Как удалить active directory windows server 2012

Обновлено: 02.07.2024

При выполнении программы Dcpromo.exe на контроллере домена мастер установки службы AD DS обнаруживает, что служба AD DS (Active Directory Domain Services) уже установлена на сервере. Затем запускается мастер, предлагая ввести данные, необходимые ему для удаления с сервера службы AD DS.

Мастер установки службы AD DS можно запустить на контроллере домена следующими способами:

    На контроллере домена нажмите кнопку Пуск, выберите Выполнить, введите dcpromo, а затем нажмите кнопку ОК. Кроме того, можно ввести в командной строке dcpromo и нажать клавишу ВВОД.

При удалении службы AD DS мастер установки службы AD DS выдает уведомление, если контроллер домена является сервером глобального каталога, позволяя при необходимости гарантировать доступность других серверов глобального каталога для обработки запросов входов пользователей в систему.

Удаление последнего контроллера домена в домене приводит к удалению домена. Убедитесь, что учетные записи пользователей и учетные записи компьютеров в домене больше не нужны. Прежде чем можно будет удалить последний контроллер домена, необходимо удалить все незанятые или отключенные учетные записи RODC, оставшиеся в домене. Кроме того, перед использованием мастера для удаления домена выполните экспорт всех криптографических ключей, хранящихся на сервере.

Просмотрите список разделов каталога приложений, для которых контроллер домена хранит последние реплики. Мастер должен был удалить разделы каталога приложений DNS, созданные при установке службы AD DS. Чтобы удалить любые другие разделы каталога приложений, используйте средство, предоставляемое соответствующим приложением. Для получения дополнительных сведений см. Удаление разделов каталога приложений.

При удалении дочернего домена, использующего службу DNS, интегрированную с Active Directory, мастер показывает в списке раздел каталога приложений DNS для этого домена. Различающееся имя этого раздела появляется в списке как DC=DomainDNSZones,DC=имя_домена.

При удалении корневого домена леса, кроме раздела каталога приложений DNS для этого домена, мастер показывает в списке раздел каталога приложений DNS для леса Различающееся имя раздела для зоны DNS, охватывающей лес, появляется в списке как DC=ForestDNSZones,DC=имя_домена.

Можно также удалить двоичные файлы службы AD DS, связанные с ролью сервера AD DS. Роль сервера AD DS необходимо удалить до удаления двоичных файлов службы AD DS. Удаление двоичных файлов службы AD DS происходит следующим образом:

    Удалите роль сервера AD DS. Это действие не удаляет двоичных файлов AD DS, связанных с ролью сервера AD DS.

Для удаления двоичных файлов AD DS рекомендуются следующие методы:

    Используйте мастер удаления ролей в Диспетчер сервера.

dcpromo /UninstallBinaries

Следующие разделы содержат дополнительные сведения о конкретных страницах мастера, которые могут появляться при удалении службы AD DS.

В этом разделе описывается, как удалить доменные службы Active Directory с помощью диспетчера сервера или Windows PowerShell.

Рабочий процесс удаления AD DS

Диаграмма рабочего процесса удаления AD DS

Удаление ролей доменных служб Active Directory с помощью программы Dism.exe или модуля Windows PowerShell DISM после повышения роли до контроллера домена не поддерживается и приводит к тому, что сервер перестает загружаться нормально.

В отличие от диспетчера сервера или модуля ADDSDeployment для Windows PowerShell, DISM — это собственная система обслуживания, которая не распознает доменные службы Active Directory или их конфигурацию. Не используйте программу Dism.exe или модуль Windows PowerShell DISM для удаления роли доменных служб Active Directory, если сервер все еще является контроллером домена.

Понижение роли и удаление ролей с помощью PowerShell

Командлеты ADDSDeployment и ServerManager Аргументы (аргументы, выделенные жирным шрифтом, являются обязательными. Курсивом аргументы можно указать с помощью Windows PowerShell или мастера настройки AD DS.)
Uninstall-ADDSDomainController -SkipPreChecks

Учетные данные

-IncludeManagementTools

Аргумент -credential требуется только в том случае, если вы еще не выполнили вход в качестве члена группы "Администраторы предприятия" (при понижении роли последнего контроллера домена в домене) или группы "Администраторы домена" (при понижении роли реплики контроллера домена). Аргумент -includemanagementtools необходим, только если вы хотите удалить все служебные программы управления доменными службами Active Directory.

Понижение

Удалить роли и компоненты

В диспетчере сервера имеется два интерфейса для удаления роли доменных служб Active Directory.

В меню Управление на главной информационной панели выберите пункт Удалить роли и компоненты

Диспетчер сервера — удаление ролей и компонентов

На панели навигации выберите пункт AD DS или Все серверы. Перейдите вниз к разделу Роли и компоненты. В списке Роли и компоненты щелкните правой кнопкой мыши Доменные службы Active Directory и выберите команду Удалить роль или компонент. В этом интерфейсе пропускается страница Выбор сервера.

Диспетчер сервера-All Servers — удаление ролей и компонентов

Командлеты ServerManager uninstall-WindowsFeature и Remove-WindowsFeature не позволяют удалить роль AD DS, пока контроллер домена не будет понижен.

Выбор сервера

Мастер удаления ролей и компонентов Выбор целевого сервера

В диалоговом окне Выбор сервера можно выбрать один из серверов, ранее добавленных в пул, если он доступен. Локальный сервер, на котором запущен диспетчер сервера, доступен всегда.

"Роли сервера" и "Компоненты"

Мастер удаления ролей и компонентов — Выбор ролей для удаления

Чтобы понизить роль контроллера домена, снимите флажок Доменные службы Active Directory. Если сервер в настоящее время является контроллером домена, роль доменных служб Active Directory не удаляется, а открывается диалоговое окно Результаты проверки с предложением понизить роль. В противном случае он удаляет двоичные файлы, как и любые другие функции ролей.

Не удаляйте другие роли или компоненты, связанные с доменными службами Active Directory, такие как DNS, консоль управления групповыми политиками или средства удаленного администрирования сервера, если вы планируете немедленно повысить роль контроллера домена снова. Удаление дополнительных ролей и компонентов увеличивает время, необходимое для повторного повышения роли, так как диспетчер сервера повторно устанавливает их при переустановке роли.

Если вы планируете понизить роль контроллера домена навсегда, удалите ненужные роли и компоненты доменных служб Active Directory по собственному усмотрению. Для этого необходимо снять флажки, соответствующие этим ролям и компонентам.

Вот полный список ролей и компонентов, связанных с доменными службами Active Directory:

  • Модуль Active Directory для Windows PowerShell
  • Средства AD DS и AD LDS
  • Центр администрирования Active Directory
  • Оснастки и программы командной строки AD DS
  • DNS-сервер
  • Консоль управления групповыми политиками

Эквивалентные командлеты модулей ADDSDeployment и ServerManager Windows PowerShell:

Мастер удаления ролей и компонентов — диалоговое окно подтверждения

Мастер удаления ролей и компонентов — Проверка

Учетные данные

Мастер настройки служб домен Active Directory — Выбор учетных данных

Параметры понижения уровня настраиваются на странице Учетные данные. Учетные данные, необходимые для понижения уровня, представлены в следующем списке:

Для понижения уровня дополнительного контроллера домена требуются учетные данные администратора домена. Выбор принудительного удаления этого контроллера домена понижает роль контроллера домена без удаления метаданных объекта контроллера домена из Active Directory.

Этот параметр следует выбрать, только если контроллер домена не может установить связь с другими контроллерами домена и нет другого способа разрешить эту сетевую проблему. Принудительное понижение уровня оставляет потерянные метаданные в Active Directory на оставшихся контроллерах домена леса. Помимо этого, все нереплицированные изменения на этом контроллере домена, например пароли и новые учетные записи пользователей, навсегда теряются. Потерянные метаданные — это основная причина обращения в службу поддержки пользователей Майкрософт по поводу AD DS, Exchange, SQL и другого программного обеспечения.

При принудительном понижении уровня контроллера домена необходимо немедленно почистить метаданные вручную. Этапы очистки см. в разделе Очистка метаданных сервера.

Мастер настройки служб домен Active Directory — принудительное удаление учетных данных

Для понижения уровня последнего контроллера домена требуется членство в группе администраторов предприятия, так как при этом удаляется сам домен (если это последний домен леса, при этом удаляется лес). Диспетчер сервера сообщает, является ли текущий контроллер последним контроллером в домене. Для подтверждения того, что контроллер является последним в домене, необходимо установить флажок Последний контроллер домена в домене.

Эквивалентные аргументы Windows PowerShell ADDSDeployment:

Предупреждения

Мастер настройки домен Active Directory Services — влияние ролей FSMO учетных данных

Если ранее на странице Учетные данные вы выбрали параметр Принудительно удалить контроллер домена, на странице Предупреждения будут показаны все роли FSMO, размещенные в этом контроллере домена. Необходимо захватить роли с другого контроллера домена сразу после понижения роли этого сервера. Дополнительные сведения о захвате ролей FSMO см. в разделе Захват роли хозяина операций.

У этой страницы нет эквивалентного аргумента в модуле Windows PowerShell ADDSDeployment.

Параметры удаления

Мастер настройки служб домен Active Directory — учетные данные для удаления DNS и разделов приложений

Параметры выводятся, только если они применимы к этому контроллеру домена. Например, если делегирование DNS для сервера не используется, соответствующий флажок отображаться не будет.

Чтобы указать альтернативные учетные данные администратора DNS, нажмите кнопку Изменить. Чтобы просмотреть дополнительные разделы, которые мастер удалит во время понижения роли, нажмите кнопку Просмотр разделов. По умолчанию единственными дополнительными разделами являются зоны DNS-домена и DNS-леса. Все остальные разделы не относятся к Windows.

Эквивалентные аргументы командлета ADDSDeployment:

Новый пароль администратора

Мастер настройки служб домен Active Directory — учетные данные новый пароль администратора

На странице новый пароль администратора необходимо указать пароль для встроенной учетной записи администратора локального компьютера, после завершения понижения роли, когда компьютер станет рядовым сервером домена или рабочей группой.

Если аргументы командлета Uninstall-ADDSDomainController не заданы, они имеют те же значения по умолчанию, что и параметры в диспетчере сервера.

Аргумент LocalAdministratorPassword действует особым образом.

  • Если этот аргумент не указан, командлет предлагает ввести и подтвердить скрытый пароль. Это предпочтительный вариант использования при интерактивном выполнении командлета.
  • Если аргумент указан со значением, это значение должно быть защищенной строкой. Это не является предпочтительным вариантом использования при интерактивном выполнении командлета.

Например, можно вручную запросить пароль с помощью командлета Read-Host , чтобы запросить безопасную строку у пользователя.

Поскольку два предыдущих варианта не подтверждают пароль, будьте предельно осторожны: пароль не отображается.

Можно также ввести защищенную строку в качестве переменной с преобразованным открытым текстом, хотя использовать такой вариант настоятельно не рекомендуется. Например:

Ввод или хранение пароля в виде открытого текста не рекомендуется. Любой пользователь, выполняющий эту команду в сценарии или заглядывающий через ваше плечо, сможет узнать пароль локального администратора этого компьютера. Зная пароль, он получит доступ ко всем данным на нем и сможет персонифицировать сам сервер.

Подтверждение

Мастер настройки служб домен Active Directory. параметры проверки

На странице Подтверждение приводится описание запланированного понижения роли. Список параметров конфигурации понижения роли не отображается. Это последняя страница мастера, отображаемая перед тем, как начнется понижение роли. При нажатии на кнопку "Просмотреть сценарий" создается сценарий понижения роли Windows PowerShell.

Для просмотра информации о конфигурации используйте необязательный аргумент Whatif с командлетом Uninstall-ADDSDomainController. Это позволит просмотреть явные и неявные значения аргументов командлета.

Снимок экрана окна терминала, в котором показаны явные и неявные значения аргументов командлета.

Запрос на перезагрузку — это последняя возможность отменить эту операцию при использовании модуля Windows PowerShell ADDSDeployment. Чтобы подавить этот запрос, используйте аргумент -force или confirm:$false.

Понижение уровня

Мастер настройки служб домен Active Directory — выполняется понижение уровня

Когда появляется страница Понижение уровня, это означает, что настройка контроллера домена началась и ее нельзя остановить или отменить. Подробная информация об операциях выводится на этой странице и записывается в следующие журналы:

  • %systemroot%\debug\dcpromo.log
  • %systemroot%\debug\dcpromoui.log

Поскольку uninstall-аддсдомаинконтроллер и uninstall-WindowsFeature имеют только одно действие каждый, они показаны на этапе подтверждения с минимальными необходимыми аргументами. При нажатии на клавишу ВВОД запускается процесс понижения роли, после чего компьютер перезапускается.

Пример Uninstall-ADDSDomainController PowerShell

Пример Uninstall-WindowsFeature PowerShell

Чтобы автоматически закрывать напоминание о перезагрузке, используйте аргументы -force или -confirm:$false с любым командлетом Windows PowerShell ADDSDeployment. Чтобы предотвратить автоматическую перезагрузку сервера по завершении повышения роли, используйте аргумент -norebootoncompletion:$false.

Отключать перезагрузку не рекомендуется. Для правильной работы рядовой сервер должен перезагрузиться.

Пример использования Uninstall-ADDSDomainController PowerShell

Ниже приводится пример принудительного понижения с минимальным набором обязательных аргументов -forceremoval и -demoteoperationmasterrole. Аргумент -credential не требуется, поскольку пользователь выполнил вход как член группы администраторов предприятия:

Снимок экрана окна терминала, в котором показан пример принудительного понижения роли с минимальными необходимыми аргументами-форцеремовал и-демотеоператионмастерроле.

Ниже приведен пример удаления последнего контроллера домена в домене с минимальным набором обязательных аргументов -lastdomaincontrollerindomain и -removeapplicationpartitions:

Пример Uninstall-ADDSDomainController PowerShell для Ластдомаинконтроллериндомаин

при попытке удалить роль AD DS перед понижением роли сервера Windows PowerShell блокирует ошибку:

Не удалось продолжить выполнение предварительных условий при удалении AD-Domain-Services, и удаление не может быть продолжено. 1. перед удалением активной роли Директоридомаин Services контроллер домена должен быть понижен.

Чтобы получить возможность удалить двоичные файлы роли доменных служб Active Directory, необходимо перезапустить компьютер после понижения роли сервера.

Результаты

Вы собираетесь отключить предупреждение после удаления AD DS

На странице Результаты показано, успешно ли было выполнено повышение роли, а также приводится важная для администраторов информация. Контроллер домена автоматически перезагрузится через 10 секунд.

Схема сети с неработающим контроллером в AD

удалить контроллер домена

dc10 будет удален, но перед этим, нам нужно удостовериться, что все FSMO роли у нас будут доступны на работающих контроллерах домена. Узнать держателя FSMO ролей можно командой:

Как видите в моем случае первые две роли схемы и именования доменов, находятся на корневом контроллере домена в другом домене, а вот нужные мне три роли, располагаются на неисправном DC, до которого я не могу достучаться, в таком случае нам необходимо будет захватить с него все роли и передать их работающим контроллерам домена, после чего удалить о нем всю информацию в Active Directory.

определение fsmo мастера

Ранее я вам рассказывал как производится захват ролей FSMO, там было два метода графический через оснастку ADUC и с помощью утилиты ntdsutil. В оснастке ADUC вы увидите вот такую картину, что хозяин операций не доступен. Как производится принудительный захват ролей, читайте по ссылке слева.

передача FSMO роли со сломанного контроллера домена

Теперь, когда все роли захвачены или переданы, то можно производить удаление всех старых данных.

Если у вас уровень леса и домена Windows Server 2008 R2 и выше, то самый простой способ это удалить, объект компьютера из контейнера Domain Controllers, все старые метаданные будут удалены автоматически и вам не придется делать описанные ниже манипуляции. Но я хочу вам показать ручной способ, чтобы вы более глубоко понимали, что именно происходит и откуда удаляются данные о недоступном контроллере домена

Domain Controllers контейнер

Удаляем контроллер с помощью NTDSutil

Откройте командную строку от имени администратора.

  • Пишем команду ntdsutil
  • Далее нам необходимо зайти в режим metadata cleanup
  • Теперь вам необходимо подключиться к работающему контроллеру домена, пишем connections
  • Далее вводим connect to server и имя сервера, видим успешное подключение
  • Выходим из данного меню, введите q и нажмите enter.
  • Далее введите select operation target
  • Посмотрим список доменов командой List domain
  • Выберем нужный домен, select domain
  • Теперь поищем какие сайты у нас есть, делается это командой list sites
  • Выбираем нужный select site и номер
  • Посмотрим список серверов в сайте, list servers in site, у меня их 7, я выбираю нужный
  • select server и номер
  • Выходим из режима select operation target, введите q
  • Ну и собственно команда на удаление remove selected server

удаление контроллера домена через ntdsutil

У вас появится предупреждение, что "Вы действительно хотите удалить объект сервера, имя сервера. Это не последний сервер домена. Сервер должен постоянно работать автономно и не возвращаться в сеть обслуживания. При возвращении сервера в сеть обслуживания, объект сервера будет восстановлен."

Если вы думаете, что удалить контроллер домена 2012 r2 из ntdsutil, достаточно, то хвосты еще остаются. Первый хвост это сайты Active Directory, открываем данную оснастку

Удалить старые связи контроллеров домена в сайтах

Все теперь можно удалять, когда все связи устранены.

удалить контроллер домена в сайтах

Ну и последний шаг, это удаление записей в зоне DNS, вот пример записи "Сервер имен (NS)",

удаление записей DC из DNS

так же посмотрите папк:

Все теперь, можно смело констатировать, что мы с вами правильно удалили неисправный контроллер домена Active Directory, не оставим хвостов. Проверяем теперь реплицацию, чтобы все было без ошибок.


Добавлять и удалять объекты в Active Directory не сложно. Однако есть нюансы, которые состоят в том, что по умолчанию удалить обьект в AD нельзя, он защищён от записи. Такая возможность имеется начиная с Windows Server 2008. Поэтому перед тем, как удалять объект, необходимо сначала снять защиту от записи.

Удаление объекта в Active Directory.

1. Для удаления объекта в AD открываем оснастку "Пользователи и компьютеры Active Directory". Это также можно сделать нажав на "Пуск", далее выбираем "Администрирование" и в открывшемся меню выбираем "Пользователи и компьютеры Active Directory".

del object active directory1

2. При создании нового объекта в AD, также автоматически выставляется чекбокс "Защитить контейнер от случайного удаления". Это даёт дополнительные гарантии от случайного удаления критически важных элементов.

del object active directory2

3. Поэтому если мы будем удалять контейнер обычным способом, то без снятия защиты от удаления, это не получится. Проверим это. Для этого на выбранном объекте нажимаем правой клавишей мыши и выбираем "Удалить".

del object active directory3

4. Появится запрос на подтверждение удаления: "Вы действительно хотите удалить Подразделение с имененем. ". Нажимаем "Да".

del object active directory4

5. После этого появится окно с предупреждением о том, что "Недостаточные привилегии для удаления объекта, или объект защищен от случайного удаления". И объект не удалится.

del object active directory5

6. Для того, чтобы изменить это, необходимо выбрать меню "Вид", далее поставить чекбокс напротив пункта меню "Дополнительные компоненты".

del object active directory6

7. После этого нажимаем правой клавишей мыши на выбранный объект, в появившемся меню нажимаем "Свойства".

del object active directory7

8. На вкладке "Объект" убираем чекбокс "Защитить объект от случайного удаления", далее "Применить".

del object active directory8

9. После применения данной операции, объект в AD возможно будет удалить (правой клавишей мышки - "Удалить").

del object active directory9

10. Затем ответить "Да" на запрос о подтверждении действия по удалению объекта.

del object active directory10

11. По окончании операции, для удобства управления AD, необходимо вернуть все установки по умолчанию (выбираем "Вид", далее снимаем чекбокс с пункта "Дополнительные компоненты".

del object active directory11

Как снять защиту от удаления объектов в Active Directory можно также посмотреть здесь:

Читайте также: