytt administratörslösenord

På sidan Nytt administratörslösenord måste du ange ett lösenord för den inbyggda lokala datorns administratörskonto när degraderingen har slutförts och datorn blir en server för domänmedlemmar eller en arbetsgruppsdator.

Cmdletten Uninstall-ADDSDomainController och argumenten följer samma standardvärden som Serverhanteraren om de inte anges.

Argumentet LocalAdministratorPassword är speciellt:

  • Om det inte anges som ett argument uppmanar cmdlet dig att ange och bekräfta ett maskerat lösenord. Detta är den föredragna användningen när du kör cmdlet interaktivt.
  • Om det anges med ett värde måste värdet vara en säker sträng. Detta är inte den bästa användningen när du kör cmdlet interaktivt.

Till exempel kan du manuellt begära ett lösenord genom att använda cmdlet Read-Host för att be användaren ange en säker sträng.

-localadministratorpassword (read-host -prompt "Password:" -assecurestring)

Varning

Eftersom de två föregående alternativen inte bekräftar lösenordet ska du vara ytterst försiktig: lösenordet är inte synligt.

Du kan också ange en säker sträng som en konverterad klartextvariabel, även om detta starkt avråds. Till exempel:

-localadministratorpassword (convertto-securestring "Password1" -asplaintext -force)

Varning

Det rekommenderas inte att tillhandahålla eller lagra ett lösenord i klartext. Den som kör det här kommandot i ett skript eller tittar dig över axeln känner till det lokala administratörslösenordet för den datorn. Med den kunskapen har de tillgång till alla dess data och kan utge sig för att vara själva servern.

Bekräftelse

Sidan Bekräftelse visar den planerade degraderingen; sidan listar inte konfigurationsalternativen för degraderingen. Detta är den sista sidan som guiden visar innan demoneringen påbörjas. Knappen Visa skript skapar ett Windows PowerShell-demotionskript.

Klicka på Demote för att köra följande cmdlet för AD DS Deployment:

Uninstall-ADDSDomainController

Använd det valfria Whatif-argumentet med Uninstall-ADDSDomainController och cmdlet för att granska konfigurationsinformation. På så sätt kan du se de explicita och implicita värdena för en cmdlets argument.

Till exempel:

Prompten att starta om är din sista möjlighet att avbryta den här operationen när du använder ADDSDeployment Windows PowerShell. Om du vill åsidosätta den uppmaningen använder du argumenten -force eller confirm:$false.

Demotion

När sidan Demotion visas börjar konfigurationen av domänkontrollanten och kan inte stoppas eller avbrytas. Detaljerade åtgärder visas på den här sidan och skriver till loggar:

  • %systemroot%\debug\dcpromo.log
  • %systemroot%\debug\dcpromoui.log

Då Uninstall-ADDSDomainController och Uninstall-WindowsFeature endast har en åtgärd vardera, visas de här i bekräftelsefasen med de minsta nödvändiga argumenten. Genom att trycka på ENTER startas den oåterkalleliga degraderingsprocessen och datorn startas om.

Om du vill acceptera omstartsprompten automatiskt använder du argumenten -force eller -confirm:$false med alla ADDSDeployment Windows PowerShell cmdlet. Om du vill förhindra att servern startas om automatiskt i slutet av kampanjen använder du argumentet -norebootoncompletion:$false.

Varning

Det avråds från att åsidosätta omstarten. Medlemsservern måste starta om för att fungera korrekt.

Här är ett exempel på tvångsdegradering med de minimala argumenten -forceremoval och -demoteoperationmasterrole. Argumentet -credential behövs inte eftersom användaren loggade in som medlem i gruppen Enterprise Admins:

Här är ett exempel på att ta bort den sista domänkontrollanten i domänen med argumenten -lastdomaincontrollerindomain och -removeapplicationpartitions:

Om du försöker ta bort AD DS-rollen innan servern demonteras blockerar Windows PowerShell dig med ett fel:

Viktigt

Du måste starta om datorn efter att du demonterat servern innan du kan ta bort binärfilerna för AD-Domain-Services-rollen.

Resultat

Sidan Resultat visar om uppgraderingen lyckats eller misslyckats och eventuell viktig administrativ information. Domänkontrollanten startar automatiskt om efter 10 sekunder.

By: adminPosted on

Lämna ett svar

Din e-postadress kommer inte publiceras.