Как уменьшить зависимость от контроллера домена и удалить службу каталога Active Directory

Сокращение роли контроллера домена или полное удаление службы Active Directory Domain Services (AD DS) с сервера может быть необходимо в различных ситуациях. Это может понадобиться, например, для переноса роли на другой сервер или при понижении роли контроллера домена до рядового сервера.

В этой статье мы рассмотрим несколько операций, которые необходимо выполнить, чтобы уменьшить роль контроллера домена и удалить AD DS. Перед началом процедуры необходимо запомнить, что эти действия могут повлиять на всю структуру домена, поэтому перед выполнением их следует ознакомиться с документацией и задать все необходимые вопросы.

Перед тем как начать, убедитесь, что у вас есть права администратора на сервере контроллера домена и запустите командную строку с правами администратора. В моем случае это сервер с Windows Server 2016. Чтобы вывести командную строку с правами администратора, нажмите клавишу «Пуск», введите «cmd» в строке поиска, щелкните правой кнопкой мыши на найденном приложении «cmd.exe» и выберите пункт «Запустить от имени администратора».

Удаляем контроллер с помощью NTDSutil

Перед тем как удалить контроллер домена, необходимо выполнить подготовку и выполнить определенные операции. В этом разделе мы рассмотрим процесс удаления контроллера с помощью утилиты NTDSutil.

Помните, что удаление контроллера домена может иметь серьезные последствия для вашей сети, поэтому перед выполнением этих операций убедитесь, что вы правильно выполнили все шаги и создали резервную копию системы.

Подготовка к удалению контроллера:

1. Переносим все FSMO-роли на другой сервер. Для этого откройте командную строку PowerShell и введите команду: Move-ADDirectoryServerOperationMasterRole -Identity "server1" -OperationMasterRole SchemaMaster, DomainNamingMaster, PDCEmulator, RIDMaster, InfrastructureMaster. Вместо «server1» введите имя нужного вам сервера.
2. Понизьте функциональный уровень доменной структуры до поддерживаемого уровня. В командной строке PowerShell введите команду: Set-ADDomainMode -Identity "ваше_имя_домена" -DomainMode Windows2016Domain. Замените «ваше_имя_домена» на имя вашего домена, а «Windows2016Domain» на нужный вам уровень.
3. Закройте сеанс PowerShell.

Удаление контроллера с помощью NTDSutil:

1. На сервере, который вы хотите удалить, откройте командную строку или PowerShell от имени администратора.
2. В командной строке введите ntdsutil.
3. Введите metadata cleanup.
4. Введите connections.
5. Введите connect to server server1. Замените «server1» на имя вашего сервера.
6. Введите quit.
7. Введите select operation target.
8. Введите list domains.
9. Введите select domain 0.
10. Введите list sites.
11. Введите select site 0.
12. Введите list servers in site.
13. Введите select server 0.
14. Введите quit.
15. Введите remove selected server.
16. Подтвердите удаление контроллера. Введите Yes.
17. Введите quit.
18. Закройте командную строку или PowerShell.

После выполнения этих операций контроллер домена должен быть успешно удален из доменной структуры. Однако, помимо удаления контроллера с помощью NTDSutil, вам может потребоваться выполнить другие действия, включая удаление объекта контроллера домена с помощью ADSIEdit и перевод неработающих ролей на нового контроллера домена.

Правильное удаление контроллера домена из Active Directory

Удаление контроллера домена из Active Directory требует выполнения нескольких шагов. Ниже описаны действия, которые помогут вам правильно удалить контроллер домена.

Шаг 1: Проверьте состояние контроллера домена

Для начала убедитесь, что контроллер домена, который вы хотите удалить, работает в нормальном состоянии. Проверьте, что все службы и роли контроллера домена функционируют. Если возникают какие-либо проблемы, решите их перед удалением контроллера домена.

Шаг 2: Понижение роли контроллера домена

Для успешного удаления контроллера домена сначала необходимо понизить его роль. Для этого выполните следующие действия:

1. На компьютере с контроллером домена открыть командную строку с правами администратора.
2. Введите команду «ntdsutil» и нажмите Enter.
3. В командной строке введите «roles» и нажмите Enter.
4. Введите «connections» и нажмите Enter, чтобы подключиться к серверу Active Directory.
5. Введите «connect to server <имя сервера>», где <имя сервера> — это имя сервера с контроллером домена, который вы хотите понизить в роли.
6. Введите «q», чтобы закрыть окно connections.
7. В командной строке введите «select operation target» и нажмите Enter.
8. Введите «list» и нажмите Enter, чтобы вывести список серверов и их ролей.
9. В командной строке введите «transfer <номер>», где <номер> — это номер строки, соответствующей вашему контроллеру домена.

Шаг 3: Удаление контроллера домена

После того как понижение роли контроллера домена успешно выполнено, можно приступить к его удалению из Active Directory. Выполните следующие действия:

1. На компьютере с контроллером домена откройте PowerShell с правами администратора.
2. Введите команду «Uninstall-ADDSForest -DemoteOperationMasterRole -RemoveApplicationPartitions» и нажмите Enter, чтобы удалить контроллер домена.
3. В процессе удаления вам могут быть заданы различные вопросы. Ответьте на них, щелкнув Enter или введя требуемую информацию по запросу.
4. После завершения процесса удаления проверьте состояние хоста и удостоверьтесь, что контроллер домена успешно удален.

Следуя данным шагам, вы сможете правильно удалить контроллера домена из Active Directory и избавиться от роли контроллера домена на вашем сервере Windows 2016.

Проверка состояния AD

Прежде чем приступить к операции удаления контроллера домена, необходимо выполнить некоторые проверки, чтобы убедиться, что состояние вашей системы и сервера Active Directory позволяет выполнять эту операцию без проблем.

Подготовка к удалению контроллера домена

1. Войдите на сервер, на котором установлен контроллер домена, под учетной записью, обладающей правами администратора домена.
2. Откройте командную строку с помощью поиска или нажатия WIN + R, а затем ввода команды «cmd».
3. В командной строке введите «ntdsutil» и нажмите Enter. Это позволит вам выполнить операции с базой данных Active Directory.
4. Введите «metadata cleanup» и нажмите Enter. Вы должны перевести операцию на контекст удаления метаданных.
5. Введите «connections» и нажмите Enter. Это отобразит список доступных подключений.
6. Введите «connect to server server1» и нажмите Enter, где «server1» — это имя вашего сервера.

Проверка состояния контроллера домена

1. Откройте «adsiedit.msc», введя это имя в строку поиска или выполнения WIN + R. Это инструмент, позволяющий просматривать и изменять области директории Active Directory.
2. В дереве «Директория ADSI», найдите «Подключиться к» и щелкните правой кнопкой мыши на «Подключиться к доменному хосту».
3. Введите имя домена и закройте окно после завершения.
4. Найдите объект «Доменные компьютеры» и раскройте его, чтобы найти серверы контроллера домена.
5. Вывести роли контроллера домена, щелкнув правой кнопкой мыши на сервер и выбрав «Вывести роли контроллера домена».

Если вам необходимо удалить контроллер домена, удостоверьтесь, что вы записали все необходимые номера ролей контроллера домена для использования в будущем.

После того как вы выполнили все необходимые операции, вы можете продолжить с удалением контроллера домена и обновлением состояния вашей системы Windows Server 2016.

Перенос ролей контроллера домена

Перед удалением контроллера домена и осуществлением сброса AD DS на сервере, необходимо перенести роли контроллера домена на другой сервер. Это позволит сохранить работоспособность домена и продолжить его нормальное функционирование.

Перенос ролей с помощью утилиты ntdsutil

1. Войдите на сервер1 с помощью учетной записи, обладающей правами администратора домена.
2. Откройте командную строку в режиме администратора.
3. Введите следующую команду для запуска утилиты ntdsutil: dmosklocal enter.
4. В новом окне утилиты введите команду roles и нажмите Enter.
5. Введите команду connections, чтобы отобразить текущие соединения.
6. Введите connect to server target_servers, где target_servers — это имя сервера на который необходимо перенести роли. Например, connect to server server2.
7. Введите команду q, чтобы выйти из режима соединения.
8. Введите команду transfer domain naming master и нажмите Enter, чтобы перенести роль владельца имени домена.
9. Введите команду transfer pdc и нажмите Enter, чтобы перенести роль главного контроллера домена.
10. Введите команду transfer rid master и нажмите Enter, чтобы перенести роль владельца относительных идентификаторов.
11. Введите команду transfer infrastructure master и нажмите Enter, чтобы перенести роль инфраструктурного контроллера.
12. Введите команду quit и нажмите Enter, чтобы закрыть утилиту ntdsutil.

Проверка переноса ролей контроллера домена

После выполнения переноса ролей контроллера домена, необходимо убедиться, что операция прошла успешно. Для этого выполните следующие действия:

• Откройте командную строку в режиме администратора на рядовом контроллере домена, например, server2.
• Введите команду dsquery server -hasfsmo, чтобы вывести список серверов с ролями контроллера домена.
• Выберите один из серверов в списке и запомните его имя.

1. На сервере-хосте, на котором выполняется утилита ntdsutil, откройте командную строку в режиме администратора.
2. Введите команду ntdsutil и нажмите Enter.
3. Введите команду roles и нажмите Enter.
4. Введите команду connections, чтобы отобразить текущие соединения.
5. Введите команду connect to server target_servers, где target_servers — это имя неработающего сервера, с которого вы хотите вывести роли. Например, connect to server server1.
6. Введите команду q, чтобы выйти из режима соединения.
7. Введите команду list roles for connected server, чтобы вывести список ролей контроллера домена.
9. Введите команду quit и нажмите Enter, чтобы закрыть утилиту ntdsutil.

Выведенная информация позволит вам определить, какие роли контроллера домена находятся на удаленном сервере, и принять необходимые меры для их переноса на другой рабочий сервер.

Графика

Удаление контроллера домена и уменьшение его роли может быть произведено с помощью различных операций и инструментов. Для выполнения этих операций следует использовать командную строку на сервере, на котором находится контроллер домена.

В данном примере мы будем работать с Windows Server 2016. В первую очередь, перед удалением контроллера домена, нужно запомнить номера всех ролей FSMO, которые выполняет данный контроллер. Для этого можно воспользоваться командой netdom query fsmo. Также необходимо выяснить имя контроллера, чтобы правильно ввести его в дальнейшей команде.

1. Открываем командную строку и вводим команду ntdsutil. Эта команда открывает утилиту «ntdsutil», при помощи которой можно выполнять операции с базой данных Active Directory.

2. В окне «ntdsutil» вводим следующую команду: metadata cleanup. Эта команда открывает «metadata cleanup», при помощи которого можно выполнять операции по удалению метаданных объектов контроллера домена.

3. В окне «metadata cleanup» вводим команду connect to server <имя_контроллера>. Вместо <имя_контроллера> нужно ввести имя контроллера, на котором нужна операция по удалению.

5. В окне «metadata cleanup» вводим команду select operation target. После этой команды открывается список всех контроллеров в домене. Нужно выбрать тот, который мы будем удалять. Для этого необходимо ввести номер контроллера из списка.

6. В окне «metadata cleanup» вводим команду quit. После этой команды мы выходим из окна «metadata cleanup».

7. Закрываем окно «ntdsutil». Командой quit завершаем работу утилиты «ntdsutil».

После выполнения этих операций можно начинать процесс переноса ролей FSMO и удаления контроллера домена.

Powershell

Для удаления контроллера домена и снятия роли AD DS в Powershell вам понадобится выполнить несколько команд.

Вот пример последовательности действий:

1. Откройте окно командной строки или PowerShell на доменном контроллере, который вы хотите удалить.
2. Введите команду netdom query fsmo, чтобы вывести роли FSMO сервера.
3. Запомните номер сервера, на котором находятся роли FSMO (например, «Server1»).
4. Нажмите Win + X и выберите «Windows PowerShell (Administrator)».
5. Введите команду Uninstall-ADDSForest, а затем нажмите «Enter».
6. В появившемся окне с вопросом об удалении записи из доменной схемы ответьте «A», чтобы подтвердить удаление.
7. Нажмите «Enter» и закройте окно командной строки или PowerShell.

После выполнения этих действий контроллер домена будет удален и роль AD DS снята.

Обратите внимание, что неработающие сервера не будут удалены из структуры домена, и вы должны вручную удалить их из списка серверов в Active Directory.

Схема сети с неработающим контроллером в AD

В данной схеме сети представлена ситуация, когда один из контроллеров домена Active Directory (AD) перестал работать.

Прежде чем приступить к удалению неработающего контроллера, необходимо выполнить проверку состояния AD с помощью нескольких команд:

Команда	Описание
dsquery server -forest	Вывести список доступных серверов домена.
dsquery * domainroot -d <домен> -scope subtree -attr distinguishedName -filter «(sAMAccountName="Administrator")»	Проверить, на каком сервере находится запись администратора домена.
dsquery * CN=Administrators,CN=Builtin,DC=<домен>,DC=<ком> -attr member -scope base	Проверить состояние группы администраторов домена.
net share	Проверить наличие общих ресурсов на контроллере домена.

Если все проверки подтверждают неработоспособность контроллера, можно приступить к удалению его роли в AD:

1. Закройте командную строку и откройте Windows PowerShell в контексте администратора.
2. Введите команду Uninstall-ADDSForest и нажмите Enter.
3. Ответьте «A» на вопрос о возможности понижения функциональности AD.
4. Введите доменное имя, которое будет использоваться после удаления контроллера.
5. Ответьте на последующие вопросы в соответствии с требуемыми настройками.
6. После завершения удаления контроллера, выполните команду quit для выхода из PowerShell.

Теперь перейдем к удалению метаданных неработающего контроллера:

1. На любом компьютере в сети откройте Консоль управления ADSI.
2. На сервере, на котором ранее находился неработающий контроллер, щелкните правой кнопкой мыши на «Подключиться к контексту» и выберите «Подключиться к серверу».
3. Введите имя сервера и выберите «Ок».
4. В разделе «Выберите доменное имя или доменное дерево» выберите нужный домен.
5. В разделе «Выберите объект» выберите «Поставщики службы каталогов» и нажмите «Далее».
6. В разделе «Выберите запись, которую хотите удалить» найдите неработающий контроллер и щелкните на нем правой кнопкой мыши.
7. Выберите «Удалить» и подтвердите удаление.

В результате всех проведенных операций неработающий контроллер будет удален из AD и его роли будут перенесены на другие контроллеры домена. Убедитесь, что все операции производятся с правильным состоянием сети и учтите возможные последствия удаления контроллера.

Как удалить контроллер домена с Windows Server 2016

Подготовка к удалению контроллера домена:

1. Откройте командную строку на сервере, на котором находится контроллер домена;
2. Введите команду ntdsutil и нажмите Enter;
3. Далее введите команду metadata cleanup и нажмите Enter;
4. В контексте «metadata cleanup», введите команду remove selected server номер (номер — это номер сервера, который необходимо удалить) и нажмите Enter;
5. Введите команду quit и нажмите Enter, чтобы выйти из утилиты «ntdsutil».

Удаление контроллера домена из графического интерфейса:

1. Откройте «Учетные записи Active Directory» в «Панели управления»;
2. Щелкните правой кнопкой мыши на нужный контроллер домена из списка серверов и выберите «Удалить»;
3. Подтвердите удаление, нажав кнопку «Да».

Удаление контроллера домена с помощью Windows PowerShell:

1. Откройте «Windows PowerShell» от имени администратора;
2. Вводите следующую команду и нажмите Enter: Uninstall-ADDSDomainController -DemoteOperationMasterRole -RemoveApplicationPart;
3. Введите «Да» или «Y», чтобы подтвердить удаление контроллера домена.

Проверка удаления контроллера домена:

1. Откройте «Учетные записи Active Directory» в «Панели управления»;
2. Убедитесь, что контроллер домена, который вы удалили, больше не отображается в списке серверов.

Важно: Перед удалением контроллера домена убедитесь, что вы выполнили все необходимые резервные копии и сохраните все важные данные.

После успешного удаления контроллера домена ваше окружение будет работать только в качестве рядового сервера, а не контроллера домена. В случае возникновения вопросов или проблем связанных с удалением контроллера домена, рекомендуется обратиться к специалистам или воспользоваться поддержкой Microsoft.

Вопросы и ответы

Вопрос: Как подготовить контроллер домена перед удалением AD DS?

Ответ: Чтобы подготовить контроллер домена перед удалением AD DS, вам потребуется выполнить несколько операций.

Вопрос: Каким образом можно снять роль контроллера домена?

Ответ: Чтобы снять роль контроллера домена, откройте окно «Установка и удаление ролей и компонентов» в системе Windows Server 2016. Найдите роль «AD DS» и снимите ее с помощью кнопки «Удалить».

Вопрос: Что следует сделать перед удалением AD DS?

Ответ: Перед удалением AD DS необходимо проверить состояние домена, убедиться в правильности переноса всех метаданных и записей, а также удостовериться, что все компьютеры больше не зависят от контроллера домена.

Вопрос: Как убедиться в правильном переносе метаданных и записей перед удалением AD DS?

Ответ: Чтобы убедиться в правильном переносе метаданных и записей перед удалением AD DS, выполните команду «ntdsutil» в командной строке. Затем введите «metadata cleanup», найдите и выберите контроллер домена, который вы хотите удалить, и выполните операцию «вывести» или «удалить».

Вопрос: Каким образом я могу понизить роль контроллера домена?

Ответ: Чтобы понизить роль контроллера домена, откройте окно «Установка и удаление ролей и компонентов» в системе Windows Server 2016. Найдите роль «AD DS» и кликните на кнопку «Понизить».

Вопрос: Что делать после удаления AD DS с контроллера домена?

Ответ: После удаления AD DS с контроллера домена, выполните команду «dcpromo /uninstall» в командной строке, чтобы удалить доменные службы. Затем закройте окно «Установка и удаление ролей и компонентов» и перезагрузите сервер.

Подготовка системы

Перед удалением AD DS необходимо выполнить ряд подготовительных шагов:

1. Запомните имя контроллера домена (например, server1.dmosk.local), у которого планируется удаление роли.
2. На сервере, где находится роль FSMO, введите команду netdom query fsmo, чтобы проверить, на каком сервере находится FSMO.
3. В окне «Графика состояния AD DS» найдите сервер с ролью контроллера домена, который нужно удалить. Запомните имя сервера.
4. Закройте окно «Графика состояния AD DS», щелкнув правой кнопкой мыши и выбрав «Закрыть».
5. В командной строке введите команду ntdsutil и нажмите Enter. В открывшемся контексте введите команды metadata cleanup и remove selected server server1, где server1 — имя контроллера домена для удаления.
6. После завершения удаления контроллера домена введите команду quit для выхода из ntdsutil.
7. Теперь несколько проверок:
1. Введите команду dsquery server -forest dmosk.local, чтобы убедиться, что контроллер домена успешно удален.
2. Введите команду dsquery * «cn=server1,cn=servers,cn=default-first-site-name,cn=sites,cn=configuration,dc=dmosk,dc=local», чтобы проверить, что объект сервера удален.
3. Введите команду dsquery * cn=fsmo-role-holder,cn=ntds settings,cn=server1,cn=servers,cn=default-first-site-name,cn=sites,cn=configuration,dc=dmosk,dc=local, чтобы убедиться, что FSMO роли успешно перенесены на другие сервера.

Правильное выполнение всех указанных выше шагов гарантирует правильное удаление роли контроллера домена и подготавливает систему для дальнейших действий.

Понижение контроллера домена

Перед началом процесса понижения контроллера домена (DC) необходимо выполнить несколько подготовительных шагов.

1. Переносим все операции FSMO (Flexible Single Master Operation) с текущего контроллера домена на другой сервер. Для этого используем команду ntdsutil в командной строке:

ntdsutil

roles

connections

connect to server server1

quit

transfer schema master

transfer naming master

transfer PDC

transfer RID master

transfer infrastructure master

2. Проверяем состояние ролей FSMO:

netdom query fsmo

3. Запоминаем номера серверов, на которые были перенесены роли. Эти номера потребуются в последнем шаге.

4. Для удаления контроллера домена необходимо отключить его от сети и запустить среду Recovery Console.

5. Запускаем командную строку в режиме Recovery Console и вводим следующую команду:

dcpromo /forcedemoval

6. После выполнения команды, контроллер домена будет удален из AD DS.

7. После завершения удаления контроллера домена, вводим команду quit для выхода из среды Recovery Console.

8. Возвращаем сервер в состав сети и проводим проверку, что контроллер домена был успешно удален.

9. Если у вас есть дополнительные контроллеры домена, убедитесь, что они приняли изменения и работают корректно.

10. Если у вас нет дополнительных контроллеров домена, восстанавливаем функциональность AD DS с помощью утилиты dcpromo:

dcpromo /adv

11. Переводим сервер с полноценного контроллера домена на неработающий, несетевой, контроллер домена с помощью команды adprep /forestprep и adprep /domainprep.

12. Закройте все окна и запустите утилиту ADSI Edit.

13. Найдите и удалите объект вашего удаленного контроллера домена.

14. Перед завершением процесса понижения контроллера домена перезагрузите сервер.

15. После перезагрузки сервера, выполните проверку состояния AD DS с помощью команды dsquery * list.

16. Проверьте структуру домена на наличие удаленного контроллера домена.

17. Если все шаги выполнены успешно и удаленный контроллер домена полностью удален из сети, завершите процесс понижения контроллера домена.

Удаление роли AD DS

Для удаления роли AD DS с сервера необходимо выполнить несколько команд в командной строке. Вот пример последовательности действий:

Подготовка к удалению

1. Закройте все окна и приложения на сервере, который будет удаляться из домена.

2. Введите команду list server в окне ntdsutil, чтобы вывести список серверов домена. Найдите ваш сервер и запишите его имя.

3. Введите команду quit, чтобы выйти из программы ntdsutil.

4. Введите команду dcpromo /forceremoval в командной строке сервера для удаления роли контроллера домена. Эта команда удалит роль AD DS с сервера.

5. После выполнения команды сервер будет перезагружен и роль AD DS будет удалена.

Проверка удаления

1. После перезагрузки сервера откройте командную строку и введите команду dsquery server -name server1, заменив «server1» на имя вашего сервера.

2. Выведенная информация должна показывать, что сервер больше не является доменным контроллером.

3. Закройте командную строку.

Теперь роль AD DS успешно удалена с сервера, и он больше не будет выполнять функции контроллера домена.

Для начала, откройте командную строку с правами администратора. Для этого нажмите клавишу Win+X и выберите пункт «Командная строка (администратор)».

После открытия командной строки введите следующую команду:

dsmgmt

Запомните правильное состояние сервера в домене и нажимаем Enter.

В командной строке введите следующую команду:

metadata cleanup

В командной строке введите следующую команду:

remove selected server

После этого иметь доступ только к сертификатам непостоянно для указания домена в вашей сети.

Если вы хотите удалить сервер из схемы Active Directory, вы можете воспользоваться утилитой adsiedit.

После закрытия всех окон командной строки и утилиты adsiedit введите команду <*quit*>, чтобы выйти из контекста. Теперь неработающий контроллер домена будет удален из вашей системы!

Видео:

Урок 10. Контроллер домена

Урок 10. Контроллер домена by ИТ Эксперт 7,531 views 3 years ago 47 minutes