Удалить_домен_из_лесу

Понижение контроллера домена и удаление роли AD DS

Обновлено: 15.08.2023 Опубликовано: 27.06.2020

Используемые термины: Active Directory, FSMO. Мы рассмотрим пример корректного удаление роли Active Directory Domain Services для Windows Server 2012 / 2012 R2 / 2016 / 2019. Процесс полного удаления разобьем на несколько этапов:

Подготовка системы

Если в нашей среде AD не один контроллер домена и мы не хотим удалять сам домен, а только один из его серверов со службой каталогов, стоит выполнить предварительные операции, чтобы минимизировать возможные проблемы.

Перенос ролей контроллера домена

Active Directory насчитывает 5 FSMO ролей, которые отвечают за корректную работу службы каталогов. Смотрим, на каких серверах запущены данные роли с помощью команд в Powershell:

* где dmosk.local — домен, для которого нужно узнать назначенные роли FSMO. Если какие-то роли назначены на сервере, который планируется понизить, то необходимо с помощью команды типа:

. передать роль. Подробнее о передаче и захвате в инструкции Управление FSMO ролями Active Directory с помощью Powershell.

Проверка состояния AD

Данная команда запустит проверку состояния среды AD и выдаст ошибки, если такие будут. Необходимо обратить внимание на сообщения и, по возможности, решить проблемы.

Понижение контроллера домена

Первым шагом понизим наш сервер до рядового сервера. Это можно сделать с помощью графического интерфейса, Powershell или командной строки.

Графика

Открываем Диспетчер серверов и переходим в Управление — Удалить роли и компоненты: Если откроется окно с приветствием, то просто нажимаем Далее (при желании, можно поставить галочку Пропускать эту страницу по умолчанию): В окне «Выбор целевого сервера» выбираем сервер, для которого мы будем понижать уровень AD: . и нажимаем Далее. Снимаем галочку Доменные службы Active Directory. откроется окно в котором отобразится список компонентов для удаления — нажимаем Удалить компоненты: Система вернет ошибку с предупреждением, что сначала нужно понизить AD — кликаем по ссылке Понизить уровень этого контроллера домена: В следующем окне мы увидим предупреждение о том, что компьютер будет перезагружен и возможность принудительно понизить уровень — просто нажимаем Далее: Система отобразит роли AD, которые будут удалены. Ставим галочку Продолжить удаление и нажимаем Далее: Вводим дважды пароль учетной записи локального администратора, который будет использоваться после понижения до рядового сервера: Кликаем по Понизить уровень: Процесс займет какое-то время. После мы увидим «Уровень контроллера домена Active Directory успешно понижен»: Сервер автоматически будет перезагружен.

Powershell

Система запросит пароль для локальной учетной записи администратора, которая будет использоваться после понижения — задаем новый пароль дважды:

После завершения этой операции сервер будет автоматически перезапущен. Когда вы удалите доменные службы Active
Directory на последнем контроллере домена, этот домен перестанет существовать.
Вы хотите продолжить эту операцию?
[Y] Да — Y [A] Да для всех — A [N] Нет — N [L] Нет для всех — L [S] Приостановить — S [?] Справка
(значением по умолчанию является «Y»): A

Удаление роли AD DS

После понижения сервера роль, по-прежнему, будет установлена. Для ее удаления мы также можем воспользоваться графической оболочкой или командной строкой.

Графика

В диспетчере серверов кликаем снова по Управление — Удалить роли и компоненты: Среди серверов выбираем тот, на котором будем удалять роль: * сервер может быть только один. Тогда выбираем его. Снимаем галочку Доменные службы Active Directory, в открывшемся окне кликаем по Удалить компоненты: Галочка для доменных служб будет снята: . кликаем по Далее несколько раз. В последнем окне ставим галочку Автоматический перезапуск конечного сервера, если требуется и подтверждаем действие ответом Да: Роль будет удалена, а сервер отправлен в перезагрузку.

Powershell

Вывод сервера из домена

В случае, если у нас есть другие контроллеры домена, наш сервер останется в домене. При необходимости его окончательного вывода из эксплуатации, стоит вывести его из среды AD.

Графика

Открываем свойства системы (команда control system или свойства Компьютера) и кликаем по Изменить параметры: В открывшемся окне нажимаем на Изменить: И переводим компьютер в рабочую группу: * в данном примере в группу с названием WORKGROUP. Система запросит логин и пароль от пользователя Active Directory, у которого есть права на вывод компьютеров из домена — вводим данные. Если все сделано верно, мы должны увидеть окно: После перезагружаем сервер или выключаем его.

Powershell

* где dmosk\master — учетная запись в домене с правами вывода компьютеров из AD. Соглашаемся продолжить, ознакомившись с предупреждением:

Подтверждение
Чтобы войти в систему на этом компьютере после его удаления из домена, вам потребуется пароль учетной записи локального
администратора. Вы хотите продолжить?
[Y] Да — Y [N] Нет — N [S] Приостановить — S [?] Справка (значением по умолчанию является «Y»): Y

Вопросы и ответы

• Если есть резервная копия, восстанавливаемся из нее.
• Если в среде несколько контроллеров домена, захватываем FSMO-роли (подробнее в инструкции Управление FSMO ролями Active Directory с помощью Powershell) и вручную удаляем уже несуществующий контроллер. После можно поднять новый контроллер, сделав его резервным.
• Хуже, когда нет ни копий, ни второго контроллера. В таком случае, поднимаем новый контроллер, создаем новый лес, домен и переводим все компьютеры в него.

4. Что делать, если контроллер домена возвращает ошибку при понижении?

Самый лучший способ, разобраться с ошибкой, решив проблему, которая ее вызывает. Если это не удалось сделать, принудительно понижаем сервер командой:

Источник

Удаление потерянных доменов из Active Directory

Как правило, когда последний контроллер домена для домена понижен, администратор выбирает этот сервер последним контроллером домена в параметре домена в средстве DCPromo. Эта процедура удаляет метаданные домена из Active Directory. В этой статье описывается, как удалить метаданные домена из Active Directory, если эта процедура не используется, или если все контроллеры домена находятся в автономном режиме, но сначала не понижены.

Перед удалением метаданных домена вручную администратор должен убедиться, что репликация произошла с момента понижения уровня последнего контроллера домена. Неправильное использование средства NTDSUTIL может привести к частичной или полной потере функциональности Active Directory.

Удаление потерянных доменов из Active Directory

1. Определите контроллер домена, который содержит роль «Гибкие операции ССМО» (FSMO) главного узла именования домена. Чтобы определить сервер с этой ролью:
   1. Запустите оснастку «Домены и доверие Active Directory» консоли управления (MMC) из меню » Администрирование «.
   2. Щелкните правой кнопкой мыши корневой узел в области слева под названием » Домены и отношения доверия Active Directory«, а затем выберите «Главный узел операций».
   3. Контроллер домена, который в настоящее время содержит эту роль, определяется в кадре current Operations Master.

   Примечание. Если оно было изменено недавно, не все компьютеры могли получить это изменение из-за репликации.

   Ссылки

   Дополнительные сведения о средстве NTDSUTIL см. в документации по средствам поддержки, расположенной в папке Support\Reskit на компакт-диске Windows 2000. Файлы справки, включенные в комплект ресурсов Microsoft Windows 2000, содержат ссылку электронной документации . Вы можете щелкнуть ссылку, чтобы получить более подробные сведения о средстве NTDSUTIL.

   Дополнительные сведения об удалении контроллеров домена из домена, который вы пытаетесь удалить, см. в следующей статье:

   216498 как удалить данные в Active Directory после неудачного понижения уровня контроллера домена

   Обратная связь

   Были ли сведения на этой странице полезными?

   Источник