В этой статье мы рассмотрим процедуры корректного удаления контроллера домена Active Directory на Windows Server 2022/2019/2016/2012R2. Обычно при удалении контроллера домена рассматривается один из сценариев:
Если вы выполняете плановое удаление (декомиссию) одного из существующих контроллеров домена AD (обычного DC или RODC ), то прежде чем понизить контроллер домена до рядового Windows Server и удалить роль ADDS, нужно выполнить ряд подготовительных шагов.
dcdiag
, repadmin
и скриптов PowerShell. Исправьте найденные проблемы. Для вывода списка ошибок на конкретном контроллере домена выполните команду: dcdiag.exe /s:dc01 /q
netdom query fsmo
Get-DhcpServerv4Scope -ComputerName msk-dhcp01.remontka.com| Get-DhcpServerv4OptionValue | Where-Object {$_.OptionID -like 6} | FT Value
Test-ADDSDomainControllerUninstallation
, чтобы проверить оставшиеся зависимости и проблемы, с которыми вы можете столкнуться при удалении DC. Если командлет вернет статус Sucсess
, можете продолжить. Теперь можно приступить к понижению роли контроллера домена до рядового сервера. До Windows Server 2012 для этого использовалась команда dcpromo . В современных версиях Windows Server этот инструмент считается устаревшим и не рекомендуется к использованию.
Вы можете понизить роль контроллера домена с помощью Server Manager . Запустите Server Manager -> Remote Roles and Features -> снимите чекбокс Active Directory Domain Services в секции Server Roles.
Нажмите на кнопку Demote this domain controller .
Должно открыться окно Active Directory Domain Services Configuration Wizard. Опцию Force the removal of this domain controller используется при удалении последнего контроллера домена. Включать ее не нужно . В дальнейшем мы удалим метаданные о DC вручную.
В следующем окне отметьте опцию Proceed with removal .
Затем задайте пароль учетной записи локального администратора сервера.
На последнем этапе останется нажать кнопку Demote .
Дождитесь окончания понижения контроллера домена. Должна появится надпись Successfully demoted the Active Directory Domain Controller .
Перезагрузите сервер, еще раз запустите Server Manager для удаления роли Active Directory Domain Services.
При удалении роли ADDS по-умолчанию будут удалены следующие компоненты:
gpmc.msc
) Запустите консоль Active Directory Users and Computers (dsa.msc) и убедитесь, что учетная запись контроллера домена была удалена из OU Domain Controllers.
Также вы можете удалить контроллер домена с помощью PowerShell командлета Uninstall-ADDSDomainController
. Команда попросит вас задать пароль локального администратора и подтвердить понижение DC.
После перезагрузки останется с помощью PowerShell удалить роль ADDS:
Uninstall-WindowsFeature AD-Domain-Services -IncludeManagementTools
Теперь запустите консоль Active Directory Sites and Services ( dssite.msс
), найдите сайт контроллера домена и его учетную запись в разделе Servers. Разверните DC, щелкните ПКМ по NTDS Settings и выберите Delete .
Подтвердите удаление DC, отметив опцию Delete This Domain controller anyway. It is permanently offline and ac no longer be removed using the removal wizard .
Затем удалите учетную запись сервера.
Дождитесь окончания репликации в AD и проверьте состояние домена с помощью dcdiag
и repadmin
(как описано выше).
Если ваш контроллер домена вышел из строя (физический сервер или файлы виртуального DC на хранилище) и вы не планируете восстанавливать DC его из созданной ранее резервной копии контроллера домена , можно удалить его принудительно.
До Windows Server 2008 R2 для удаления неисправного контроллера домена и очистки его метаданных в AD использовалась консольная утилита ntdsutil . В современных версиях Windows Server 2022/2019/2016/2012 вы можете удалить вышедший из строя DC и корректно очистить метаданные с помощью графических mmc
оснасток управления AD.
Откройте консоль ADUC ( dsa.msc
) и перейдите в контейнер Domain Controllers . Найдите учетную запись вашего DC и удалите ее.
Появится окно с подтверждением удаления DC. Включите опцию Delete this Domain Controller anyway . И нажмите кнопку Delete .
Active Directory автоматически очистит метаданные об удаленном DC из базы ntds.dit.
Теперь нужно удалить контроллер домена в консоли AD Sites and Services как описано выше.
И последний шаг – удаление записей о контроллере домена в DNS. Откройте консоль DNS Manager ( dnsmgmt.msc
).
Удалите сервер из списка Name Servers в настройках зоны.
Удалите статические записи Name Servers (NS), оставшиеся от удаленного DC в вашей DNS зоне и разделах _msdcs
, _sites
, _tcp
, _udp
, и PTR записи в обратной зоне.
Или воспользуйтесь PowerShell для поиска и удаления записей в DNS .
Итак, в этой статье мы описали пошаговую процедуру, которая поможет вам понизить контроллер домена или удалить неисправный DC из Active Directory.
Клиент удаленного рабочего стола (rdp) предоставляет нам возможность войти на сервер терминалов через консоль. Что…
В VMware Workstation есть несколько способов настройки сети гостевой машины: 1) Bridged networking 2) Network…
Встроенный брандмауэр Windows может не только остановить нежелательный трафик на вашем пороге, но и может…
Вопреки распространенному мнению, отключить IPv6 в Windows Vista и Server 2008 это не просто снять…
Параметры экранной заставки для текущего пользователя можно править из системного реестра, для чего: Запустите редактор…
В этой статье расскажу про возможность просмотра журналов событий из командной строки. Эти возможности можно…