Удаление active directory windows server 2003

Обновлено: 05.07.2024

При выполнении программы Dcpromo.exe на контроллере домена мастер установки службы AD DS обнаруживает, что служба AD DS (Active Directory Domain Services) уже установлена на сервере. Затем запускается мастер, предлагая ввести данные, необходимые ему для удаления с сервера службы AD DS.

Мастер установки службы AD DS можно запустить на контроллере домена следующими способами:

    На контроллере домена нажмите кнопку Пуск, выберите Выполнить, введите dcpromo, а затем нажмите кнопку ОК. Кроме того, можно ввести в командной строке dcpromo и нажать клавишу ВВОД.

При удалении службы AD DS мастер установки службы AD DS выдает уведомление, если контроллер домена является сервером глобального каталога, позволяя при необходимости гарантировать доступность других серверов глобального каталога для обработки запросов входов пользователей в систему.

Удаление последнего контроллера домена в домене приводит к удалению домена. Убедитесь, что учетные записи пользователей и учетные записи компьютеров в домене больше не нужны. Прежде чем можно будет удалить последний контроллер домена, необходимо удалить все незанятые или отключенные учетные записи RODC, оставшиеся в домене. Кроме того, перед использованием мастера для удаления домена выполните экспорт всех криптографических ключей, хранящихся на сервере.

Просмотрите список разделов каталога приложений, для которых контроллер домена хранит последние реплики. Мастер должен был удалить разделы каталога приложений DNS, созданные при установке службы AD DS. Чтобы удалить любые другие разделы каталога приложений, используйте средство, предоставляемое соответствующим приложением. Для получения дополнительных сведений см. Удаление разделов каталога приложений.

При удалении дочернего домена, использующего службу DNS, интегрированную с Active Directory, мастер показывает в списке раздел каталога приложений DNS для этого домена. Различающееся имя этого раздела появляется в списке как DC=DomainDNSZones,DC=имя_домена.

При удалении корневого домена леса, кроме раздела каталога приложений DNS для этого домена, мастер показывает в списке раздел каталога приложений DNS для леса Различающееся имя раздела для зоны DNS, охватывающей лес, появляется в списке как DC=ForestDNSZones,DC=имя_домена.

Можно также удалить двоичные файлы службы AD DS, связанные с ролью сервера AD DS. Роль сервера AD DS необходимо удалить до удаления двоичных файлов службы AD DS. Удаление двоичных файлов службы AD DS происходит следующим образом:

    Удалите роль сервера AD DS. Это действие не удаляет двоичных файлов AD DS, связанных с ролью сервера AD DS.

Для удаления двоичных файлов AD DS рекомендуются следующие методы:

    Используйте мастер удаления ролей в Диспетчер сервера.

dcpromo /UninstallBinaries

Следующие разделы содержат дополнительные сведения о конкретных страницах мастера, которые могут появляться при удалении службы AD DS.

Мы рассмотрим пример корректного удаление роли Active Directory Domain Services для Windows Server 2012 / 2012 R2 / 2016 / 2019.

Процесс полного удаления разобьем на несколько этапов:

Подготовка системы

Если в нашей среде AD не один контроллер домена и мы не хотим удалять сам домен, а только один из его серверов со службой каталогов, стоит выполнить предварительные операции, чтобы минимизировать возможные проблемы.

Перенос ролей контроллера домена

Active Directory насчитывает 5 FSMO ролей, которые отвечают за корректную работу службы каталогов. Смотрим, на каких серверах запущены данные роли с помощью команд в Powershell:

Get-ADForest dmosk.local | ft DomainNamingMaster, SchemaMaster

Get-ADDomain dmosk.local | ft InfrastructureMaster, PDCEmulator, RIDMaster

* где dmosk.local — домен, для которого нужно узнать назначенные роли FSMO.

Если какие-то роли назначены на сервере, который планируется понизить, то необходимо с помощью команды типа:

Move-ADDirectoryServerOperationMasterRole <имя сервера, куда переносим> <название роли>

Проверка состояния AD

На любом из контроллеров домена вводим команду:

Понижение контроллера домена

Первым шагом понизим наш сервер до рядового сервера. Это можно сделать с помощью графического интерфейса, Powershell или командной строки.

Графика

Открываем Диспетчер серверов и переходим в Управление - Удалить роли и компоненты:

Переходим к удалению ролей и компонентов

Если откроется окно с приветствием, то просто нажимаем Далее (при желании, можно поставить галочку Пропускать эту страницу по умолчанию):

Пропускаем стартовую страницу

В окне «Выбор целевого сервера» выбираем сервер, для которого мы будем понижать уровень AD:

Выбираем сервер для удаление роли

. и нажимаем Далее.

Снимаем галочку Доменные службы Active Directory. откроется окно в котором отобразится список компонентов для удаления — нажимаем Удалить компоненты:

Отмечаем для удаления роль Доменные службы Active Directory

Система вернет ошибку с предупреждением, что сначала нужно понизить AD — кликаем по ссылке Понизить уровень этого контроллера домена:

Переходим к понижению уровня контроллера домена

В следующем окне мы увидим предупреждение о том, что компьютер будет перезагружен и возможность принудительно понизить уровень — просто нажимаем Далее:

Знакомимся с предупреждением и идем далее

Система отобразит роли AD, которые будут удалены. Ставим галочку Продолжить удаление и нажимаем Далее:

Ставим галочку для продолжения удаления

Вводим дважды пароль учетной записи локального администратора, который будет использоваться после понижения до рядового сервера:

Вводим пароль для административной учетной записи

Кликаем по Понизить уровень:

Кликаем по Понизить уровень

Процесс займет какое-то время. После мы увидим «Уровень контроллера домена Active Directory успешно понижен»:

Результат понижения уровня AD

Сервер автоматически будет перезагружен.

Powershell

Открываем консоль Powershell от администратора и вводим:

Система запросит пароль для локальной учетной записи администратора, которая будет использоваться после понижения — задаем новый пароль дважды:

LocalAdministratorPassword: **********
Подтвердить LocalAdministratorPassword: **********

Мы получим предупреждение о перезагрузки сервера. Соглашаемся:

После завершения этой операции сервер будет автоматически перезапущен. Когда вы удалите доменные службы Active
Directory на последнем контроллере домена, этот домен перестанет существовать.
Вы хотите продолжить эту операцию?
[Y] Да - Y [A] Да для всех - A [N] Нет - N [L] Нет для всех - L [S] Приостановить - S [?] Справка
(значением по умолчанию является "Y"): A

Для выполнения команды уйдет некоторое время, после чего сервер уйдет в перезагрузку.

Удаление роли AD DS

После понижения сервера роль, по-прежнему, будет установлена. Для ее удаления мы также можем воспользоваться графической оболочкой или командной строкой.

Графика

В диспетчере серверов кликаем снова по Управление - Удалить роли и компоненты:

Переходим к удалению ролей и компонентов

Среди серверов выбираем тот, на котором будем удалять роль:

Выбираем сервер для удаление роли

* сервер может быть только один. Тогда выбираем его.

Снимаем галочку Доменные службы Active Directory, в открывшемся окне кликаем по Удалить компоненты:

Отмечаем для удаления роль Доменные службы Active Directory

Галочка для доменных служб будет снята:

Галочка на роли AD DS снята

. кликаем по Далее несколько раз.

В последнем окне ставим галочку Автоматический перезапуск конечного сервера, если требуется и подтверждаем действие ответом Да:

Ставим галочку для автоматической перезагрузки сервера

Роль будет удалена, а сервер отправлен в перезагрузку.

Powershell

Запускаем Powershell от администратора и вводим:

Remove-WindowsFeature -Name AD-Domain-Services

ПРЕДУПРЕЖДЕНИЕ: Чтобы завершить удаление, вам необходимо перезапустить этот сервер.

Вывод сервера из домена

В случае, если у нас есть другие контроллеры домена, наш сервер останется в домене. При необходимости его окончательного вывода из эксплуатации, стоит вывести его из среды AD.

Графика

Открываем свойства системы (команда control system или свойства Компьютера) и кликаем по Изменить параметры:

Переходим к изменению имени компьютера и его принадлежности к домену

В открывшемся окне нажимаем на Изменить:

Изменяем имя и домен

И переводим компьютер в рабочую группу:

Переводим сервер в рабочую группу

* в данном примере в группу с названием WORKGROUP.

Система запросит логин и пароль от пользователя Active Directory, у которого есть права на вывод компьютеров из домена — вводим данные.

Если все сделано верно, мы должны увидеть окно:

После перезагружаем сервер или выключаем его.

Powershell

Запускаем Powershell от имени администратора и вводим:

Remove-Computer -UnjoinDomaincredential dmosk\master -PassThru -Verbose

* где dmosk\master — учетная запись в домене с правами вывода компьютеров из AD.

Соглашаемся продолжить, ознакомившись с предупреждением:

Подтверждение
Чтобы войти в систему на этом компьютере после его удаления из домена, вам потребуется пароль учетной записи локального
администратора. Вы хотите продолжить?
[Y] Да - Y [N] Нет - N [S] Приостановить - S [?] Справка (значением по умолчанию является "Y"): Y

Вопросы и ответы

Дополнительные сведения относительно понижения и удаления AD.

1. Как удалить дочерний домен?

Мы должны быть уверены, что в данном домене не осталось важных ресурсов предприятия. После необходимо по очереди удалить все контроллеры домена по данной инструкции. При удалении последнего сервера AD для дочернего домена, будет удален сам дочерний домен из леса.

2. Как понизить режим работы домена?

Данный режим не понизить — это односторонняя операция. Максимум, что можно сделать, это восстановить службу AD из резервной копии, когда режим был нужного уровня.

3. Что делать, если умер основной контроллер домена?

Рассмотрим несколько вариантов:

  • Если есть резервная копия, восстанавливаемся из нее.
  • Если в среде несколько контроллеров домена, захватываем FSMO-роли (подробнее в инструкции Управление FSMO ролями Active Directory с помощью Powershell) и вручную удаляем уже несуществующий контроллер. После можно поднять новый контроллер, сделав его резервным.
  • Хуже, когда нет ни копий, ни второго контроллера. В таком случае, поднимаем новый контроллер, создаем новый лес, домен и переводим все компьютеры в него.

4. Что делать, если контроллер домена возвращает ошибку при понижении?

Самый лучший способ, разобраться с ошибкой, решив проблему, которая ее вызывает. Если это не удалось сделать, принудительно понижаем сервер командой:

Принудительное понижение роли контроллеров домена Windows Server 2003

Бывают случаи когда корректно понизить роль контроллера домена под управлением Windows 2000 или Windows Server 2003 с помощью мастера установки Active Directory (Dcpromo.exe) не удается. Такая ситуация может быть в случае сбоя зависимости или операции, например сбой подключения к сети, проверки аутентификации, репликации службы каталогов Active Directory, разрешения имен и тд.. Для начала нужно выяснить причину возникновения данной ситуации, для этого нужно запустить мастер установки Active Directory. В случае неудачи при установке или удалении выйдет ошибка! Также рекомендуется просмотреть ошибки в eventlog.

Для начала работ по принудительному понижению роли контроллеров домена, необходимо иметь административный пароль ОС, потому как после понижения роли войти под учетными данными не удастся.

Действия:

В диалоговом окне мастера установки Active Directory нажмите кнопку Далее.

принудительного понижения роли реализована в Windows Server 2003

На странице Удаление Active Directory снимите флажок Этот сервер — последний контроллер домена в данном домене и нажмите кнопку Далее.

На странице Сетевые учетные данные введите имя, пароль и имя домена для учетной записи, которая обладает правами администратора предприятия в данном лесу, и нажмите кнопку Далее.

Пароль администратора

На странице Пароль администратора введите и подтвердите пароль, который должен быть назначен учетной записи администратора в локальной базе данных SAM, и нажмите кнопку Далее.

На оставшемся в лесу контроллере домена выполните удаление метаданных пониженного в роли контроллера домена.

Если домен был удален из леса с помощью утилиты Ntdsutil используя коменду: remove selected domain, перед введением в этот лес нового домена под тем же именем убедитесь, что на всех контроллерах домена и серверах глобального каталога уничтожены все объекты и ссылки на удаленный домен. Удаление объектов и контекстов именования на серверах глобального каталога под управлением Windows 2000 с пакетом обновления версии 3 (SP3) и ниже происходит значительно медленнее, чем в системах под управлением Windows Server 2003.

Если записи управления доступом (АСЕ) на компьютере, с которого была удалена служба Active Directory, основаны на локальных группах домена, то, возможно, их придется настроить снова, поскольку эти группы недоступны рядовым и изолированным серверам. Если предполагается, установив Active Directory, сделать компьютер контроллером в исходном домене, настраивать таблицы управления доступом (Access Control List, ACL) нет необходимости. Если компьютер будет использоваться в качестве рядового или изолированного сервера, все разрешения, основанные на локальных группах домена, необходимо заменить или преобразовать.

Принудительное понижение роли контроллера домена приводит к потере локально хранимых в Active Directory на контроллере домена изменений, включая добавление, изменение и удаление пользователей, компьютеров, групп, доверительных отношений, групповой политики и конфигурации Active Directory, которые не были реплицированы до запуска команды dcpromo /forceremoval. Кроме того, удаляются изменения всех атрибутов таких объектов (например паролей для пользователей, компьютеров, доверительных отношений и членства в группах).

Принудительное понижение роли контроллера домена возвращает операционную систему в состояние, которое аналогично состоянию после успешного понижения роли последнего контроллера домена, включая тип запуска служб, установленные службы, использование диспетчера SAM на базе реестра и членство в рабочей группе. На пониженном в роли контроллере домена сохраняются установленные программы.

После принудительного понижения роли контроллера домена необходимо выполнить следующие действия.

  1. Удалите из домена учетную запись компьютера.
  2. Удалите оставшиеся DNS-записи, включая записи A, CNAME и SRV.
  3. Удалите оставшиеся объекты члена FRS (FRS и DFS). Дополнительные сведения см. в следующей статье базы знаний Майкрософт:

Для выполнения поставленной задачи нам понадобится три инструмента: Ntdsutil.exe, Active Directory Sites and Services, Active Directory Users and Computers.

Начнем с удаления метаданных. Для этого откроем командную строку с правами администратора и запустим утилиту Ntdsutil.exe:

ntds1

Вводим metadata cleanup и нажимаем Enter:

ntds2

В metadata cleanup: вводим тип connections и нажмаем Enter:

ntds3

ntds4

Жмем q или вводим quit для выхода из server connections:

ntds5

Вводим select operation target и жмем Enter:

ntds6

Вводим list domains и жмем Enter. Будет выведен список всех доменов в лесу, с соответствующими порядковыми номерами (в данном примере домен единственный, с номером 0):

ntds7

ntds8

Вводим list sites, жмем Enter:

ntds9

Используя информацию из предыдущего вывода о номере сайта, вводим select site и жмем Enter:

ntds10

Определяем список серверов сайта командой list servers in site:


Вводим select server <номерсервера>, где <номерсервера>- порядковый номер контроллера, который мы хотим удалить из AD, Enter:

ntds12

Выходим из operation target, quit и Enter:

ntds13

ntds14

ntds15

Далее удаляем сбойный сервер из оснастки Active Directory Sites and Services:

ntds16

Удаляем сервер из Active Directory Users and Computers:

ntds17

ntds18

В случае возникновения ошибки при удалении контроллера домена, необходимо воспользоваться оснасткой adsiedit.msc. Инструкция по установке и использованию:

Осталось удалить неактуальные DNS-записи, для этого в оснастке DNS удаляем соответствующую A-запись и CNAME-запись в _msdcs.root domain:

ntds19

Если для данного домена была настроена обратная зона, то из нее тоже. Вот и весь процесс.

Читайте также: